Microsoftの年次報告書「Digital Defense Report」によると、AIを活用したフィッシングメールのクリック率は54パーセントに達し、AI非使用のフィッシング12パーセントと比較して4.5倍の効果を示した。
また、AIによってフィッシングの収益性が最大50倍に高まる可能性があるという。報告書は2024年7月から2025年6月までのMicrosoft会計年度2025をカバーしている。
国家支援グループによるAI生成コンテンツは2023年7月時点でゼロ件だったが、2024年7月に50件、2025年1月に約125件、2025年7月に約225件と急増した。動機が判明した攻撃のうち52パーセントが金銭目的であり、スパイ活動のみは4パーセントだった。
新たな攻撃手法ClickFixは、Microsoft Defender Expertsが観測した初期アクセス方法の47パーセントを占め、フィッシングの35パーセントを上回った。
From: 
AI makes phishing 4.5x more effective, Microsoft says
【編集部解説】
このMicrosoftの報告書が示すデータは、サイバーセキュリティの戦場における力関係の劇的な変化を物語っています。AIによるフィッシングのクリック率が54パーセントという数字は、従来の12パーセントと比較すると、もはや攻撃手法の「改善」ではなく「革命」と呼ぶべきレベルです。
注目すべきは、攻撃の質的変化でしょう。従来のフィッシングは文法ミスや不自然な表現で見破られることが多かったのですが、AIは被害者の現地言語で完璧な文章を生成し、文脈に沿った説得力のある誘導を行います。これにより、セキュリティ意識の高いユーザーでさえ騙される可能性が高まっています。
さらに深刻なのは、攻撃の多様化です。ClickFixという新手法が初期アクセス方法の47パーセントを占めるまでに急成長したことは、犯罪者が単一の手法に依存せず、複数の技術を組み合わせた多層的な攻撃チェーンを構築していることを示しています。メール爆撃、音声フィッシング、正規プラットフォームのなりすましを組み合わせることで、従来の防御手段では対応しきれない状況が生まれつつあります。
国家支援グループによるAI活用の急増も見逃せません。2023年7月にゼロだったAI生成コンテンツが、わずか2年で225件に達したという事実は、サイバー戦争の新時代の到来を告げています。これは単なる犯罪行為を超えた、地政学的なリスクへと発展する可能性を秘めています。
この状況下で企業や個人に求められるのは、従来の「怪しいメールを見分ける」という受動的な防御から、多要素認証の徹底、ゼロトラストアーキテクチャの導入、継続的な従業員教育といった能動的かつ多層的なセキュリティ戦略への転換です。AIが攻撃者の武器となった今、防御側もAIを活用した脅威検知システムの導入が不可欠となっています。
【用語解説】
フィッシング
電子メールやウェブサイトを使って、正規の企業や組織を装い、ユーザーの個人情報やログイン認証情報を盗み取るサイバー攻撃手法である。AIの活用により、より巧妙で検知が困難になっている。
ClickFix
ユーザーを騙して自分のデバイス上で悪意のあるコマンドを実行させるソーシャルエンジニアリング攻撃手法。正規の修正プロンプトやシステム通知を装うことで、従来のフィッシング対策を回避する。
インフォスティーラー
被害者のコンピュータから認証情報、パスワード、クレジットカード情報、暗号通貨ウォレット情報などの機密データを窃取するマルウェアの一種である。
ビッシング(音声フィッシング)
電話を使ったフィッシング攻撃で、攻撃者が銀行員やIT担当者などを装い、音声通話を通じて被害者から機密情報を聞き出す手法である。
メール爆撃
標的のメールアカウントを大量のニュースレターやサービスに登録し、受信トレイを膨大な数のメールで溢れさせることで、重要なセキュリティ警告やパスワードリセット通知を埋もれさせる攻撃手法。
ゼロトラストアーキテクチャ
「すべてを信頼しない」という前提に基づくセキュリティモデルで、ネットワーク内外を問わず、すべてのアクセス要求を検証・認証する設計思想である。
リモートアクセストロイの木馬(RAT)
攻撃者が被害者のコンピュータを遠隔操作できるようにするマルウェアで、キーストロークの記録、ファイルの転送、スクリーンショットの取得などが可能となる。
【参考リンク】
The Register(外部)
英国を拠点とするテクノロジーニュースサイトで、IT業界の動向やセキュリティ問題を批判的かつ独立した視点で報道している。
Microsoft Security(外部)
Microsoftのセキュリティ製品とサービスの総合サイトで、脅威インテリジェンスや最新の脅威情報などを提供している。
【参考記事】
Microsoft Digital Defense Report 2025(外部)
2025年のMicrosoftによるデジタル防衛に関する包括的報告
AI vs. AI: Detecting an AI-obfuscated phishing campaign – Microsoft(外部)
AIを悪用したフィッシング攻撃の検知に関するMicrosoftの解析
Think before you Click(Fix): Analyzing the ClickFix social … – Microsoft(外部)
[ClickFix](pplx://action/translate)という新たなソーシャルエンジニアリング技術の詳細分析
【編集部後記】
AIが攻撃者の武器となった今、私たち一人ひとりがサイバーセキュリティの最前線に立たされています。普段受け取るメールやメッセージを、改めて見直してみませんか。「完璧な日本語」や「自然な文章」だからといって安心できる時代は終わりました。
みなさんの職場や家庭では、どのようなセキュリティ対策を取られているでしょうか。多要素認証の設定、パスワード管理の見直し、不審な連絡への対応方法など、日常的にできることから始めてみるのはいかがでしょう。この記事をきっかけに、身近な人とセキュリティについて話し合ってみるのも良いかもしれません。
