あなたは社内データを未承認のAIに入力した――。
そんな身に覚えのない“監査結果”を突きつけ、懲戒処分を避けたければビットコインを支払えと迫る不審なメールが出回っています。
生成AIの利用ルールに対する不安につけ込んだ新手の詐欺メールとみられ、注意が必要です。
■ 生成AIの利用違反をでっち上げる巧妙な文面
問題のメールの件名は「【重要】内部セキュリティ監査結果の開示通知 – 事案番号 #8821」となっており、送信元は「Security Alert」と名乗っていました。
本文は「従業員各位」という書き出しから始まり、社内ネットワークの定期監査によって不正なアクティビティが特定されたと主張する内容です。
具体的には、機密性の高い社内データを未承認の大規模言語モデル(LLM)に入力したことや、行動規範に違反する禁止コンテンツの生成が確認されたと記載されています。
しかしながら、いつ、どのようなデータを、どのAIに入力したのかといった詳細な情報は一切書かれておらず、受け取った側にとっては全く身に覚えのない抽象的な内容となっています。
■ 送信元は実在ドメイン表示 メールアドレス偽装で社内通知を装う
このメールの最も悪質な点は、根拠のない規約違反について「行動規範(第4.2条:利用規約)」という、あたかも就業規則にありそうな条文を持ち出した上で、「懲戒委員会の開催および雇用契約の解除という事態を避けるため」と不安を煽り、金銭を要求してくる点です。
加えて、送信元には実在する企業ドメインのメールアドレスが表示されており、一見すると正規の業務メールのように見える点も特徴です。
今回記者が確認したメールでも、送信者には受信者と同じドメインが表示されていました。しかし、ヘッダー情報を確認すると、実際には別の外部IPアドレスを経由して送信されていたことが分かりました。表示上のメールアドレスだけを偽装し、正規の社内メールに見せかける手口とみられます。
■ 和解金として約38万円相当のビットコインを要求
メールの後半では、事態を非公開で解決するための「和解金」と称し、指定のビットコインアドレスへ0.03BTCを送金するよう要求しています。日本円に換算すると約38万円という大金です。
さらに「期限は24時間以内であり、支払いが確認できない場合はスクリーンショットを含む完全な報告書を取締役会や部署の責任者に提出する」と、時間的な猶予を与えずに焦らせる手口が使われています。
■ 過去の脅迫メールから派生した新手の手口か
このような手口は、社長などの役員になりすまして送金させようとする「ビジネスメール詐欺」や、アダルトサイトの閲覧履歴を周囲に暴露されたくなければ金銭を支払えと脅す「セクストーション(性的脅迫)」といった、過去の詐欺メールの構造と非常に似ています。
今回は、企業で急速に利用が広がる生成AIへの不安やコンプライアンス意識につけ込んだ形とみられます。業務で生成AIを利用している人が抱きがちな「社内ルールに違反してしまったのではないか」「会社から処分されるのではないか」という心理を突く点では、従来のセクストーションから派生した手口ともいえそうです。
業務で日常的にAIを利用している人であれば、このようなメールを受け取ると一瞬ドキッとしてしまうかもしれません。しかし、これは不特定多数に送りつけられている典型的な詐欺メールです。
具体的な証拠が示されていない不審なメールに対しては、決して焦って相手の要求に応じたり、返信したりしてはいけません。まずは社内の情報システム部門や担当部署に確認し、冷静に対応することが重要です。
(山口弘剛)
Publisher By おたくま経済新聞 | Edited By 山口 弘剛 | 記事元URL https://otakuma.net/archives/2026051102.html