サイバー攻撃で生成AIの活用が広がり、フィッシングの自動化が加速している。Microsoftの正規認証を悪用する「デバイスコード・フィッシング」（デバイスコード攻撃）も急増しており、フィッシング機能一式をサブスクリプション型で提供するPhaaS（Phishing-as-a-Service）の拡大が、その背景にあるとみられている。

米Axiosは、セキュリティ企業Huntressの報告書を引用し、2026年1〜4月のデバイスコード・フィッシングが、2025年下半期に比べて1380％増加したと報じた。

デバイスコード・フィッシングは、テレビやゲーム機など、キーボード入力が難しい機器をMicrosoftアカウントに接続する際に使われる正規の認証方式を悪用する手口だ。攻撃者は被害者を実在するMicrosoftのログインページに誘導し、自ら生成したデバイスコードを入力させる。

被害者がログインと多要素認証を終えると、攻撃者はアクセストークンを窃取できる。Axiosによると、こうしたトークンの窃取・管理ツールはサブスクリプション型のフィッシングキットとして販売されており、技術力の高くない攻撃者でも高度なフィッシング攻撃を実行できるという。

これまでサイバー犯罪者は主に、フィッシング文面をより自然に見せたり、標的ごとに最適化したりする用途でAIを活用してきた。

一方、Huntressは報告書で、攻撃活動の相当部分が、ID窃取インフラやフィッシングキット、AIベースのワークフローをひとまとめにし、他の犯罪者向けにサブスクリプション型サービスとして提供するPhaaSプラットフォームに関連していると説明した。

数百件の事例を調査したところ、同一の誘導メッセージは1件も確認されなかった。Huntressは、脅威アクターが生成AIを使い、メッセージを大規模に個別最適化していたことを示す結果だとしている。

さらに同社は、サイバー犯罪組織が生成AIと自動化ワークフローを組み合わせることで、フィッシング攻撃を産業化しつつあることを示す初期的な兆候だと分析した。

HuntressのCEO、カイル・ハンスロバン氏は、AI生成コンテンツと自動化ワークフロー、サブスクリプション型の攻撃プラットフォームが結び付くことで、参入障壁が下がる一方、攻撃のスピードは一段と増しているとの見方を示した。

同氏は「運用の多くが自動化されれば、システムエンジニアである必要も、データ正規化の方法を知っている必要もない。誰でも使える状態になっている」と述べ、「サイバー犯罪組織の運用レベルは平均的な企業を上回る」と語った。

OpenAIやAnthropicが提供するAIモデルの高度化に歩調を合わせる形で、AIを使った攻撃の水準も高まるとの警戒感は強まっている。

オーストラリア、米国、英国、ニュージーランド、カナダの情報機関が参加する信号情報協力の枠組み「ファイブ・アイズ」も最近、政府機関や企業を狙う破壊的なAIサイバー攻撃が数カ月以内に現実化する可能性があると警告した。

各機関は声明で、「AIは時間の経過とともにサイバー防衛の強化に役立つ一方、サイバー脅威の速度、規模、巧妙さも加速させている」と指摘した。そのうえで、「フロンティアAIモデルは、業界の予想を上回る形で攻撃・防御のサイバー能力を根本から変える見通しであり、それは数年先ではなく数カ月以内に現実になる」とした。

シドニー大学米国学研究センターのAI・国家安全保障専門家、オリビア・シェン氏は「次世代のミトスやフェーブルが、すぐ目の前まで来ている可能性を想定すべきだ」と述べた。さらに「私たちが見えているのは公開されたものに限られるが、中国や他の国、企業が同等に高度なモデルを開発している可能性がある」と語った。