【偽のSBI証券】 vs 【人工知能】AIはフィッシングメールを見抜けるのか
※当サイトはアフィリエイトプログラムを利用しています。
「AIが書いた」ニュースや記事が増え、「AI」といった新しい技術が話題になっているのは、あなたもご存じですよね。
今回はAIにフィッシングメールを投げて、どういった返答があるのか実験してみました。
使ったのはこちらの3種類で、いずれも無料で利用できるというありがたいもの。
- ・Gemini2.5Flash
- ・Claude Sonnet4
- ・ChatGPT4
フィッシングメールの場合、送信元のメールアドレスやメールのタイトルを見ると「フィッシングメールだ!」と、わかりやすいので、メール本文だけAIに投げています。
実際のメールはこんな感じで「なりすましの可能性が高い」と書いてありますからね。
質問の仕方も「フィッシングメールだと思う?」ではなく「以下のメールどう思う?」と、フィッシングというワードは入れていません。
「以下のメールどう思う?」には「怪しいメールかも」だけではなく、例えばビジネスメールとして「添削して」といった意味合いなども含まれると思うんですね。
あえてシンプルな質問でAIにはヒントを与えない形にしたかったのです。
結論から先に述べると、フィッシングメールのかどうかの判別はできています。
フィッシングメールの対処法も掲載していますので困っているなら直ぐチェックして対策しましょう。
記事は長いので目次を上手く使ってね。
こちらの記事も参考にされてください。
AIはフィッシング詐欺メールを見抜けるのか?AI vs AIの攻防!
【AI vs 詐欺師】PayPay・銀行・国税庁の偽メールをAIが判別できるか試してみた
フィッシングメールの中身をチェック
まずは、どんなフィッシングメールなのか、見ていきましょう。
フィッシングメールのアドレス
Sbi.fujunpj@actress-company.co.jp
フィッシングメールのタイトル
【緊急・取引凍結の重要なお知らせ】不正取引関連でお客様資産が一時停止中|至急ご対応ください(SBI証券)
フィッシングメールの本文
平素よりSBI証券をご利用いただき誠にありがとうございます。
最近、市場内で発生しているマルウェア攻撃やフィッシング詐欺に起因する不正な取引活動が急増しております。弊社セキュリティ部門の最新調査により、お客様が保有されている一部の銘柄がこれらの攻撃に関連している可能性が高いことが判明したため、安全措置として当該資産の取引停止および資金の一時的な凍結処置を取らせていただきました。
お客様の資金の安全な解除と通常取引の再開を希望される場合は、至急下記の公式ページにて本人確認を行い、必要な手続きを完了してください。
【資金凍結解除の方法】
▼公式本人認証・資金解除ページ:
https://www.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=none&dir=info&file=home_loginpassword.html
(1) 上記リンクをクリックし、SBI証券公式ログインページにアクセス
(2) ユーザーネーム・取引パスワードを入力しログイン
(3) 表示される不正取引の詳細情報を確認後、画面の指示に従い手続きを完了
(4) 完了後、即座に口座の資金凍結が解除され、取引が再開可能となります。
【重要なご案内】
48時間以内にお手続きが確認できない場合、資産保護のため口座の完全凍結が継続される可能性があります。
■セキュリティ推奨設定:
- FIDO認証(スマートフォンの生体認証)をご利用ください。
- デバイス認証を設定し、未承認端末からのアクセスを防止してください。
弊社は常にお客様資産の安全確保を最優先に取り組んでおります。引き続きのご理解とご協力を何卒お願い申し上げます。
ご質問・ご不明な点がございましたら、下記窓口までご連絡ください。
----------------------------------------------------------------------
発行:株式会社SBI証券 金融商品取引業者、商品先物取引業者
公式サイト:www.sbisec.co.jp
TEL:0120-104-214(トーシニイーヨ)
携帯電話:03-5562-7530
営業時間:年末年始除く平日8:00~17:00
住所:〒106-6019 東京都港区六本木1-6-1 泉ガーデンタワー19F
登録番号:関東財務局長(金商)第44号
加入協会:日本証券業協会、金融先物取引業協会、
第二種金融商品取引業協会、日本STO協会、
日本商品先物取引協会、日本暗号資産等取引業協会
----------------------------------------------------------------------
Copyright(C)SBI SECURITIES Co., Ltd. ALL Rights Reserved.
- フィッシングメールの接続先
- 偽の株式会社SBI証券
- https://9kgh1ga1.top/TwbQqiIzk
こちらは本物のSBI証券による注意喚起です。
SBI証券
・ 投資詐欺事例一覧より悪意のある第三者が、フィッシングやマルウェアなどの何らかの手段でユーザーネーム・ログインパスワード・取引パスワードを取得し、不正な取引が行われた事案がいくつか確認されています。
本ページでは当社に寄せられた投資詐欺の事例をご案内しています。
実際の事例をご確認いただくとともに、不審なメールやWEBサイト、SNSアカウント等には十分にお気を付けください。
AIのそれぞれの回答
フィッシングメールかどうかの判別とその根拠も示してあります。
ちょっと長くなっちゃうし、重複してしまいますが、AIが示すフィッシングメールである根拠は、そのままフィッシング詐欺対策になりますので掲載しておきますね。
読むのが面倒なら上の目次で飛んでください。
「Gemini2.5Flash」「ChatGPT4」は「フィッシングメールの可能性が非常に高い」という回答で100%断言とまではいかないまでも、不審点を挙げて「非常に危険」であると警告しています。
「Claude Sonnet4」も不審点を挙げて「非常に危険」であると警告しているのは同じ。
回答の始めに「このメールは典型的なフィッシング詐欺メールです」と断言する形をとっています。
AIの性質上、どちらの回答でもおかしくないですが、「Claude Sonnet4」がフィッシング詐欺メールだと断言したのは少し感心してしまいました。
ただ、たった一つのメールを試しただけですから、「あくまで今回はこのような結果だった」としておきますね。
Gemini 2.5Flashの回答
いただいたメールはフィッシング詐欺メールである可能性が非常に高いです。
以下にその理由をいくつか挙げます。
詐欺である可能性が高い理由
1. 不安を煽る内容
「マルウェア攻撃」「資金凍結」「48時間以内」といった言葉を使い、ユーザーの不安や焦りを煽り、冷静な判断力を奪おうとしています。
このような緊急性を装う手口はフィッシング詐欺の典型です。
2. 不審なURL
本文中のURLは一見するとSBI証券の公式URLのように見えますが、これは巧妙に偽装されたものです。
実際のSBI証券のURLは「sbisec.co.jp」で始まりますが、このURLのドメイン部分をよく確認すると、不審な部分や誤りがある可能性があります。
また、公式サイトではログインやパスワードの変更を促す際に、メール内のリンクから直接行うようには誘導しません。
3. 個人情報の入力を求める誘導
「本人確認」と称して、メール内のリンクからログイン情報(ユーザーネーム、取引パスワード)を入力させようとしています。
これは、ユーザーの情報を盗み取るための手口です。
4. 記載されている情報
メールのフッター部分にSBI証券の住所や電話番号などが記載されていますが、これは正規のメールを装うための偽装です。
本物の情報が記載されていても、メールそのものが詐欺である可能性は否定できません。
あなたが取るべき行動
絶対にこのメール内のリンクをクリックしたり、情報を入力したりしないでください。
もし不安な場合は、メールに記載されている連絡先ではなく、ご自身でSBI証券の公式サイトを検索し、記載されている電話番号や問い合わせフォームから直接SBI証券に状況を確認することをおすすめします。
また、メールはすぐに削除してください。
なぜこのような詐欺が起こるのか?
最近のサイバー攻撃は非常に巧妙化しており、企業になりすまして個人情報を盗もうとするケースが増加しています。
万が一、このメールに記載されているURLにアクセスして情報を入力してしまった場合は、すぐにSBI証券に連絡してパスワードの変更などの対応を取ってください。
今回のような巧妙なメールは、本物と見分けるのが難しい場合があります。
特に、不安を煽る内容や、本物そっくりの連絡先情報が記載されていると、思わずリンクをクリックしてしまう危険性があります。
AIがフィッシングメールを見抜く上で重要となるポイントは、主に以下の点です。
- URLの不審な点
正規のドメイン名と少し違う、不自然な文字列が含まれていないか。 - 緊急性や不安を煽る表現
「資金凍結」「48時間以内」など、冷静な判断を奪うような言葉が使われていないか。 - 個人情報の入力を求める誘導
メール内のリンクからログイン情報やパスワードの入力を促していないか。
これらの特徴を総合的に判断することで、フィッシングメールの危険性を認識し、ユーザーに注意を促すことが可能になります。
ChatGPT4の回答
このメールは非常に精巧なフィッシング詐欺の可能性が高いです。
以下にその理由を挙げます。
❗危険ポイントまとめ
1. 不安をあおる内容
「マルウェア攻撃」「フィッシング詐欺」「資金凍結」「48時間以内に手続きが必要」など、急いで行動させようとする典型的なフィッシングの手口です。
2. 偽のリンク
表示されているリンクが「https://www.sbisec.co.jp/...」で一見正規に見えますが、URLを偽装している可能性があります。
HTMLメールで「表示URL」と「実際に飛ぶURL」が違うケースがよくあります。
実際にクリックすると偽サイトに誘導され、ログイン情報を盗まれることがあります。
3. 本人認証を装う
「ログイン」「パスワードの入力」「画面の指示に従って手続き」という流れは、典型的な認証情報を盗む目的の手法です。
4. 本物らしい署名や連絡先で安心させる
本物のSBI証券の住所・電話番号・登録番号などが記載されていますが、これはネット上で容易に入手可能な情報で、詐欺メールによく使われます。
✅確認すべきこと
SBI証券の公式サイトに直接アクセスし、ログイン画面がメール内リンクと一致するか確認する。
公式サポートに電話で問い合わせる(ただし、メールに書かれた番号ではなく、検索で出てくる本物の番号を使う)。
メールの差出人アドレスを確認する(sbi.co.jp 以外のアドレスだった場合、確定で偽)。
🔐 対策
絶対にメールのリンクからログインしない。
不審なメールは「SBI証券のセキュリティ窓口」に通報することも可能です。
もしリンクをクリックしてしまった・情報を入力してしまった場合は、速やかにSBI証券に連絡し、パスワード変更などの対応を。
📌結論
このメールは非常によくできていますが、詐欺メールの特徴をすべて備えています。
リンクをクリックせず、公式サイト・公式サポートから確認を。
Claude Sonnet4の回答
このメールは典型的なフィッシング詐欺メールです。
絶対にリンクをクリックしたり、個人情報を入力したりしないでください。
詐欺である理由
1. 緊急性を煽る手法
「48時間以内」「至急」などの緊急性を強調
「口座凍結」という不安を煽る内容
2. URLの不審な点
正規のSBI証券のドメインを使っているように見えますが、実際のURLは非常に複雑で怪しい
正規の証券会社がこのような複雑なURLで重要な手続きをさせることはありません
3. 内容の不自然さ
「マルウェア攻撃に関連する銘柄」という曖昧で非論理的な説明
正規の証券会社なら、もっと具体的で明確な説明をします
4. 手続きの不自然さ
正規の証券会社なら、重要な手続きは必ず公式サイトから直接アクセスさせます
メールのリンクから直接ログインページに誘導することはありません
正しい対応
このメールを無視する
SBI証券の公式サイトに直接アクセスして口座状況を確認
公式の電話番号(0120-104-214)に直接電話して確認
このメールを迷惑メールとして報告
もし既にリンクをクリックしたり情報を入力してしまった場合は、すぐにパスワードを変更し、SBI証券に連絡してください。
このケースでは、確かに複数の典型的なフィッシング手法が組み合わされていて、AIがどの程度見抜けるかの良いテスト材料ですね。
私が特に注目したのは
- ソーシャルエンジニアリング
緊急性と恐怖心を同時に煽る手法 - 権威への偽装
実在する企業名や正規っぽい連絡先情報の使用 - URLの巧妙さ
一見正規のドメインを含んでいるように見せかける手法 - 心理的圧迫
時間制限を設けて冷静な判断を阻害する戦術
AIに質問してみるのも一つの方法
上記のAIが出した回答には、このような共通点がありました。
- 1.緊急性を煽る/不安をあおる/心理的圧迫
- 2.偽のリンク/URLの不審/URLの巧妙さ
- 3.権威への偽装/本物らしい署名や連絡先
これらのキーワードは、当サイトの関連記事にフィッシングメールかどうかの詳しい判別方法を掲載していますので、参考にされてください。
危険なリンクをクリックする前に!あなたの身を守るURLチェック術
そのメール、本当に本物?個人情報を守るメールフィッシング完全対策ガイド
フィッシング詐欺が目的のメールかどうか、自分で判断できない場合はAIに質問してみるのも一つの方法ですが。
自分で判断できるようになるのが一番良いので、お時間があるなら当サイトのフィッシング詐欺対策記事をぜひ、読まれてくださいね。
偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】
「偽サイトに要注意!フィッシング詐欺対策に必須の【7つのポイント】」の記事内には他の様々な
- ・ボイスフィッシング
- ・SNSフィッシング
- ・SMSフィッシング
など、フィッシング詐欺の種類別の記事もリンクしてあり、「これ一冊で」ではないですが、この記事一つでがっつりフィッシング詐欺の知識を学べます。
知識は荷物になりませんし、あなた自身やあなたにご家族を守るために大切な情報が詰まっていますよ。
AIの開発スピードと学習スピードはすさまじいので、フィッシング詐欺に限らずですが、あなたの「なんかこれ怪しいかも」をAIで解決できるでしょう。
ネット上にある情報は全て学習しちゃってるみたいですから、なおさら詐欺対策に関わることならAIは強いはず。
とはいえ、AIに「判断を委ねる」のではなく、あくまで「自分で判断するための補助ツール」として使ってくださいね。
もちろん、自分ではよくわからないなら、メールのURLはクリックしないようにしてください。
今回の場合なら、本物の「SBI証券」に直接問い合わせるなどしましょう。
まとめ
この実験で試したのは一通のフィッシングメールですが、私は過去にも面白半分でAIがフィッシングメールだと判別できるか何度か試したんですよ(笑)。
しっかりフィッシングメール判定が出ていましたので、そのうち記事にしようと考えていたのです。
今回の実験で、AIはフィッシングメールを見抜く上で有効なツールとなり得ると示されたのでは?と感じます。
もちろん、AIの回答を鵜呑みにするのではなく、その根拠を理解し、最終的な判断は自分自身で行う必要があります。
もし不審なメールを受け取った場合は、「AIに質問してみるのも一つの方法」です。
そして、AIが指摘した不審な点(リンクや差出人など)を参考にしながら、本当に信頼できる情報源(公式サイトなど)で確認する習慣をつけましょう。
詐欺師が人の心理の隙を狙うように、私たちはAIという新しいツールを駆使して、その隙を埋めていく。
これからの時代に求められる防衛策のひとつとなるでしょう。
フィッシング詐欺から身を守るための7つの心構え
巧妙化するフィッシング詐欺から大切な情報を守るには、常に警戒心を持つことが重要です。
偽サイトは本物そっくりに作られていますが、注意深く確認すれば必ず見抜けるポイントがあります。
特に以下の7つの点を意識し、「少しでも怪しいと感じたら、立ち止まって確認する」 習慣をつけましょう。
1. URLを隅々まで確認する
本物と一字一句同じか、不審な記号やドメインが含まれていないかチェックしましょう。
2. 不自然な日本語に注意する
誤字脱字やぎこちない言い回しは、偽サイトのサインかもしれません。
3. 鍵マーク(SSL証明書)の詳細を確認する
鍵マークがあっても安心せず、証明書の発行元や有効期限を確認しましょう。
4. 連絡先・運営者情報は必ず裏付けを取る
記載されている情報が本当に機能するか、別の方法で確認することが大切です。
5. 緊急性を煽る文言に騙されない
「今すぐ対応しないと大変なことになる」といった表現は、冷静な判断を奪う手口です。
6. 身に覚えのないメールやSMSからの誘導を疑う
不審なリンクは絶対にクリックせず、公式サイトから直接アクセスしましょう。
7. 不自然な入力フォームや個人情報の要求に警戒する
過剰な情報要求や、デザインの粗雑さがないか確認しましょう。