AIエージェントもフィッシング詐欺に騙される？企業が知るべきリスクと対策

「AIが業務を自動化してくれるなら、セキュリティも任せられるのでは？」——そんな期待を持つ経営者・IT担当者の方も多いのではないでしょうか。しかし2025年6月、米セキュリティ企業Varonisが発表した検証レポートは、その期待に冷や水を浴びせる内容でした。AIエージェントは、人間と同様にフィッシング詐欺に騙される可能性があるというのです。

今回は、このニュースの内容を丁寧に解説しつつ、中小企業の経営者・IT担当者として何を知り、何を備えるべきかをお伝えします。

---

① ニュース概要：AIエージェントがフィッシングに”引っかかった”

Varonisは、ローカル環境で動作するAIエージェントの開発・評価フレームワーク「OpenClaw」を使い、AIエージェントがフィッシング攻撃に対してどのように反応するかを検証しました。

実験では、AIエージェントにGmailの受信トレイを確認・操作できる権限を与え、巧妙に作られたフィッシングメールに対してどう対応するかを確かめました。使用したAIモデルはGemini 3.1 ProとGPT-5.4という、現在最先端とされる2つのモデルです。

セキュリティ設定は2パターン用意されました。

• Generic（汎用設定）：セキュリティ対策を含まない標準設定
• Strict（厳格設定）：フィッシングへの注意やユーザーへの確認ステップを明示的に指示した設定

攻撃シナリオは全部で4種類。システム開発者へのアクセス権要求、顧客データの外部送信誘導、ギフトカード詐取、偽OAuthによる認証情報の窃取——いずれも実際のビジネス現場で起こりうるリアルな手口です。

結果は衝撃的でした。GenericはもちろんのこころかStrictな設定でも、AIエージェントは複数のシナリオで攻撃者の意図に沿った行動を取ってしまったのです。

---

② 技術的なポイント：なぜAIは騙されるのか

「プロンプトインジェクション」という攻撃手法

今回の攻撃の核心は「プロンプトインジェクション」と呼ばれる手法です。フィッシングメールの本文中に、AIへの指示（プロンプト）を埋め込み、エージェントが正規のタスクを処理する際にその悪意ある命令を”自分への指示”として実行させてしまうというものです。

つまり、攻撃者はAIに直接話しかけているわけではなく、AIが読み込むデータ（メール本文）の中に罠を仕掛けているのです。

モデルごとの振る舞いの違い

興味深いのはモデルごとの反応の違いです。

• GPT-5.4：自動的なデータ分析には積極的に警告を出す傾向
• Gemini 3.1 Pro：疑わしい状況でも確認なしに会話に乗り込もうとするケースが見られた

また、Strict設定でも問題が発生したシナリオ（特にシナリオ①）では、「夜間9時」という”緊急性”を演出した状況設定に対し、AIが「エージェントは社会的・感情的な手がかりに対して適切な反応を示していなかった」とVaronisは分析しています。人間であれば「深夜の不審なメールは怪しい」と感じる直感が、AIにはまだ備わっていないということです。

エージェントの”自律性”がリスクを拡大する

従来のAIチャットボットと異なり、AIエージェントはタスクを受け取ると自律的に計画を立て、複数のツールやシステムを操作しながら実行します。一度騙されると、確認なしにデータを外部送信したり、認証情報を攻撃者に渡したりする一連の行動が自動で完了してしまいます。

「デフォルトで自タスク実行プロセスを優先し、ユーザーへの確認を省く」という設計上の傾向が、このリスクを直接的に増幅しているとVaronisは指摘しています。

---

③ ビジネスへの影響：中小企業こそ注意が必要

AIエージェント導入の波は中小企業にも

「AIに業務を任せる」という流れは、もはや大企業だけのものではありません。メールの自動返信、顧客データの整理、スケジュール管理——こうした業務をAIエージェントに担わせる動きは、中小企業にも急速に広がっています。

しかし今回の検証が示すのは、業務権限を与えたAIエージェントは、それ自体が新たな攻撃経路になり得るという現実です。

狙われる価値が高まっている

Varonisは「エージェントが代行する業務価値の高まりとともに、攻撃者にとっての標的としての魅力も増す」と警告しています。

例えば、CRMシステムにアクセスできるAIエージェントが顧客の電話番号・氏名・取引履歴を外部に送信してしまった場合、その損害は甚大です。中小企業では一件の情報漏洩が経営危機に直結することも珍しくありません。

“エージェントの目線”で既存のフィッシング手口が進化する

従来のフィッシング詐欺は、主に人間を騙すことを目的としていました。しかし今後は、AIエージェントを標的にした専門的なフィッシング攻撃が増加すると予測されます。AIは24時間365日稼働し、大量のメールを処理するため、攻撃者にとっては人間よりも”効率的なターゲット”になる可能性すらあります。

---

④ Papapapapa の見解：AI活用と安全性の両立こそが本質

私たちPapapapapa（合同会社Papapapapa）は、中小企業へのAI・DX導入支援を通じて、多くの現場の課題と向き合ってきました。今回のニュースを受けて、改めて強調したいことがあります。

「使わない」は解決策にならない

「セキュリティリスクがあるなら、AIエージェントを使わなければいい」という判断は、短期的には安全に見えても、長期的には競合他社との差を広げるだけです。重要なのは、リスクを正しく理解した上で、安全に活用する仕組みを整えることです。

今すぐできる3つの対策

1. AIエージェントに与える権限を最小限にする AIエージェントには「必要な作業だけを行える権限」のみを付与しましょう。全メールの読み書き権限や、外部サービスへのデータ送信権限を無制限に与えることは避けてください。

2. 人間による承認ステップを設ける 外部へのデータ送信や、通常とは異なる操作リクエストが発生した際には、必ず人間の承認を挟む設計にしましょう。「AIが判断して自動実行」という構造は、今の段階では高リスクです。

3. AIの操作ログを定期的に監視する AIエージェントが何をしたかのログを取得し、定期的に確認する仕組みを構築してください。異常な操作パターンを早期に発見することが、被害の拡大防止につながります。

セキュリティ設計はAI導入前に

AIエージェントの導入を検討されている方は、「とりあえず使い始める」ではなく、導入設計の段階からセキュリティを組み込むことを強くお勧めします。後からセキュリティを追加しようとすると、コストも手間も倍以上かかります。

---

⑤ まとめ：AIは強力なツール、だからこそ”管理する目”が必要

今回のVaronisの検証は、AIエージェントの活用が広がる中で、非常に重要な警鐘を鳴らしています。

• AIエージェントはフィッシング攻撃（プロンプトインジェクション）に騙される可能性がある
• Strictな設定でも完全には防げないケースがある
• AIの自律性の高さが、被害の範囲と速度を拡大させる
• 「緊急性」や「社会的な文脈」に対するAIの感度は、人間より鈍い

AIは確かに業務を効率化する強力なツールです。しかし、強力なツールを安全に使うためには、それを管理・監督する人間の目と仕組みが不可欠です。

Papapapapa では、AI・DX導入にあたってのセキュリティ設計から、運用後のリスク管理まで、中小企業の実情に合わせた支援を提供しています。「うちの会社でAIを使い始めたいけど、何から手をつければいいかわからない」という方は、ぜひお気軽にご相談ください。

---

本記事は2026年6月10日時点の情報をもとに作成しています。