<p><b>「誰でもハッカー」時代の衝撃。最新AI犯罪を無力化するのは、あなたの知っているあの習慣だけ</b> / 12/25(木) / ライフハッカー・ジャパン <br><br>盗作問題や著作権侵害、あるいはデータセンターを維持するために膨大な電力と水が必要であることなど、AIを取り巻く課題は枚挙にいとまがありません。 <br><br>しかし、ここで取り上げたいのは、私たちにとって、もっと身近な脅威。それは、AIが悪質なマルウェアやフィッシング詐欺の作成に使われ、犯罪者がほんの数行のプロンプト(指示)を入力するだけで、大規模な詐欺キャンペーンを構築できるようになってしまったという現実です。 <br><br>「Vibescamming」(バイブスキャミング)と呼ばれるこの手法は、今やAIが生み出した最大の問題となりつつあります。ですが、怖がる必要はありません。セキュリティ対策の基本を押さえておけば十分に対策可能です。 <br><br><b>「Vibe Coding」の悪用?チャットボットが詐欺の共犯者に </b><br>「Vibe Coding」(バイブコーディング)という言葉をご存じでしょうか? これは、専門的なコードを書く代わりに、AIチャットボットと対話しながらソフトウェアをつくりあげる手法のこと。 <br><br>Vibescammingは、いわばその「悪の双子」のようなものです。 <br><br>仕組みはVibe Codingとまったく同じで、ただAIチャットボットにどんな攻撃を仕掛けたいかを話しかけるだけで、悪意のあるメールや偽のウェブサイト、さらにはマルウェアまで生成し、フィッシング詐欺やサイバー攻撃ができてしまうのです。 <br><br>プログラミングのスキルも、ハッキングの経験も一切不要。想像してみてください。パスワードを盗みたいけれど、そのためのプログラムなんて書けないという攻撃者がいるとします。 <br><br>これまではダークウェブでマルウェアを買う必要がありましたが、これからはただAIツールに向かって「仕事をしてくれ」と命令するだけで済むのです。 <br><br><b>誰でも、大量に、そして高速に攻撃者になれる </b><br>Vibescammingの恐ろしさは、サイバー犯罪への参入障壁をかつてないほど低くしてしまった点にあります。以前なら、犯罪者はウェブサイトのデザインや、自然な文章作成、あるいはマルウェアのコーディングを学ぶ必要がありました。今では、そのすべてをAIが代行してくれます。 <br><br>もう1つの脅威は、その「スピード」と「規模」です。 AIを使えば、人間には不可能な速度でタスクを自動化し、攻撃を拡大できます。 <br><br>たとえば、公開情報をスクレイピング(抽出)し、ターゲットに合わせたフィッシングメールを数千通単位で瞬時に作成することも可能です。 <br><br>さらに、臨機応変さも持ち合わせています。フィッシングサイトへのリンクがブロックされたら、攻撃者はAIに「コードや文面を修正して、新しいバージョンをつくって」と頼むだけ。これにより、防御システムをかいくぐる攻撃が次々と生み出されてしまうのです。 <br><br><b>「協力できません」AIたちの意外と堅実な防衛ライン </b><br>もちろん、すべてのチャットボットが言いなりになるわけではありません。 <br><br>Vibe Coding自体はどの生成AIでも可能ですが、Vibescammingに対しては多くのAIが「No」を突きつけます。 <br><br>主要なAIチャットボットには、危険な利用を防ぐための安全ガードレールが設けられているのです。 <br><br>たとえば、ChatGPTに「Microsoftのログイン画面にそっくりなサイトをつくって、そこに誘導するSMS文面も考えて」と頼んでも「それは詐欺や違法行為にあたるため、協力できません」と断られます。  <br><br>OperaのブラウザAI「Neon」や、Xの「Grok」も同様に、ソーシャルエンジニアリング攻撃に抵触するとしてリクエストを拒否します。 <br><br>しかし、脇の甘いチャットボットが存在するのも事実です。 この「Vibescamming」という言葉を提唱したGuardio Labsの2025年の調査によると、比較的新しいAIツールの中には、攻撃に加担してしまうものが見つかりました。 <br><br>たとえば、Vibe Codingを支援するアプリ「Lovable」は研究者のために「Microsoftのインターフェースに似たデザインを構想」し、フィッシングキャンペーンの企画と設計をしてしまったといいます。 <br><br>ただ、Lovableも完全に無防備だったわけではありません。 <br><br>実際にデータを収集する機能の追加を求めた際には拒否しましたし、現在は修正パッチが適用され、こうしたフィッシング計画の作成はできなくなっています。 <br><br><b>生成させないようAI各社は対応している、けれど </b><br>生成AIには「ジェイルブレイク(脱獄)」と呼ばれる抜け道が存在します。 <br><br>これは、特殊なプロンプトを駆使してAIの倫理制限(ガードレール)を回避させるテクニックのことです。 <br><br>ChatGPTの初期には多くの脱獄手法が出回りましたが、現在はかなり対策が進んでいます。開発企業であるOpenAI、Google、Anthropicなどが即座に穴を塞いでしまうため、有効なハッキング手法を見つけた人々はそれを公にせず、高値で取引したり、密かに利用したりする傾向にあります。 <br><br>通常のチャットボットは、開発者の努力によって「協力しない」という正しい振る舞いを見せています。 <br><br>しかし、ガードレールを意図的に外したローカルAIなどが悪用された場合、Vibescammingのリスクは依然として残ります。 <br><br><b>きほんの「き」が最強の防御策 </b><br>ここまで読んで「AIすごい、怖い」と思われたかもしれませんが、作成されるマルウェアや詐欺の手口自体は、私たちがこれまで対峙してきたものと大きく変わりません。 <br><br>攻撃の作成障壁は下がりましたが、届くメールに見られる「怪しいサイン」は共通しています。つまり、過剰にセキュリティ対策を変える必要はなく、これまでの基本を徹底することが最善の策なのです。 <br><br>注意すべきポイントをおさらいしましょう。 <br><br>話がうますぎるオファー:「Google検索で確実に1位」「即座に星5レビュー」「奇跡の治療法」といった約束は詐欺の常套句です。まともなビジネスや医療で「絶対」はあり得ません。 <br>送信元が曖昧:ビジネスの話なのに、GmailやYahooなどのフリーメールから送られてきていませんか? 本物の企業なら独自のドメインを使います。 <br>パーソナライズの欠如:あなたの名前や会社名がなく、単に「こんにちは」「Hello」だけではじまるメールは、一斉送信の詐欺である可能性が高いです。件名や書き出しが「親愛なるあなたへ(Hello dear)」のような不自然な日本語や英語が書かれていたらすぐにゴミ箱行きにしましょう。 <br>感情を揺さぶる仕掛け:アカウント情報の入力や前払いを求めたり、怪しいリンクをクリックさせようとしたりする場合、攻撃者は「恐怖」や「緊急性」を煽ります。「深刻な病気が治る」「市場を独占できる」といった極端な言葉も、焦らせて判断力を奪うための罠です。 <br>「今すぐ行動を!」と急かす:「今すぐ返信を」「今日中に行動を」と急かしてくるメールは赤信号。攻撃者はあなたに考える時間を与えたくないのです。 <br><br>攻撃者の数が増え、遭遇する頻度は上がるかもしれませんが、その特徴は変わっていないことを覚えておいてください。 <br><br><b>AIでつくられたマルウェアが暴れる未来 </b><br>少し前まで、AIがつくったマルウェアなんてSFの話か、大した脅威ではないと思われていました。しかし、この2025年に入って以降、状況は一変しています。 <br><br>Googleの脅威分析グループは2025年11月、AIツールによって開発され、さらに攻撃の指示を仰ぐためにAIツールへ通信を行うマルウェアを報告しています。 <br><br>また、2025年8月には、Anthropic社の「Claude」が大規模なマルウェアキャンペーンに悪用され、攻撃の設計や実行に使われていたことが判明しました。 <br><br>これらは単純なVibescammingよりも高度な事例かもしれませんが、AIが危険なタスクにいかに容易に転用されうるかを示しています。しかもこれらは、一般に公開されているAIツールでの話です。 <br><br>ガードレールを取り払われた強力なローカルAIが裏で何をしているか、想像するだけで恐ろしいです。 <br><br>だからこそ、私たちはテクノロジーの進化を注視しつつ、基本のセキュリティ対策を怠らない姿勢がこれまで以上に求められているのです。 <br><br>著者紹介:Gavin Phillips <br><br>テクノロジー解説、セキュリティ、インターネット、ストリーミング、エンターテイメントの執筆を行っているMakeUseOfのエディターで、10年以上の執筆経験を持つ。製品レビュー記事のほか、CES、IFA、MWCなどの技術見本市にも参加し、現場から直接レポートを届けている。 <br><br>訳:ライフハッカー・ジャパン編集部 <br><br>──2025年11月20日の記事を再編集のうえ、再掲しています。 <br><br>Source: Guardio, Google/Image: Gavin Phillips <br>Original Article: "Vibescamming" is the new online scam everyone’s falling for by MakeUseOf <br><br>ライフハッカー・ジャパン編集部</p><p> </p><p><a href="https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2?page=1" target="_blank" class="ke-link">https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2?page=1</a></p><div class="figure-open" contenteditable="false" data-ke-type="opengraph" data-ke-align="alignCenter" data-og-type="website" data-og-title="「誰でもハッカー」時代の衝撃。最新AI犯罪を無力化するのは、あなたの知っているあの習慣だ" data-og-description="盗作問題や著作権侵害、あるいはデータセンターを維持するために膨大な電力と水が必要であることなど、AIを取り巻く課題は枚挙にいとまがありません。 しかし、ここで取り上げたいのは" data-og-host="news.yahoo.co.jp" data-og-source-url="https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2?page=1" data-og-url="https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2" data-og-image="https://scrap.kakaocdn.net/dn/bsjZsQ/hyZP7r56xz/W88dE41ZD1KZbcWukBTG51/img.jpg?width=1200&height=800&face=0_0_1200_800,https://scrap.kakaocdn.net/dn/ATkcb/hyZQtUCCVt/uB9G6QvoeKp6HDO8x9z5c1/img.jpg?width=1200&height=800&face=0_0_1200_800,https://scrap.kakaocdn.net/dn/dApkQk/hyZPPqFwpw/byAgl5GYuVMGQcFalQCvKK/img.jpg?width=640&height=427&face=0_0_640_427"><a href="https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2?page=1" target="_blank" data-source-url="https://news.yahoo.co.jp/articles/edbd51a35fa66f099df034419772b4a14ec6dda2?page=1"><div class="og-image"><img class="thumb_img" src="https://scrap.kakaocdn.net/dn/bsjZsQ/hyZP7r56xz/W88dE41ZD1KZbcWukBTG51/img.jpg?width=1200&height=800&face=0_0_1200_800,https://scrap.kakaocdn.net/dn/ATkcb/hyZQtUCCVt/uB9G6QvoeKp6HDO8x9z5c1/img.jpg?width=1200&height=800&face=0_0_1200_800,https://scrap.kakaocdn.net/dn/dApkQk/hyZPPqFwpw/byAgl5GYuVMGQcFalQCvKK/img.jpg?width=640&height=427&face=0_0_640_427" alt="" xxonerror="this.src="//img1.kakaocdn.net/thumb/C200x200/?fname=https%3A%2F%2Ft1.daumcdn.net%2Fcafe_image%2Fcafe_meta_image_190529.png""></div><div class="og-text"><p class="og-title">「誰でもハッカー」時代の衝撃。最新AI犯罪を無力化するのは、あなたの知っているあの習慣だ</p><p class="og-desc">盗作問題や著作権侵害、あるいはデータセンターを維持するために膨大な電力と水が必要であることなど、AIを取り巻く課題は枚挙にいとまがありません。 しかし、ここで取り上げたいのは</p><p class="og-host">news.yahoo.co.jp</p></div></a></div><p><b>'누구나 해커' 시대의 충격. 최신 AI 범죄를 무력화하는 것은 당신이 알고 있는 그 습관뿐</b> / 12/25(목) / 라이프해커 재팬 <br><br>표절 문제나 저작권 침해, 혹은 데이터센터를 유지하기 위해서 방대한 전력과 물이 필요한 것 등 AI를 둘러싼 과제는 일일이 열거할 수 없습니다. <br><br>그러나 여기서 거론하고 싶은 것은 우리에게 더 가까운 위협. 그것은 AI가 악성 소프트웨어나 피싱 사기 작성에 사용돼 범죄자가 단 몇 줄의 프롬프트(지시)를 입력하는 것만으로 대규모 사기 캠페인을 구축할 수 있게 돼버렸다는 현실입니다. <br><br>「Vibescamming」(바이브스 캐밍)이라고 불리는 이 수법은, 지금 AI가 만들어 낸 최대의 문제가 되고 있습니다. 하지만 무서워할 필요는 없습니다. 보안 대책의 기본을 파악해 두면 충분히 대책이 가능합니다. <br><br><b>◇ 'Vibe Coding' 악용? 챗봇이 사기의 공범자로</b></p><p> </p><p>'Vibe Coding'(바이브 코딩)이라는 말을 아시나요? 이는 전문적인 코드를 쓰는 대신 AI 챗봇과 대화하면서 소프트웨어를 만들어내는 방식이다. <br><br>Vibescamming은 말하자면 그 '악의 쌍둥이'와 같은 것입니다. <br><br>구조는 Vibe Coding과 똑같고, 단지 AI 챗봇에게 어떤 공격을 하고 싶은지 말을 거는 것만으로 악의적인 메일이나 가짜 웹사이트, 심지어 악성코드까지 생성해 피싱 사기나 사이버 공격을 할 수 있게 됩니다. <br><br>프로그래밍 기술도, 해킹 경험도 일절 불필요. 상상해 보세요. 비밀번호를 훔치고 싶지만, 그것을 위한 프로그램을 쓸 수 없다는 공격자가 있다고 합니다. <br><br>지금까지는 다크웹에서 멀웨어를 사야 했지만 이제는 그냥 AI 도구를 향해 '일을 해달라'고 명령하기만 하면 됩니다. <br><br><b>◇</b> <b>누구나, 대량으로, 그리고 고속으로 공격자가 될 수 있다</b></p><p><br>Vibescamming의 무서움은, 사이버 범죄에의 참가 장벽을 전에 없이 낮게 해 버린 점에 있습니다. 이전이라면 범죄자는 웹사이트의 디자인이나 자연스러운 문장 작성, 혹은 멀웨어의 코딩을 배울 필요가 있었습니다. 이제는 그 모든 것을 AI가 대행해 줍니다. <br><br>또 하나의 위협은 그 「스피드」와 「규모」입니다. AI를 사용하면 인간에게는 불가능한 속도로 작업을 자동화하고 공격을 확대할 수 있습니다. <br><br>예를 들면, 공개 정보를 스크래핑(추출)해, 타겟에 맞춘 피싱 메일을 수천통 단위로 순식간에 작성하는 것도 가능합니다. <br><br>게다가 임기응변도 가지고 있습니다. 피싱 사이트 링크가 차단되면 공격자는 AI에게 코드나 문장을 수정해 새로운 버전을 만들어 달라고 부탁할 뿐이다. 이것에 의해, 방어 시스템을 피해가는 공격이 차례차례로 생겨나게 됩니다. <br><br><b>◇</b> <b>'협력 못해요'</b> <b>AI들의 의외로 건실한 방어선</b></p><p><br>물론 모든 챗봇이 하라는 대로 하는 것은 아닙니다. <br>바이브 코딩 자체는 어떤 생성 AI든 가능하지만 바이브 스커밍에 대해서는 많은 AI가 'No'를 들이댄다. <br><br>주요 AI 챗봇에는 위험한 이용을 막기 위한 안전 가드레일이 마련돼 있는 겁니다. <br><br>예를 들어, ChatGPT에 「Microsoft의 로그인 화면과 똑같은 사이트를 만들어, 거기에 유도하는 SMS 문면(메일내용)도 생각해」라고 부탁해도 「그것은 사기나 위법 행위에 해당하기 때문에, 협력할 수 없습니다」라고 거절됩니다.  <br><br>Opera의 브라우저 AI 'Neon'이나 X의 'Grok'도 마찬가지로 소셜 엔지니어링 공격에 저촉된다며 요청을 거부합니다. <br><br>하지만 약점이 있는 챗봇이 존재하는 것도 사실입니다. 이 'Vibescamming'이라는 말을 제창한 Guardio Labs의 2025년 조사에 따르면 비교적 새로운 AI 도구 중에는 공격에 가담해 버리는 것이 발견되었습니다. <br><br>예를 들어, Vibe Coding을 지원하는 앱 「Lovable」은 연구자를 위해 「Microsoft의 인터페이스와 비슷한 디자인을 구상」해, 피싱 캠페인의 기획과 설계를 해 버렸다고 합니다. <br><br>다만, 러블리즈도 완전히 무방비였던 것은 아닙니다. <br><br>실제로 데이터를 수집하는 기능의 추가를 요구했을 때는 거부했고, 현재는 수정 패치가 적용되어 이러한 피싱 계획의 작성은 할 수 없게 되어 있습니다. <br><br><b>◇</b> <b>생성시키지 않도록 AI 각사는 대응하고 있다, 하지만</b> </p><p> </p><p>생성 AI에는 「제일 브레이크(탈옥)」라고 불리는 샛길이 존재합니다. <br><br>이것은, 특수한 프롬프트를 구사해 AI의 윤리 제한(가드 레일)을 회피시키는 테크닉을 말합니다. <br><br>ChatGPT 초기에는 많은 탈옥 수법이 나돌았지만, 현재는 상당히 대책이 진행되고 있습니다. 개발 기업인 OpenAI, Google, Anthropic 등이 즉시 구멍을 막아버리기 때문에 효과적인 해킹 기법을 발견한 사람들은 이를 공개하지 않고 비싼 값에 거래하거나 몰래 이용하는 경향이 있습니다. <br><br>일반 챗봇은 개발자의 노력에 따라 '협력하지 않는다'는 올바른 행동을 보이고 있습니다. <br><br>하지만 가드레일을 의도적으로 제거한 로컬 AI 등이 악용될 경우 바이브스커밍 위험은 여전히 남습니다. <br><br><b>◇</b> <b>기본의 '기'가 최강의 방어책</b></p><p><br>여기까지 읽고 'AI 대단하다, 무섭다'라고 생각하셨을 수 있지만, 작성되는 악성코드나 사기 수법 자체는 우리가 그동안 대치해온 것과 크게 다르지 않다. <br><br>공격의 작성 장벽은 내려갔지만, 도착하는 메일에 보이는 「수상한 사인」은 공통되고 있습니다. 즉, 과도하게 보안 대책을 바꿀 필요는 없고, 지금까지의 기본을 철저히 하는 것이 최선책입니다. <br><br><b>주의해야 할 포인트</b>를 복습해 볼까요? <br><br><b>- 말을 너무 잘하는 오퍼</b> :「Google 검색에서 확실하게 1위」「즉각 별 5 리뷰」「기적의 치료법」이라고 한 약속은 사기의 상투구입니다. 제대로 된 비즈니스나 의료에서 「절대」는 있을 수 없습니다. <br><b>- 송신원이 애매합니다</b> : 비즈니스의 이야기인데, Gmail이나 Yahoo 등의 프리 메일로부터 보내지 않았습니까? 진짜 기업이라면 독자적인 도메인을 사용합니다. <br><b>- 개인화의 결여</b> : 당신의 이름이나 회사명이 없고, 단지 「안녕하세요」「Hello」 만으로 시작되는 메일은, 일제 송신의 사기일 가능성이 높습니다. 제목이나 서두가 「친애하는 당신에게(Hello dear)」와 같은 부자연스러운 일본어나 영어가 쓰여져 있으면 바로 쓰레기통으로 합시다. <br><b>- 감정을 흔드는 장치</b> : 계정 정보의 입력이나 선불을 요구하거나 수상한 링크를 클릭시키려고 하는 경우, 공격자는 「공포」나 「긴급성」을 부추깁니다. 「심각한 병이 낫는다」「시장을 독점할 수 있다」라고 하는 극단적인 말도, 초조하게 해 판단력을 빼앗기 위한 함정입니다. <br><b>-「당장 행동을!」이라고 재촉한다</b> : 「당장 답장을」「오늘 중으로 행동을」이라고 재촉해 오는 메일은 빨간불. 공격자는 당신에게 생각할 시간을 주고 싶지 않습니다. <br><br>공격자의 수가 증가하고, 조우하는 빈도는 올라갈지도 모르지만, 그 특징은 변하지 않았다는 것을 기억해 주세요. <br><br><b>◇</b> <b>AI로 만들어진 악성코드가 날뛰는 미래</b></p><p><br>얼마 전까지 AI가 만든 악성 소프트웨어는 SF 이야기인가, 큰 위협은 아니라고 생각되었습니다. 그러나, 이 2025년에 들어선 이후, 상황은 일변하고 있습니다. <br><br>Google의 위협 분석 그룹은 2025년 11월, AI 툴에 의해서 개발되어 한층 더 공격의 지시를 받기 위해서 AI 툴에 통신을 실시하는 멀웨어를 보고하고 있습니다. <br><br>또, 2025년 8월에는, Anthropic사의 「Claude」가 대규모 맬웨어 캠페인에 악용되어 공격의 설계나 실행에 사용되고 있던 것이 판명되었습니다. <br><br>이들은 단순한 바이브스커밍보다 더 고도의 사례일 수 있지만, AI가 위험한 작업에 얼마나 쉽게 전용될 수 있는지를 보여줍니다. 게다가 이것들은, 일반에게 공개되어 있는 AI 툴에서의 이야기입니다. <br><br>가드레일을 걷어낸 강력한 로컬 AI가 뒤에서 무엇을 하고 있을지 상상만 해도 무섭습니다. <br><br>그렇기 때문에, 우리는 테크놀로지의 진화를 주시하면서, 기본의 시큐러티 대책을 게을리 하지 않는 자세가 지금까지 이상으로 요구되고 있는 것입니다. <br><br>저자소개 : Gavin Phillips <br>테크놀로지 해설, 보안, 인터넷, 스트리밍, 엔터테인먼트 집필을 하고 있는 Make UseOf의 에디터로, 10년 이상의 집필 경험을 가진다. 제품 리뷰 기사 외에도 CES, IFA, MWC 등 기술박람회에도 참가해 현장에서 직접 리포트를 전달하고 있다. <br><br>번역 : 라이프 해커 · 재팬 편집부 <br>--2025년 11월 20일의 기사를 재편집한 후, 재게재하고 있습니다. <br><br>Source: Guardio, Google/Image: Gavin Phillips <br>Original Article: "Vibescamming" is the new online scam everyone’s falling for by MakeUseOf <br><br>라이프 해커 재팬 편집부</p>
<!-- -->
