毎日のようにニュースで流れる「○○に重大な脆弱性」「個人情報○万件が流出」。AIの普及で詐欺の手口も巧妙になったと聞くし、正直、何をどこまで気にすればいいのか分からない——そんなふうに感じていませんか。
先に結論を言います。脆弱性ニュースは、追わなくて大丈夫です。私は通信インフラの構築・運用を10年以上やってきたネットワークエンジニア(以下、NE)ですが、仕事で関係する製品以外の脆弱性情報は追っていません。プロでも全部は無理だからです。
その代わり、生活者として押さえるべきポイントは3つに絞れます。この記事ではその3つを、現場の感覚を交えて解説します。
脆弱性ニュース、全部追うのはプロでも無理です
まず、どれくらい無理なのかを数字で見てみます。世界共通の脆弱性データベースに登録されたCVE(脆弱性の識別番号)は、2025年の1年間で48,185件。前年から20.6%増え、過去最多を更新しました。1日あたり約130件のペースです。
5年でほぼ2.4倍。この増加ペースの一因には、AIによるコード生成・脆弱性探索の普及もあると指摘されています。つまり「脆弱性が毎日報告される状況」は今後も続きます。
でも、安心してください。攻撃者の側から見ると、48,185件の脆弱性のうち実際に悪用されるのはごく一部です。そして一般の生活者が狙われるとき、入口の大半は高度なハッキングではなく、「人をだます」攻撃——つまりフィッシングや詐欺です。
だからこそ、私たちが意識すべきことは技術ニュースの追跡ではなく、次の3つになります。
- 入力した情報は戻ってこない前提で使う
- 「もっともらしさ」を信用の根拠にしない
- 基本動作を続ける(価値はむしろ上がっている)
順番に見ていきます。
①入力した情報は戻ってこない前提で使う
AIチャットや便利なアプリに情報を入力するとき、私たちは「預けている」つもりになりがちです。でも実態は違います。入力した瞬間に、その情報は自分の管理下から離れます。手放した、に近い感覚が正解です。
サービス側に脆弱性や設定ミスがあれば、預けたつもりの情報は流出します。そして流出したとき被害の大きさを決めるのは、「何を入れていたか」です。
最初から入れなければ、漏れようがありません。これが最も確実で、コストゼロの防御です。具体的には、次のものはAIチャットや出所のはっきりしないアプリに入力しないでください。
- 自宅の住所、勤務先が特定できる情報
- 勤務先の内部資料・顧客情報(コピペ含む)
- 自分や家族の顔写真、子どもの名前・学校
- パスワード、口座・カード番号
実は、これはNEの現場でも同じです。私は客先で「設定ファイルを生成AIに貼らないでください」とお願いすることがあります。機器の設定ファイルには、ネットワーク構成やパスワードのヒントが詰まっているからです。企業が守っているものと、皆さんの家庭で守るべきものは、ルールとしては同じなんです。
②「もっともらしさ」を信用の根拠にしない
ひと昔前、フィッシングメールには分かりやすい特徴がありました。不自然な日本語、怪しいレイアウト。「日本語が変だから詐欺」という見分け方が、ある程度通用したのです。
その時代は終わりました。生成AIは、自然な日本語の文章を無限に作れます。フィッシング対策協議会への報告件数は2026年3月の1か月だけで122,381件にのぼり、高止まりが続いています。文面の自然さで本物と偽物を見分けるのは、もう不可能だと考えてください。
本物のメールアドレスから詐欺が届く時代
「でも、送信元のメールアドレスを確認すれば大丈夫でしょ?」——残念ながら、それも通用しなくなっています。正規のアドレスからフィッシングが届くパターンが2つあるからです。
パターン1:送信元の偽装(なりすまし)
メールの差出人欄は、技術的に偽装できます。本来はSPF・DKIM・DMARCという送信元認証の仕組みで偽装を弾けるのですが、設定が不十分なドメインだと、本物そっくり——というより本物のアドレス表記そのもので偽メールが届きます。
実際、フィッシング対策協議会が調査用メールアドレスに届いたフィッシングメールを分析したところ、2026年3月分の約49.7%が、実在するサービスのメールアドレス(ドメイン名)を差出人に使った「なりすまし」でした。つまり、観測されたフィッシングメールの約半分は、差出人欄を見ただけでは本物と区別がつかないということです。
国内企業の対策も道半ばです。日本プルーフポイントが2025年12月に実施した調査(2026年1月発表)によると、日経225企業のDMARC導入率は92%に達した一方、偽装メールを実際に「拒否」する設定(Rejectポリシー)まで踏み込めている企業は15%にとどまります。「拒否」と「隔離」を合わせても36%で、調査対象の主要18か国中最下位でした。導入済みでも、偽装メールが受信箱に届いてしまう状態が多いのが実情です。
パターン2:アカウントの乗っ取り
もっと厄介なのがこちらです。取引先や知人のメールアカウント自体が乗っ取られると、偽装ですらない、正真正銘の本物のアドレスから攻撃メールが届きます。ビジネスメール詐欺(BEC)の典型手口で、過去のやり取りに返信する形で偽の請求書が送られてくるケースもあります。
NEとして言わせてください。この乗っ取りパターンは、メールヘッダを解析できるプロでも見抜けません。送信元の確認は、防御としてもう不十分なんです。
音声や映像も「本物らしさ」が作れる
メールだけではありません。2024年には、英国の設計会社の香港拠点で、ビデオ会議の参加者全員がディープフェイクだったという事件が起き、約2億香港ドル(約38億円)が送金されました。国内でも2024年、警察官を名乗る相手に約8億円をだまし取られた事件が報道されています。警察庁の暫定値では、2025年のSNS型投資・ロマンス詐欺の被害額は約1,827億円、特殊詐欺と合わせると年間3,000億円を超える規模です。
声が本人そっくりでも、ビデオ通話で顔が見えても、もはや本人である保証はありません。
対策の本質:確認の経路を一本に頼らない
では、どうするか。答えはシンプルです。届いた経路と別の経路で確認する。これだけです。
- 銀行やカード会社からのメール → メール内のリンクは踏まず、自分でブックマークした公式サイトか公式アプリから確認する
- 警察や役所を名乗る電話 → 一度切って、自分で調べた代表番号にかけ直す
- 家族や上司からの送金依頼 → 本人に電話して肉声で確認する(メッセージへの返信は乗っ取り犯に届くだけ)
ポイントは、「相手から届いた連絡の中」で完結させないこと。お金・パスワード・個人情報が絡む話は、必ず自分から別経路でアクセスし直す。この習慣ひとつで、なりすましも乗っ取りもディープフェイクも、まとめて無力化できます。
③基本動作の価値は、むしろ上がっている
3つ目は拍子抜けするかもしれません。やるべきことは昔から変わらない基本の3点セットです。
- パスワードの使い回しをやめる(パスワードマネージャーを使う)
- 多要素認証(2段階認証)を有効にする
- アップデートはすぐ当てる(スマホ・PC・ルーターの自動更新をオンに)
「なんだ、それだけ?」と思いますよね。でも、AI時代だからこそこの基本の価値は上がっています。攻撃が自動化・大量化した結果、攻撃者はますます「一番守りの甘い人」から順に狙うようになりました。鍵のかかっていない家から入るのと同じ理屈です。
逆に言えば、基本3点を守るだけで「狙いやすい人」の母集団から外れられます。完璧な防御は要りません。攻撃者にとって「面倒な相手」になれば十分です。
パスワードマネージャーの選び方は別記事で詳しく比較しています。
→ パスワード管理、結局iCloudとGoogleで十分なのか?NEが本気で比較した2026年版
また、専門機関が毎年まとめている脅威ランキングを年1回ざっと眺めるだけでも、「今年は何に気をつけるべきか」の全体像がつかめます。
まとめ:「AIを疑う」より「経路を分ける」
最後に3つをもう一度。
- 入力した情報は戻ってこない前提で使う — 漏れて困るものは最初から入れない
- 「もっともらしさ」を信用しない — 本物のアドレス・本物の声でも、お金が絡んだら別経路で確認
- 基本動作を続ける — パスワードマネージャー、多要素認証、即アップデート
AI時代のセキュリティと聞くと身構えますが、本質は「AIを疑え」ではありません。確認の経路を一本に頼らない。これは、私たちNEが企業ネットワークを設計するときの考え方——単一障害点を作らない——と同じです。
通信のプロが現場でやっていることも、突き詰めればこの3つと地続きです。難しい知識は要りません。今日、メールのリンクを1回踏まずに公式アプリを開く。そこから始めてみてください。
