SMSが一通届く。荷物が止まっている、アカウントに異常がある、道路通行料が未払いだ、銀行が今すぐ確認を求めている。画面は公式通知にとても似ていて、URLもロゴも文体も粗くない。ただ一つ、小さな違和感がある。それは「今すぐリンクを押せ」と求めていることだ。
2026年6月12日、GoogleはOutsider Enterpriseというサイバー犯罪組織を提訴したと発表した。この組織は、ほかの詐欺師に「フィッシングキット」を提供していたという。フィッシングキットとは、偽サイトを作り、アカウントのパスワードやクレジットカード情報を集めるための道具一式だと考えるとよい。Googleによると、このネットワークは約9,000の偽サイト、100万を超える詐欺URLを作り、2週間でAndroid利用者に偽サイトへのリンクを含むSMSを250万通送ったという。
この件で一般の読者がいちばん注目すべきなのは、「詐欺師もAIを使う」というニュース見出しではない。大事なのはこういうことだ。AIによって偽サイトや偽メッセージがますます本物らしくなるなら、詐欺対策は直感だけに頼れない。メッセージを受け取ったその場で実行できる、立ち止まるための手順が必要になる。
AI詐欺が危険なのは、なりすましのコストを下げるからだ
以前の詐欺SMSには、誤字、不自然な言い回し、雑なレイアウト、怪しいURLといったほころびが出やすかった。こうした手がかりは今でも役に立つ。ただし、もう主な防御線にはできない。Googleの説明では、Outsider Enterpriseは、高度な技術力を持たない人でも、偽サイト、偽SMSの流れ、情報収集ページを素早く作れる道具を提供していた。つまり、悪意ある人が自分でサイトを作れなくても、公式サービスの入口に見えるものを作れるようになったということだ。
これがAIの介入による現実的な変化だ。詐欺の手口が必ずしもまったく新しくなるわけではない。しかし、大量のなりすましコンテンツを、より速く、より安く、よりそれらしく作れるようになる。SMSを受け取る側にとって、問題はもう「このメッセージは雑に見えるか」ではない。「このSMSは、自分では検証できない手続きへ自分を連れて行こうとしていないか」だ。
荷物を待っているときに、ちょうど「住所が不完全です」というSMSが届いた場面を想像してみる。会議で忙しく、とにかく早く入力を済ませたい。詐欺師が狙っているのは、あなたに壮大な物語を信じ込ませることではない。もっとも忙しく、面倒を避けたい数秒のあいだに、相手が用意した流れを最後まで進ませることだ。リンクを押す、電話番号を入れる、クレジットカードを入れる、ワンタイム認証コードを入れる。
だから最初の原則はシンプルだ。SMSのリンクからアカウントに入る、支払う、認証コードを入力するよう求めるメッセージは、すべて「今すぐ完了するもの」ではなく「確認が必要なもの」として扱う。
不審なSMSを受け取ったら、まず六つの質問に分ける
急いで本物か偽物かを判断しなくていい。よりよい方法は、まずメッセージを分解することだ。分解すると、多くの詐欺は一つの欠点で見破られるのではなく、全体の流れが急すぎる、閉じすぎている、情報を渡させすぎることで見えてくる。
| 確認点 | 何を見るか | 危険なサイン |
|---|---|---|
| 送信元 | 送信者、電話番号、表示名を独立して確認できるか | 表示名だけは公式らしいが、公式アプリや請求書で同じ通知を確認できない |
| 要求 | 何をさせようとしているか | すぐログイン、支払い、クレジットカード情報の補完、認証コードの提出、ファイルのダウンロードを求める |
| リンク | URLが本当に公式ドメインか | URLが長い、公式に似た綴り、短縮URL、公式サイトと違うドメインを使っている |
| 時間的圧力 | すぐ対応するよう迫っているか | 「本日期限」「アカウント停止予定」「荷物返送」などで急いで押させる |
| 個人情報入力欄 | 開いた先で何を入力させるか | 氏名、生年月日、住所、クレジットカード、セキュリティコード、ワンタイム認証コードを求める |
| 退路 | 元のリンクを使わずに同じことを完了できるか | SMSリンクからしか処理できず、公式アプリ、カスタマーサポート、請求書では同じ出来事が見つからない |
この表の目的は、あなたをセキュリティ専門家にすることではない。「本物っぽい」という感覚を、「別の場所から確認できるか」という問いに変えることだ。支払い、アカウント、認証コード、個人情報が関わるなら、元のSMSリンクを入口にしてはいけない。
三段階のリスクで、無視するか、確認するか、すぐ助けを求めるかを決める
変なSMSすべてに多くの時間を使う必要はない。本当に大事なのは、反応を段階に分けることだ。
| リスク段階 | よくある状況 | 次にすること |
|---|---|---|
| 低リスク | 広告、明らかな文字化け、使ったことのない知らないサービス | リンクを押さず、ブロックまたは迷惑メッセージとして報告するだけでよい |
| 中リスク | 本当に荷物、請求、サブスク、アカウント通知があるかもしれない | SMSリンクを使わず、公式アプリ、公式サイト、紙の請求書から確認する |
| 高リスク | すでにパスワード、クレジットカード、認証コードを入力した。または銀行、政府、会社アカウントに関わる | すぐ操作を止め、公式ルートからパスワード変更、カードやアカウントの停止を行い、SMSとURLのスクリーンショットを残す |
多くの人がだまされるのは、まったく警戒していないからではない。中リスクの状況で止まってしまうからだ。その出来事が「本当にありそう」なのだ。たとえば、実際に荷物を待っている、通行料がありそう、サブスクを使っている。こういうときにもっとも信頼できる行動は、SMSをさらに調べ続けることではなく、入口を替えることだ。
入口を替えるとは、元のリンクを押さないということだ。自分で公式アプリを開く。ブラウザに、すでに知っている公式URLを入力する。クレジットカードの請求明細を見る。カード裏面のカスタマーサポートに電話する。家族や同僚に、別の信頼できる手段で確認してもらう。公式ルートで同じ出来事が見つからないなら、元のSMSを続けて処理してはいけない。
AIを唯一の判断者にしない
「ではSMSをAIに貼り付けて、詐欺かどうか判断してもらえばいいのでは」と思うかもしれない。補助として使うことはできる。ただし、最後の裁判官にしてはいけない。
理由は二つある。第一に、AIはよくある詐欺の文体を見抜けるかもしれないが、そのアカウント、荷物、支払い要求があなたの本当の出来事かどうかを代わりに確認することはできない。第二に、SMS全文、電話番号、リンク、個人情報、認証コードまでAIに貼り付けると、機密情報を別の不要な場所に渡してしまう可能性がある。
より安全なのは、機密ではない部分だけを貼り、「このメッセージには確認すべき点がどこにあるか」をAIに整理してもらうことだ。「これは絶対に本物か偽物か」と聞くのではない。たとえば、氏名、電話番号、住所、認証コードを隠し、要求内容とURLの形式だけを残す。そのうえで、上の六つの確認点に戻り、公式ルートで確かめる。
家族やチームの中で比較的テクノロジーに詳しい人なら、この流れを短い注意書きにしておくのもよい。家族にそのまま送れる三つの文はこれだ。
- SMSを見たら、まずリンクを押さない。
- 何を渡させようとしているかを見る。パスワード、クレジットカード、認証コードならいったん止まる。
- 公式アプリ、公式サイト、請求書から同じ内容を確認し直す。
本当に効く防御線は、全員がAI詐欺の技術を理解することではない。全員が「元のリンクは入口ではない」と知っていることだ。
すでに押した、または情報を入力したなら、まず止血する
もしあなたや家族がすでに開いてしまったなら、まず自分を責めることに忙しくならなくていい。早く止血するほど、損失は小さくなる。
| 止血の順番 | 何をするか |
|---|---|
| 1. まず止まる | これ以上何も入力しない。相手の追加指示に従ってアプリを入れたり、遠隔操作を許可したり、認証コードを渡したり、送金したりしない |
| 2. 証拠を残す | SMS、URL、支払いページ、通話履歴を保存し、入力した情報を記録する |
| 3. 対処する | パスワードを変える、ほかの端末からログアウトする、銀行やカード会社に連絡する、カードを止める・再発行する。必要ならプラットフォーム、通信事業者、警察に通報する |
この順番を逆にしない。まず流れを止めるからこそ、次の判断をする余裕が生まれる。
これが会社アカウント、顧客情報、業務用クレジットカードで起きた場合は、個人的なチャットだけで処理してはいけない。その件を本当に担当する人に知らせる必要がある。つまり、アカウントを止め、セキュリティ担当に通知し、銀行に連絡し、顧客への報告が必要かどうかを決められる人だ。詐欺がもっとも嫌がるのは、あなたが完璧に見抜くことではない。早い段階で流れを断ち切ることだ。
AIは詐欺コンテンツをより本物らしくする。しかし、もっとも基本的な安全原則は変わらない。大事なことを、知らないリンクから始めない。一通のSMSが、今すぐ押せ、今すぐ払え、今すぐ情報を渡せと迫ってくるなら、あなたが最初にすべきことは、それが公式らしく書けているかを判定することではない。立ち止まり、自分で確認できる入口に切り替えることだ。
生活四コマ
- 忙しい人が、荷物、アカウント、支払いに関する本物らしいメッセージを受け取り、リンクに進みかける。
- 押す前に立ち止まり、そのメッセージが検証できない入口へ誘導していることに気づく。
- 公式アプリ、既知の公式サイト、請求書、カスタマーサポートなど、信頼できる経路に切り替える。
- 最後に、同じ「止まって確認する」注意書きが、家族や同僚が機密情報を入力するのを防ぐ。
AI 整理カード
この記事の状況に合わせて、AI に整理してもらう
自分の AI チャットツールに貼り付けると、このミニクラスを自分用のチェックリストにできます。BMC は、あなたが AI に貼り付けた内容を見ることはありません。
参考資料
- Google The Keyword:How we’re combatting AI scams with security, legislation and more — https://blog.google/innovation-and-ai/technology/safety-security/combatting-ai-scams/
- Ars Technica:Google sues Chinese cybercrime network that used Gemini to automate scams — https://arstechnica.com/google/2026/06/google-sues-chinese-cybercrime-network-that-used-gemini-to-automate-scams/
- TechCrunch:Chinese cybercrime operation that used AI to scam ‘hundreds of thousands of victims’ sued by Google — https://techcrunch.com/2026/06/12/chinese-cybercrime-operation-that-used-ai-to-scam-hundreds-of-thousands-of-victims-sued-by-google/
