Googleの提訴によれば、この詐欺集団はGeminiで約300種類の偽サイト雛形を作り、Androidユーザーに250万通を超えるSMSを送りつけた。確認された偽サイトは9,000件、関連URLは100万件に上る。
偽サイトを「サブスク」で売る犯罪ビジネス
この集団はGeminiを使い、技術力のない者でも詐欺サイトを作れる「フィッシング代行サービス」を売っていた。
提訴の対象は「Outsider Enterprise(アウトサイダー・エンタープライズ)」と名付けられた集団だ。メッセージアプリTelegram上で、自前で偽サイトを構築できない客に向けて、詐欺の道具一式をサービスとして提供していたという。なりすましの標的は、GoogleやYouTube、さらに行政機関にまで及ぶ。例えば米国の高速道路ETCにあたる電子料金収受システム「E-ZPass(イージーパス)」を装うサイトを、Geminiに指示するだけで生成する手順が配布されていた。用意された雛形は約300種類だった。
SMSの手口そのものは古典的だ。「アカウントに問題があります」「荷物の配送に問題が生じました」と不安をあおる文面でリンクを踏ませ、Geminiが本物そっくりに仕上げた偽サイトへ誘導する。そこで入力された個人情報や銀行口座の情報が抜き取られる。Googleの法的文書は被害総額を明示していないが、すでに数百人が金銭被害に遭ったとされる。
なぜ犯人は野放しなのか
集団の正体が不明なうえ、拠点が中国にあるため、たとえ特定できても訴追は難しいからだ。
Googleは民事訴訟と並行して、FBIのサイバー犯罪部門による捜査にも協力している。だが同社が認める通り、Outsider Enterpriseの背後にいる人物は誰も分かっていない。仮に名前が判明しても、容疑者が中国国内にとどまる限り、米国の司法が手を伸ばせる範囲は限られる。
できるのは、不正なドメインやTelegramアカウントを潰して活動を妨害することくらいだろう。それでも詐欺は形を変えて復活する可能性が高い。実際の防御は通信会社との連携が支えている。GoogleはAT&T、ベライゾン、T-Mobileの大手3社と組み、悪質なSMSの多くを遮断した。先月のある2週間だけで、約55,000通が送られていたという。
攻めるAIと守るAI、その綱引き
同じGeminiが、詐欺の道具にも防御の盾にもなる。チャットボットは「指示に従い、ユーザーを満足させる」よう作られており、その性質が悪用の隙を生んでいる。
Googleは新モデルを発表するたびにGeminiの安全対策を語る。しかし「ユーザーの要望に応える」という根本的な使命と、悪用を防ぐという要請は、しばしば衝突する。その結果が、数千人の詐欺師がGeminiで偽サイトを作るという事態だった。
一方で、守りのAIも動いている。Google MessagesのAI詐欺検知は、毎月100億通もの詐欺SMSを止めているという。今回のOutsider Enterpriseの活動も、その一部はここで捕捉されたとみられる。攻撃と防御が、まったく同じ技術の上で繰り広げられている。
「不在通知」を疑う習慣が最大の盾
制度や訴訟が追いつくまで、最も確実な防御は受け手側の警戒心だ。リンクではなく公式アプリで確認する習慣が効いてくる。
Googleはこの一件を機に、AI時代の詐欺に対抗する7つの連邦法案への支持を改めて表明した。捜査機関に対策チームの設置を求めるものや、市民が悪用を見抜く力を高める啓発法案も含まれる。ただし皮肉なことに、AIが人間に近い知能を目指すほど、生成された偽物は見破りにくくなっていく。
それでも、私たちにできることはある。身に覚えのない「荷物の不在通知」や「アカウント異常」のSMSは、リンクを踏まず、公式アプリや正規サイトから直接確かめればいい。約300種類の雛形を吐き出すAIと、毎月100億通を弾くAI。その綱引きの最前線は、結局のところ私たちの手のひらの中で続いていくのかもしれない。
