5ドルで会社が潰れる時代が来た

先に結論を言う。

北朝鮮のハッカーがAIで1,200万ドル（約18億円）を盗んだ。イランがAI生成コンテンツで米国世論を操作した。そしてAIモデルが詐欺メールを自動量産し、1通あたりのコストは数円にまで落ちた。

攻撃側のコストが劇的に下がっている。一方、防御側のコストは変わらない。むしろ上がっている。

この「非対称」が何を意味するか。大企業より先に、中小企業が狙われるということだ。理由は単純。守りが薄いから。

何が起きているのか──3つの事例を具体的に

事例1：北朝鮮、AIで「バイブコーディング」して1,200万ドル窃盗

北朝鮮のハッカー集団は、AIを使ったコード生成──いわゆる「バイブコーディング」で攻撃ツールを量産している。従来、マルウェアの開発には高度なプログラミングスキルと数週間の工数が必要だった。それがAIに指示を出すだけで、数時間で動くコードが出てくる。

彼らがやっていることを整理するとこうなる。

• AIでマルウェアを自動生成
• AIで偽の企業サイト・採用ページを作成
• ターゲット企業の従業員にLinkedIn経由で接触
• 偽の面接や業務委託を装い、マルウェアを実行させる

注目すべきは「偽の企業サイト」のクオリティだ。AIが生成したサイトは、デザインも文章も本物と見分けがつかない。以前なら偽サイトの制作には数十万円と数週間かかった。今はAIで数時間、コストはほぼゼロだ。

結果、短期間で約1,200万ドル（約18億円）が暗号資産経由で窃取された。これは公表されたケースだけの数字であり、実態はさらに大きいと見られている。

事例2：イラン、AI生成コンテンツで「ニュースを見ない層」を狙い撃ち

イランの情報工作機関は、AI生成のミーム画像・短尺動画・ニュース風記事を大量に生成し、SNSにばらまいている。ターゲットは「ニュースを日常的に追わない層」。つまり、情報の真偽を検証する習慣がない人たちだ。

ここで重要なのはコスト構造の変化だ。

• 従来の世論操作：人間のライターやデザイナーを雇い、1本あたり数万円のコンテンツを制作。月に数十本が限界。
• AI活用後：1本あたりのコストは数十円。月に数万本を自動生成。A/Bテストまで自動で回す。

量が質を凌駕する。1万本のうち1本でもバズれば目的は達成される。この「数撃ちゃ当たる」をAIが超低コストで実現してしまった。

これは国家間の話に見えるが、構造は同じだ。偽レビュー、偽口コミ、偽の取引先メール──中小企業が日常的に接する情報空間でも、同じことが起きている。

事例3：AI詐欺メール、開封率が人間作成の3倍

複数のセキュリティ企業の調査によると、AIが生成したフィッシングメールの開封率は、人間が書いたものの約3倍に達するケースが報告されている。

なぜか。AIは以下を自動でやる。

• ターゲットのSNS・公開情報から趣味・関心を分析
• その人が反応しやすい件名・文面を生成
• 送信タイミングまで最適化

1通あたりのコストは推定5〜10円。1万通送っても5〜10万円。そのうち1人でも引っかかれば、被害額は数百万〜数千万円になる。

攻撃者にとってのROI（投資対効果）が異常に高い。これがAI時代のサイバー攻撃の本質だ。

構造を理解する──なぜ中小企業が「先に死ぬ」のか

ここで考えるべきは、攻撃と防御のコスト構造だ。

この表を見れば分かる。攻撃側は「失敗し放題」、防御側は「1回も失敗できない」。

大企業はセキュリティに年間数千万〜数億円を投じ、専門チームを抱えている。では従業員10人、年商2億円の会社はどうするか。セキュリティ専任者を雇う余裕はない。外注すれば年間300〜500万円。売上の2.5%をセキュリティに突っ込むのは現実的ではない。

だから中小企業が先に狙われる。攻撃者も合理的だ。守りの薄いところから順番に食っていく。

で、結局どうすればいいのか──月5,000円以下でできる防御ライン

「金がないから守れない」は半分正しくて、半分間違っている。完璧な防御は無理だが、攻撃者に「この会社は面倒だ」と思わせるラインは、低コストで作れる。

泥棒は鍵のかかっていない家から入る。鍵をかけるだけで、狙われる確率は大幅に下がる。

第1優先：今日やれ（コスト：0円）

• 全アカウントに二要素認証（2FA）を設定する。Google Authenticatorは無料。これだけでアカウント乗っ取りの90%以上を防げる。
• 「パスワードの使い回し」を今日やめる。パスワードマネージャー（Bitwarden等）は無料プランで十分。
• 経理担当者に「振込先変更メールは必ず電話で確認」ルールを徹底する。ビジネスメール詐欺（BEC）の被害額は日本国内だけで年間数十億円規模。防御策は「電話1本」だ。

第2優先：今週やれ（コスト：月1,000〜3,000円）

• メールフィルタリングの強化。Google Workspaceの標準機能でもかなりのフィッシングを弾ける。有料のメールセキュリティサービスでも月数百円/人。
• 自動バックアップの設定。ランサムウェアに暗号化されても、バックアップがあれば身代金を払わずに済む。クラウドバックアップは月数百円〜。
• Windows Update・ソフトウェア更新の自動化。既知の脆弱性を突く攻撃が全体の60%以上。更新するだけで6割の攻撃を無効化できる。

第3優先：今月やれ（コスト：月3,000〜5,000円）

• AIベースの脆弱性スキャンツール導入。月額数千円で、自社サイトやシステムの穴を自動チェックしてくれるサービスが複数ある。
• 四半期に1回、15分のフィッシング訓練。無料のフィッシングシミュレーションツール（KnowBe4の無料版等）で、従業員に「体験」させる。座学より体験のほうが100倍効く。

やらなくていいこと

• 高額なUTM（統合脅威管理）機器の導入（数十万〜数百万円）→ まず上記を全部やってから考えろ
• セキュリティコンサルへの丸投げ → 自社の何を守るかを理解しないまま外注しても金をドブに捨てるだけ
• 「完璧なセキュリティ体制」の構築 → 存在しない。100点を目指して0点のままより、60点を今日作れ

本当の問いは「AIの攻撃にAIで守れるか」

攻撃側がAIを使うなら、防御側もAIを使えばいい──理屈はそうだ。実際、AIベースのセキュリティツールは急速に進化している。異常なログインパターンの検知、フィッシングメールの自動分類、脆弱性の自動修正。これらは月額数千円のSaaSで使える時代になりつつある。

だが、ここに落とし穴がある。AIツールを入れただけでは守れない。ツールが「怪しい」と警告を出しても、それを見て判断する人間がいなければ意味がない。

中小企業にとっての現実解は、こうだ。

1. まず人間の行動を変える（2FA、パスワード管理、確認ルール）
2. 次にAIツールで自動化できる部分を自動化する（メールフィルタ、バックアップ、脆弱性スキャン）
3. 最後に「何かあったときの対応手順」を1枚の紙にまとめておく

3番目が意外と重要だ。「不審なメールを開いてしまったら→即PCをネットワークから切断→社長に電話→○○に連絡」。これだけのフローを紙1枚で共有しておくだけで、被害の拡大速度がまったく違う。

まとめ：攻撃コストは下がり続ける。問われるのは「最初の一手」

北朝鮮は国家予算でAIハッカーを育成している。イランは国策でAI世論操作を展開している。そして世界中の詐欺グループが、月額20ドルのAIツールで攻撃を自動化している。

この流れは止まらない。攻撃コストは今後さらに下がる。

中小企業にとっての問いはシンプルだ。「今日、2FAを設定したか？」

500万円のセキュリティ投資の話ではない。今日、0円でできることをやったかどうか。そこが生死を分ける。

完璧は無理だ。でも「鍵をかける」ことはできる。鍵のかかっていない会社から順に、AIが食っていく時代はもう始まっている。

—