なぜ生成AIに機密情報を入力してしまうのか|SNSより危険になりやすい理由と対策

こんにちは。レオンです。

この記事を書こうと思った経緯としては生成AIの社内ガイドラインが必要であり、社内で検討を続けていますが、あまり危険性や発生する事故についての認識が無い方は多いのではないかと思ったためです。
生成AIは便利で業務効率化にも役立ちますが、SNSよりも機密情報を入力してしまいやすい構造的なリスクがあります。本記事では、なぜ生成AIに情報を渡してしまうのか、その心理的・技術的背景と、企業が取るべき対策を解説します。

1. 生成AIは「1対1の相談相手」に見えるため警戒心が下がる

SNSは「公開される」「他人に見られる」という前提があるため、ユーザーは投稿内容を自然に抑制します。しかし生成AIは、まるで自分専用のアシスタントのように振る舞うため、心理的ハードルが一気に下がります。

  • 優しく返答してくれる
  • 否定されない
  • 密室のチャットのように感じる
  • すぐに役立つ回答が返ってくる

このため、SNSでは絶対に書かないような情報を、AIには平気で入力してしまう傾向があります。

2. 「AIは機械だから安全」という誤解

多くのユーザーは生成AIを「検索エンジンの延長」と誤解しています。しかし実際には、サービスによっては入力内容が保存されたり、モデル改善に利用されたりする可能性があります。

SNSは「公開される」と理解されている一方、AIは「非公開だろう」という思い込みが強く、これが情報漏えいの大きな原因になります。

3. 業務の延長で使われるため機密情報が混ざりやすい

生成AIは業務の中で自然に利用されるため、機密情報が混ざりやすい特徴があります。

  • メール文面の添削
  • コードのバグ相談
  • 契約書の要点整理
  • 会議メモの要約
  • 企画書の改善案

これらは業務データそのものなので、入力した瞬間に外部への情報持ち出しになり得ます。

4. 便利さの成功体験が境界線を曖昧にする

生成AIは非常に便利で、一度使うと「もっと任せたい」と思うのが自然です。

  • 「この資料も要約して」
  • 「このコードも直して」
  • 「この顧客リストを分析して」

便利さが警戒心を上回り、SNSでは絶対に投稿しない情報をAIに渡してしまう状況が生まれます。

5. 企業が取るべき具体的な対策

5-1. 利用してよいAIと禁止するAIを明確化する

各従業員が「どれが安全で、どれが危険か」を判断することは難しく、企業側の責任として明確にルール化する必要があると思います。

5-2. 入力してはいけない情報をガイドライン化

例として以下のような情報は入力禁止にすべきです。

  • 顧客情報
  • 社員情報
  • 契約書全文
  • 未公開の企画書
  • 社内の内部資料
  • 機密コード

当社ではこの禁止事項をさらに業務上で使う具体例を示して理解しやすく提示します。
また、合わせて利用を推奨する活用事例も随時案内していくこととしています。

5-3. 利用ログを残せる企業向けAIを採用する

個人向けAIではなく、ログ管理やデータ保護が前提の企業向けAIを利用することで、情報漏えいリスクを大幅に減らせます。

5-4. 従業員教育を定期的に実施

以下の3点を理解するだけで事故は大幅に減るはずです。

  • AIに入力した情報は外部に出る可能性がある
  • SNSより危険なケースがある
  • 便利さの罠に注意する

6. まとめ:生成AIは便利だけどSNSより危険になりやすい

生成AIは「1対1の相談相手」に見えるため、SNSよりも機密情報を入力してしまいやすい構造的な理由があります。便利さと密室感が重なり、ユーザーは境界線を見失いがちです。

安全に利用するためには、技術的対策・ルール整備・教育の3つが欠かせません。
まずは全員がどんな情報でも入力して良いわけではないと理解することが一番大事なことだと思います。
生成AIに限りませんが、新しく導入するツール等があればセキュリティのリスクは無いか必ず考えた上で正しく活用し、情報漏えいリスクを最小限に抑えましょう。

マカフィー(McAfee)?エッジ(Edge)経由でコンピュータがウイルスに感染していると謎の通知

こんにちは、こんばんは

Windowsの通知にMcAfeeからコンピュータがウイルスに感染していると通知があった話を紹介したいと思います。

皆さんはWindowsの通知(右側?に出てくる表示)をよく見ていますか?
ある日を突然McAfee(セキュリティソフト)がウイルスに感染しましたと通知を出してきました。

McAfee(セキュリティソフト)からの案内になるのでウイルスに感染してしまったと思ってしまうかもしれません。
ただ今回、通知がでたパソコンにはMcAfeeがインストールされていないパソコンだったのです・・

なぜセキュリティソフトが入っていないパソコンにセキュリティソフトから案内が出ているのか・・・
※意味がわかりませんね・・

調べてみると、McAfeeからの警告は嘘の警告で、警告をクリックしてしまうと、本当のウイルスに感染またはウイルスを駆除するためにお金が必要と言った詐欺被害に誘導する警告だったのです。

なぜ、このような事になってしまったかと言うと・・
よくインターネット検索をしていると下記のようなものが表示されることがあると思います。

これをクリックしてしまった為に表示されるようになってしまいました。

ただ、今回は検索をしていたのでは無く、説明書に書いてあったURLを入力してホームページを開いた結果、上記画像のようなページに遷移をしてクリックしてしまったようです。

では説明書に書いてあったURLがそもそも危なかったのではないか?と思う人もいるかと思いますが、URLはちゃんとした企業が出してあるURLなのですが・・
URLの入力を間違って入れてしまって、たまたま、詐欺サイトに接続してしまったため、今回のようなことになってしまいました・・

例:
間違い:http://yahao.co.jp
正解 :http://yahoo.co.jp

今回のケースでもoをaと入力してしまい、たまたま、つながってしまったとの事でした。
皆さんもURLの入力間違えには注意しましょう・・・

では、もしも同じような症状が出てしまった時は

McAfee公式サイトにも載っているやり方を見てください。
https://www.mcafee.com/ja-jp/consumer-support/help/support/block-fake-alert.html

皆さんも偽物の通知や入力の間違えには十分注意しましょう!

 

漏洩してしまっても被害の少ない、安全なパスワードの作り方

Hoshです。

世の中には数えきれないほどのWebサービスが存在しています。
その多くは無料です。メッセージの拡散、写真や動画の共有、オークションへの参加、ゲームなどが、
いくつかの個人情報を入力することで、あっという間に利用可能となります。
とても便利な世の中になりました。

一方で、不正ログインによって入力した情報が抜き取られ、悪用されるケースが出てきました。
気づかないうちにクレジットカードが他人に使用されていたという話は、その最たるものです。
サービスによっては、自分が誰とつながりを持っているかを、悪意ある第三者に把握されてしまいます。
悪用されれば、友人や家族にまで迷惑をかけてしまう可能性があるのです。

もちろん、そのようなことがないよう、パスワードをしっかり設定している方が大半だと思います。
ですが最近は「アカウント情報が流出したのでパスワードの再設定を」などとパスワードを入力させたり、
危険な添付ファイルを開かせようとする、詐欺メールの被害を目にすることが多くなりました。
手口も巧妙になり、私も決して騙されないとは言えない状況になってきました。
また、サービス提供元のサーバがサイバー攻撃に遭い、
個人情報を奪われてしまうというケースもあります。
これは個人で対応できる範疇ではありません。

そこで、パスワードは漏洩するものである、という前提に立ち、
漏洩しても被害が少なくて済むパスワードとは何かを考えてみようと思います。

大前提として、”123456″、”password”、”1q2w3e4r”、”qwerty”といった、
パスワードワースト100に載っているようなパスワードは使いません。
加えて……

サービス間でパスワードを個別に設定する(使い回さない)
・パスワードポリシー(「大文字・記号・数字を必ず1文字含めること」などの制約)に引っかからない
・解析されにくい、長いパスワードにする(12文字以上)
・自分の名前、住所、誕生日などの個人情報から推測できるパスワードにしない
・一般的な単語にしない
忘れない

太字は特に重要です。以上のすべての条件を満たすパスワードの作り方を探っていきます。

 

1.まずは何かキーとなる言葉を決める

無意味な文字列は覚えることが大変です。
しかし、意味のある文字列をパスワードに含めてしまうと、不正ログインの的になる可能性があります。

そこでまずは、自分にとっての既知の言葉を、無意味な文字列に変換するところから試してみます。
好きな言葉で構いません。


“ツナマヨおにぎり”

“tsu na ma yo o ni gi ri”

“tnmyongr”

ローマ字に変換し、それぞれの最初の1文字だけを抜き出して並べてみました。
この”tnmyongr”だけでも元の言葉が何なのか分かりにくくなりましたが、覚えやすさは変わっていません。
頭の中で元のフレーズを思い浮かべながらパスワードを入力すれば、入力し間違えることもないでしょう。

もちろん、これだけでは不十分。これをさらに加工します。

 

2.サービスごとの文字列を加える

仮に「EarthSystemメールサービス」、「アースブログ」という、2つのサービスを利用するとします。
それぞれのサービスでパスワードを使い分け、かつ、覚えられるものを設定しなくてはなりません。

パッと思いつく手法は、サービス名の略称をパスワードに含めてしまうことです。
この方法ならば、サービスごとにパスワードを覚えなおす必要がありません。

例1
“EarthSystemメールサービス” + “ツナマヨおにぎり”

“esms” + “tnmyongr”

“esmstnmyongr”

例2
“アースブログ” + “ツナマヨおにぎり”

“ab” + “tnmyongr”

“abtnmyongr”

しかし、これでもまだ不十分です。
パスワードが流出した際に「この部分はサービス名の略称だな」と悟られてしまったら、
他サービスのパスワードも推測されてしまう可能性があります。
もう少し工夫してみます。

 

3.それぞれの文字列を掛け合わせる

例1
“ツナマヨ” + “EarthSystem” + “おにぎり” + “メールサービス”

“tnmy” + “es” + “ongr” + “ms”

“Tnmy” + “e-S” + “ongr” + “m-S”

“Tnmye-Songrm-S”

例2
“ツナマヨ” + “アース” + “おにぎり” + “ブログ”

“tnmy” + “as” + “ongr” + “bl”

“Tnmy” + “a-S” + “ongr” + “b-L”

“Tnmya-Songrb-L”

 

キーとなる言葉とサービス名を区切りのいいところで分割し、交互に並べました。
サービス名を後の方に持ってくることで、より目立たなくしています。
さらにサービス名を記号で分割し、頭文字を大文字にすることで、
サービス名の略称が混ざっていることを悟られにくくしました。

これならば、仮にこのパスワードが平文で流出してしまったとしても、
そう簡単に他サービスのパスワードを推測することはできないでしょう。
1文字2文字変えた程度ではログイン出来ません。

さらに”a-S”を”b-T”と1文字ずらしたり、”a-1s”と数字を追加したりするなど、様々な方法が考えられます。
やればやるほど強固になりますが、やりすぎると入力しにくいパスワードになってしまいます。
ほどほどの所で。

 

4.最後に

重要なのは、複雑なパスワードを覚えることではなく、
複雑なパスワードを生成するための仕組みを覚えることです。
パスワード自体には意味はありませんが、それを作り出すための仕組みには意味があります。
意味のある事ならば、覚えることが容易です。

私がここに載せたパスワードを作る仕組みは、ほんの一例にすぎません。
自分なりのパスワードの作り方を考え、覚えれば、それ自体が強固なセキュリティとなるはずです。