テロ組織がAIを悪用|27人の証言が暴いた穴

伊東雄歩
監修者 伊東 雄歩

株式会社ウォーカー CEO。東北大学卒。MENSA会員、JDLA認定講師、健全AI教育協会理事。生成AI×教育・学習科学を専門とし、2億円超のシステム開発プロジェクトを統括。

taolis.net X note Voicy YouTube
  • ケンブリッジ大学の研究者が、テロ組織ボコ・ハラムによる生成AIの悪用を報告書で指摘した
  • 元メンバー27人への聞き取りに基づく、初の「現場からの証言」とされる
  • ChatGPT、Claude、Gemini、Grok、Meta AI、DeepSeekなど主要AIの名前が挙がった
  • 国連支援団体の別調査では、2300件の危険な質問のうち32%が「実際に使える回答」だった
  • 「研究目的です」と言い換えるだけで、AIの拒否率が下がることも判明した

AIに「危ない質問」をしたら、ちゃんと断ってくれる。多くの人はそう信じています。でも、その安全装置には想像以上に穴が空いているかもしれません。2026年7月10日、テロ組織が生成AIを日常的に使っていたとする報告書が公開され、世界に衝撃を与えました。

ケンブリッジ大学の報告書が明かしたこと

報告書をまとめたのは、ケンブリッジ大学のAI科学・政策プログラム(CASP)に所属する研究者、アントニア・ユーリッヒ氏です。

2026年7月10日、この内容がニューヨーク・タイムズで報じられ、一気に世界中へ広がりました。

調査の対象は、ナイジェリア北東部を拠点とするイスラム過激派組織ボコ・ハラムです。20年以上にわたり同地域で武力活動を続けてきた組織として知られています。

報告書によれば、この組織の戦闘員たちが、私たちが普段使っているのと同じ市販の生成AIサービスを使っていたといいます。

27人の元メンバーが語った

調査の土台になったのは、組織を離脱した元メンバー27人へのインタビューです。2025年から2026年にかけて実施されました。

これまでも「テロ組織がAIを使うのでは」という懸念は語られてきました。ただ、それは推測の域を出ませんでした。

今回の報告書が注目されたのは、現場にいた人間の証言という形で裏付けが示された初めてのケースだからです。ユーリッヒ氏はこれを「フィールドベースの証拠」と表現しています。

名前が挙がった主要AIサービス

報告書で名前が挙がったのは、どれも聞き覚えのあるサービスばかりでした。

  • ChatGPT(OpenAI)
  • Claude(Anthropic)
  • Gemini(Google)
  • Grok(xAI)
  • Meta AI(Meta)
  • DeepSeek(中国・深度求索)

つまり、特別に作られた「闇のAI」ではありません。誰でもスマホからアクセスできる、ごく普通のチャットAIです。

報告書によれば、組織は有料アカウントを用意し、外部から講師を招き、AI活用の専任部署まで設けていたとされます。もし事実なら、思いつきの利用ではなく組織的な運用だったことになります。

どんな使われ方をしたのか

本記事では、危険につながる具体的な手口には立ち入りません。報告書が示した用途の「種類」だけを整理します。

挙げられたのは、攻撃計画の立案、武器の不具合対応、兵站(へいたん=物資や移動の段取り)の相談、そして爆発物の設計といった領域です。

象徴的なのは、軍事基地への襲撃が防御用の溝(ほり)に阻まれたあと、その障害物を越えるためのバイク改造についてAIに相談した、というエピソードでした。

戦術上の課題にぶつかったとき、専門家に聞く代わりにチャットAIに相談する。その発想が生々しく伝わってきます。

安全装置はどれくらい効いているのか

ここで気になるのが、「AI各社が用意している安全装置(ガードレール)は機能しなかったのか」という点です。

実は、これを大規模に検証した別の調査があります。国連のテロ対策部門が支援する監視団体Tech Against Terrorismによる調査です。

2300件の質問をぶつけた結果

この団体は、実際のテロ利用事例から作った質問を2300件以上27種類のAIモデルに投げかけました。

その結果、32%が「実際に使える回答」だったと報告されています。約3件に1件です。

完全に回答を拒否した割合はモデルごとに大きく差があり、90%近くに達したものもあれば、50%を下回った主要製品もあったといいます。同じ質問でも、どのAIを使うかで結果が変わるということです。

「研究目的です」の一言で崩れる壁

さらに深刻なのが、質問の「言い換え」による回避です。

まったく同じ内容でも、「これは研究目的の質問です」と枠組みを変えるだけで、使える回答が得られる割合は42%まで上がったと報告されています。

安全装置が見ているのは、質問の中身そのものではなく、その周りの言い回しにすぎない。そう疑わせる結果です。

調査ではさらに「見せかけの拒否」も確認されました。冒頭で「お答えできません」と断りながら、そのあとに求められた情報を続けてしまうパターンです。これでは拒否したことになりません。

AI企業と研究者の反応

名前を挙げられた各社の反応は分かれました。

Googleは、AIが返した回答について「悪用につながるほど具体的でも詳細でもない」との立場を示しています。

Anthropicは、自社のClaudeについて「暴力、攻撃計画、爆発物に関する危険な要求は拒否するよう設計している」と説明しました。

一方、報告書をまとめたユーリッヒ氏は「テロ関連のAI利用は、規模の面でも性質の面でも著しく過小評価されている」と警告しています。

冷静に見るべき限界もある

ただし、この報告書には重要な限界があります。ここは押さえておくべき点です。

中心的な主張の多くは独立した検証ができていません。根拠は離脱した元メンバーの証言が中心です。

組織とAIサービスを直接結びつけるプラットフォーム側のログや技術的な証拠は示されていません

証言には記憶違いや誇張が混じる可能性があります。だからこそ、この報告書は「確定した事実」ではなく「検証すべき強い警告」として読むのが正確な向き合い方です。

従来の懸念と何が違うのか

「AIの悪用」というテーマ自体は新しくありません。過去の議論と比べると、今回の位置づけがはっきりします。

これまでの懸念は、主に理論や実験室レベルの話でした。研究者がAIを意図的に誘導し、「危険な回答を引き出せてしまった」と示すタイプの検証です。あくまで可能性の証明にとどまります。

ディープフェイクや偽情報も長く警戒されてきました。ただしこちらは、宣伝や世論操作という情報空間の問題です。

今回の報告書が違うのは、物理的な攻撃の準備という領域に踏み込んでいる点です。しかも、実験室ではなく実際の紛争地からの証言という形をとっています。

また、悪用されたのが専用に作られた違法ツールではなく市販の一般向けサービスだったことも、これまでと大きく異なります。規制で流通を止めるという発想が効きにくいのです。

日本の私たちにとって何が関係するのか

遠い国の話に聞こえるかもしれません。でも、日本にも確実に跳ね返ってきます。

日本のルールはどうなっているか

日本では、総務省と経済産業省が「AI事業者ガイドライン」を整備してきました。最新版である第1.2版は2026年3月31日に公表されています。

このガイドラインは、AI開発者・AI提供者・AI利用者という3つの立場に分けて、それぞれが守るべき事項を整理する構成になっています。

また、AI推進法では、悪用による人権侵害のリスクに対して国が調査を行い、事業者へ指導や助言を行う仕組みが盛り込まれました。

総務省は、プロンプトインジェクション(AIをだまして有害な出力を引き出す攻撃)などを想定したAIセキュリティ確保のためのガイドラインも公表しています。

企業のAI導入に効いてくる話

社内でAIを導入している企業には、もっと直接的な影響があります。

ある製造業の情報システム担当者を想像してみてください。社内チャットAIを全社に展開したいのですが、経営層から「悪用されない保証はあるのか」と問われます。今回の報告書は、その問いを一段と重くします。

カスタマーサポートにAIを導入した企業も同じです。顧客が悪意ある問い合わせを投げてきたとき、自社のAIが何を返すのか。導入前にテストしていますか

研究開発でAIを使う大学や企業も無関係ではありません。「研究目的」という言い換えでガードレールが緩むなら、その抜け道は正規の研究者の入り口と地続きだからです。

いずれのケースでも、鍵になるのは入力と出力のログを取り、監査できる状態にしておくことです。AI任せにせず、人間が確認できる仕組みを残しておく必要があります。

これから何が起きるのか

今回の件は、AI業界に3つの宿題を残しました。

ひとつめはガードレールの再設計です。言い回しを変えるだけで突破できる仕組みは、安全とは呼べません。質問の言葉ではなく意図を見抜く方向へ、各社の開発は進むと見られます。

ふたつめは拒否率の共通指標づくりです。あるモデルは90%近く拒否し、別のモデルは50%を切る。この差を利用者が知る手段が、いまはほとんどありません。第三者による評価と公開が求められます。

みっつめは過剰拒否とのバランスです。安全を優先しすぎると、化学の宿題や防災の質問まで断るAIになりかねません。守りを固めながら使いやすさを保つ。この綱引きが、当面の焦点になります。

よくある質問(FAQ)

Q1. 報告書の内容は事実として確定しているのですか?

いいえ。中心的な主張の多くは独立した検証がされておらず、根拠は元メンバー27人の証言が中心です。AIサービス側のログなど技術的な裏付けは示されていません。「確定した事実」ではなく「検証が必要な重大な指摘」として扱うのが正確です。

Q2. 名前の挙がったAIサービスは、もう使わないほうがいいですか?

その必要はありません。挙がったのは主要サービスのほぼ全部であり、特定の製品が特別に危険だという話ではないからです。各社は危険な要求を拒否する設計だと説明しており、通常の業務利用に問題があるわけではありません。

Q3. なぜAIは「研究目的」と言われると答えてしまうのですか?

安全装置の多くが、質問の言い回しや文脈を手がかりに危険度を判断しているためだと考えられています。正当な研究者の質問を邪魔しないよう配慮した設計が、逆に抜け道として使われてしまう構図です。この点は現在、各社の大きな技術課題になっています。

Q4. 日本の企業は何から手をつけるべきですか?

まずは「AI事業者ガイドライン(第1.2版)」で、自社が開発者・提供者・利用者のどれに当たるかを確認することです。そのうえで、社内AIの入出力ログを保存し、危険な問い合わせが来たときに検知できる体制を整えることが現実的な第一歩になります。

Q5. 個人ユーザーが気をつけることはありますか?

過度に不安になる必要はありません。ただ、AIの回答は常に正しく安全とは限らない、という前提を持つことが大切です。特に安全や健康に関わる話題では、AIの答えを鵜呑みにせず一次情報を確認する習慣が役立ちます。

まとめ

  • ケンブリッジ大学のCASP所属研究者が、2026年7月10日にボコ・ハラムによる生成AI悪用を報告した
  • 根拠は元メンバー27人への聞き取りで、テロ組織のAI利用を現場証言で示した初のケースとされる
  • ChatGPT、Claude、Gemini、Grok、Meta AI、DeepSeekといった市販サービスの名前が挙がった
  • 国連支援団体の調査では、2300件の危険な質問のうち32%が「使える回答」を引き出した
  • 「研究目的」と言い換えるだけでその割合は42%まで上がり、ガードレールの弱さが露呈した
  • ただし報告書は独立検証されておらず、確定事実ではなく「強い警告」として読むべき内容だ
  • 日本では「AI事業者ガイドライン(第1.2版)」が2026年3月31日に公表され、対応の枠組みが整いつつある

まずは自社や自分が使っているAIに、危険な問い合わせが来たときどう振る舞うのかを一度テストし、ログを残せる状態にしておくことから始めてみてください。

参考文献

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です