AI は写真に写る何気ない手がかりから現在地を突き止めます。こうした情報が詐欺師にとって格好の標的となる理由を解説します。
McAfee Labs 「より安全な夏の旅行調査」レポート (2026 年夏)
写真一枚には、数え切れないほどの情報が詰まっている
あなたは中米への 1 週間の旅行から帰ってきたばかりです。トゥルムの色鮮やかな街並みや、ティカル遺跡、エビタコスの接写など、数枚の写真を SNS に投稿しました。位置情報タグは付けていません。都市名を書いたキャプションもありません。あるのは、ただ素敵な写真だけです。
数日後、一通のメッセージが届きます。そこには、あなたが利用している銀行の名前が書かれています。「海外旅行中に不審な利用が確認されました」と記されています。旅行先や時期まで含まれていて、不気味なほど具体的な内容です。本物だと思ってしまうでしょうし、こうした個人に合わせて巧妙に作られた詐欺メッセージは、近年ますます増えています。しかも、そのメッセージを作る手助けをしたのは、あなた自身が投稿した写真だったかもしれません。
McAfee Labs は、何気ない旅行写真にどれほどの位置情報が含まれているのか、そしてそれが毎年旅行する約 2 億 4,400 万人の米国人にどのようなリスクをもたらすのかを明らかにするため、調査を実施しました。
今回の調査結果は、オンラインで共有する情報についての考え方を変えるきっかけになるかもしれません。一部の AI モデルは、写真に写っている視覚情報だけを基に、90% を超える精度で撮影場所を突き止められることがわかりました。さらに重要なのは、この精度が誰でも無料で利用できる広く公開されたツールで実現可能である点です。
だからこそマカフィーはこのような巧妙で説得力のある標的型詐欺メッセージを見抜き、被害につながる前に防ぐための「詐欺検知」のようなツールを提供しています。
検証内容と目的
McAfee Labs が検証しようとしていた問いは、実は非常に単純なのでした。つまり、「GPS データや位置情報タグがなくても、AI は旅行写真を見て撮影場所を突き止められるのか」ということです。
メタデータは使いません。写真に埋め込まれた位置情報も使いません。使うのは写真だけです。背景や建築物、看板、光の具合など、写真に自然に写り込む視覚情報だけを手がかりにしました。
この検証のために、自動テストパイプラインを構築し、公開されている画像データセットから収集した 21,236 枚の旅行写真を用いて評価を行いました。さらに、検証結果の妥当性を確認するため、102 枚の追加画像を用いた、より管理された条件での評価も実施しました。
検証には、一般公開されており、誰でも無料で利用できる 2 種類の大規模 AI 画像認識モデルを使用しました。どちらのモデルも、特別なアクセス権や独自データ、高度な専門知識は必要ありません。つまり、今回使ったのは、現在でも詐欺師が利用できるのと同じツールです。
各画像を対象に、自動の一貫したプロンプトを用いて、視覚情報のみを基に写真に写っている場所 (都市、国、地域) を特定するよう AI モデルに指示しました。その後、人間のアナリストが結果を確認し、精度を検証するとともに、判断が難しいケースを突き止めました。
調査結果:AI の驚異的な精度は 91%
結果は驚異的でした。
Gemma3 27B は、旅行写真の撮影された都市と国を 87% の確率で特定しました。Qwen3 VL 30B はさらに高い精度を示し、同一のデータセットで 91% の正答率を記録しました。
つまり、誰もが無料で利用できる AI モデルが、よくある普通の旅行写真を見ただけで撮影場所を特定できたということです。このような分析こそ、AI ツールが画像全般を理解する技術であり、それが詐欺の土台になるだけではなく、AI 生成される回答で情報を示す基盤にもなっているのです。
さらに、都市まで特定できなかった場合でも、国についてはほぼ正しく特定できました。詐欺師にとっては、これだけの情報で十分です。これだけで、漠然としたありきたりの詐欺を、具体性やタイミングまで含めて、本物らしく見せることができるからです。
AI が撮影場所を特定しやすい写真とは
あるタイプの画像では、さらに高い精度で撮影場所を特定できました。
- 有名なランドマークや、特徴的な風景が写った写真
- 視覚的な特徴が際立つ人気観光地で撮影された写真
- 看板や特徴的な道路表示、地域特有の建築物が写っている写真
- 交通機関や店舗、屋台など、その土地ならではの文化的背景が写っている写真
特徴の少ないありふれた海岸、田舎道、ホテルの客室のような風景では精度が低下しました。それでも、国の特定に限れば高い精度を示しました。
驚異的な検証結果
この検証がどれほど簡単に再現できるかを確かめるため、McAfee Labs の外で、技術的な専門知識を持たない社員にも実際に試してもらいました。研究の経験は問わず、特別なツールも使わない状況です。
社員は、いつも使っている自分のカメラロールから、これまで一度も公開したことのない自分の旅行写真を、ChatGPT、Claude、Copilot にアップロードし、その写真の撮影場所を特定するよう尋ねただけでした。
この結果に、社員の多くは一抹の不安を抱きました。
管理されたラボ環境での検証と比べると、精度はやや低下しました。しかし、その差はわずかでした。このように一般的な使用方法であっても、こうした AI モデルは、高い精度で国を特定することができました。それだけでも詐欺師が対象を絞った説得力のあるメッセージを作るには十分すぎる精度を持っています。
ここで重要なのは、AI があなたの写真を以前に「見たことがある」ということではありません。写真には、建築物や光の当たり方、看板、風景など、現実の世界を写しているというだけで撮影場所を特定できる膨大な情報が本質的に含まれているということなのです。写真に位置情報タグを付けなくても、行った場所は写真から特定できてしまう可能性があります。
実際の例を見てみましょう
Labs が実際に使った、個人の旅行写真を使って AI に位置を特定させた例をご紹介します。位置情報タグはなく、メタデータもありません。あるのは、写真そのものと、AI がそこから導き出した結果だけです。
検証ではまず背景に比較的わかりやすい建造物が写った写真から始めて、その後は徐々に手がかりの少ない背景へと変え、人物の写り込みを抑え、背景も植物だけに近い写真で検証しました。
事例 1
ブルックさんの新婚旅行の写真。この事例では、目立つランドマークが写っており、AI は高い精度で撮影場所を特定できました。何か特徴的なものが写っている場合、AI は驚くほど正確に認識し、地図上の正確な場所だけでなく、その場所の歴史や観光情報まで提示することができます。

事例 2
サンドラさんの夕焼けの写真。この例では目立つランドマークや人物のない写真を使うことで、 AI にとっての難易度を上げています。それでも、ChatGPT はこの写真がヘイスティングス・オン・ハドソン駅で撮影されたものだと特定しました。

事例 3
ロブさんの花の接写。このチューリップの接写だけで、Claude はオランダのキューケンホフ公園で撮影されたものだと正確に特定しました。

写真が詐欺に悪用される仕組み
ターゲットとなる人の居場所や、最近どこにいたかを把握するのは、詐欺の常套手段です。けれども、以前はこうした情報を得るには、その人を知っているか、偶然情報を手に入れるかのいずれかしかありませんでした。
AI によりこうした推測が不要になり、攻撃者は状況に応じきわめて具体的な詐欺を大規模に仕掛けることができるようになりました。
位置推定の精度がここまで上がると、詐欺師は手当たり次第にフィッシングメールを送って誰かが引っかかるのを期待する必要などありません。その代わりに、公開されている写真を利用して、もっともらしい状況を作り上げ、次のような言葉で相手をだますことができます。
- 「[都市名] へ旅行中に、お客様のアカウントで通常とは異なるアクティビティが検出されました」
- 「お客様のカードで [国名] における取引が検出されました。至急本人確認を行ってください」
- 「お世話になっております。[旅行先] のホテルでの最近のご滞在についてご連絡させていただきました」
- 「やあ、今メキシコにいるんだけれど、カードが全部使えなくなってしまったんだ。xx 円を送ってもらえないかな?」(友人や家族を狙ったメッセージの例)
- 「お客様の現在位置 [旅行先] からのログイン試行が確認されました。本人確認を行ってください」
- 「[都市名] でのご予約について再度ご確認が必要です。ご予約を確定するにはこちらをクリックしてください」

これはマカフィー研究チームが確認した詐欺メッセージの一例です。さらに、詐欺師が、参加したツアー名や訪れた場所、立ち寄った店舗といった詳しい情報まで把握していたとしたらどうでしょうか。このような情報が加わることで、メッセージはより信憑性が増し、巧妙になります。
こうしたメッセージは内容が完全に正確である必要はありません。もっともらしく本物だと思わせられる程度で十分なのです。それこそが詐欺師の思惑です。見覚えのある情報は警戒心を弱めます。あなたを守るのは、この警戒心です。
このようにして、一斉送信型のフィッシングは、高度にパーソナライズされた大規模なフィッシングに姿を変えます。その結果、警戒心が強く IT リテラシーの高い旅行者でさえ被害に遭ってしまうのです。
詐欺師の新たな手口
詐欺の流れは以下のとおり、ごく簡単です。
- Instagram、Facebook、X などで公開されている旅行写真を探す
- 無料で利用できる AI 画像認識モデルで解析する
- 旅行先や旅行時期、状況を推定する
- その場所に言及した標的型メッセージを作成する
- 旅行中または旅行直後など、被害者が信じやすいタイミングで送信する
1 から 5 までの工程は、自動化できます。プロセス全体を簡単に大規模にできます。その結果生まれるメッセージは、従来のばらまき型の詐欺とは比べものにならないほど、まるで自分だけに宛てられたかのように感じられるのです。
旅行者を取り巻く詐欺の実態
位置推定技術は、これだけで悪用されるわけではありません。詐欺師が旅行者を狙うために使う、増え続ける手口の一つに過ぎないのです。
旅行者は普段と異なる環境で行動し、慣れないネットワークを利用しながら、時間に追われてお金に関する判断をしています。こうした行動こそが、写真を利用した位置推定を詐欺師によってより悪用しやすいものにしています。
マカフィーが新たに実施した消費者調査では、日本人の 3 人に 1 人以上が旅行関連のサイバー脅威に遭遇しており、被害を受けた人の 58% が金銭的損失を被っていました。その多くは 92,500 円を超える被害額でした。さらに、旅行費用の高騰や時間的な余裕のなさが、人々をより拙速でリスクの高い判断へ向かわせています。まさにこうした状況こそが、詐欺師に悪用されやすい条件なのです。
この調査データは、旅行者が気づかないうちに大きなリスクにさらされていることを明らかにしています。日本人の約 3 分の 1 (35%) が旅行中に公衆 Wi-Fi に接続しており、71% がリンク先を確認せずに QR コードを読み取っています。約 5 分の 1 (22%) は空港の Wi-Fi を利用しており、39% は送信者を確認せずに旅行関連のメッセージを信用したことがあると回答しています。10 人に 1 人は公衆ネットワーク上で支払い関連のアプリにログインしており、約 5 人に 1 人が旅行の予定をリアルタイムで SNS に投稿しています。18% は、発信元を確認せずに旅行関連のリンクをクリックしています。さらに約 5 人に 1 人 (14%) は旅行の予定をリアルタイムで共有していると回答しています。
特に最後の点には注意が必要です。公開または限定公開の SNS アカウントで旅行の予定をリアルタイムに共有することは、本調査で取り上げた、写真から位置情報を推測する手がかりを自ら生み出してしまう行為です。こうした行動と位置情報の露出は、別々の問題ではありません。
それぞれの情報が互いに利用され、リスクを高めてしまうのです。位置推定はこうした既存の脆弱性を悪用しやすくする重要なポイントです。詐欺師は、あなたのおおよその居場所がわかるだけで、単なるデータではなく、詐欺に使える筋書きを手に入れるのです。
調査方法:本調査の実施方法
調査において透明性は重要です。本調査は、次の方法で実施しました。
データセット:研究目的で公開されている旅行画像 21,236 枚に加え、マカフィーの社内ボランティアが提供した、これまで一度も公開されたことのない画像 102 枚を別の管理対象データセットとして使用しました。
検証に使用したモデル:
- Gemma3 27B — Google DeepMind が開発したマルチモーダル・視覚言語モデル
- Qwen3 VL 30B — Alibaba の Qwen チームが開発したマルチモーダル・視覚言語モデル
なお、本検証では、ChatGPT のような一般公開サービスではなく、自社のコンピューター上でローカルに実行する大規模言語モデルを使用しました。
この方法は、攻撃者が大規模に攻撃を実行する実際の手法に近いものです。モデルをローカルで実行することで、第三者のサービスに依存することなく、大量の悪意あるコンテンツを制限なく自動生成できます。
一方、クラウド型 AI サービスでは通常、不正利用を監視しており、フィッシングなどの悪意ある行為が検知された場合は、利用回数の制限やアカウントの停止、リクエストのブロックなどの措置が講じられることがあります。
実施手順:自動化した Python スクリプトを使用し、視覚情報のみに基づいて撮影場所を特定するよう統一したプロンプトで各画像を両モデルに入力しました。メタデータ、EXIF データ、ファイル名などの情報は入力に使用していません。結果はプログラムによって記録しました。
検証方法:画像の正解ラベルは分析前にあらかじめ設定しました。地名やランドマークに複数の解釈が成り立つ場合は、人間のレビュアーが事前に設定した正解ラベルと出力結果を比較し、一貫した基準で分類しました。
例えば、「バチカン市国」をローマに含めるかどうかや、「Washington D.C.」と「Washington, D.C.」を同じ場所として扱うかどうかについて、人間のレビュアーが判断しました。レビュアーは、元の正解ラベルやモデルの出力結果を変更することはせず、名称の揺れや判断が難しいケースについてのみ、人の判断で整合性を確保しました。
正解の定義:モデルが都市と国の両方を正しく特定した場合、結果を正解と判定しました。国のみを特定できたケースは別途集計しました。両方の指標を報告しています。
本調査で主張していないこと:本調査は、すべての旅行写真で撮影場所を正しく特定できることや、一般公開されているすべての AI ツールが同等の性能を備えていることを示すものではありません。結果は、画像の種類、ランドマークの多さ、地域によって異なりました。重要なのは、完璧な精度ではありません。標的型詐欺を大規模に仕掛けられるほど十分に高い精度であり、しかも誰にでも利用できるという点です。
消費者調査について:マカフィーは 2026 年 3 月に、旅行の意向、旅行詐欺の被害経験や意識、旅行中のデジタル行動に関する消費者調査を実施しました。こちらで紹介している結果は、18 歳以上の日本の成人 1,000 人を対象とした調査結果の一部です。調査全体では、オーストラリア、フランス、ドイツ、日本、米国、英国の 6,000 人から回答を得ました。
身を守るためにできること
このようなリスクが存在することを知ることが第一歩です。その上で、実際に取るべき対策をご紹介します。
投稿する前によく考えましょう。特にリアルタイムでの投稿には注意が必要です。最もリスクが高いのは、旅行中です。旅行先にいる最中の投稿は、詐欺師に現在地を知らせる手がかりになってしまいます。できる限り帰宅後に投稿するか、場所が特定できる内容の共有は数日遅らせるようにしましょう。
SNS のプライバシー設定を見直しましょう。公開されている写真は、最も狙われやすいターゲットです。投稿の公開範囲を知人のみに限定すれば、収集・分析される可能性のある画像を大幅に減らすことができます。
現在地に関連付けて緊急性をあおるメッセージには警戒しましょう。詐欺師は、慣れ親しんだ場所に関する情報が安心感を与えることをわかっており利用しているのです。
必ず公式の窓口から確認しましょう。旅行中に銀行や航空会社、ホテル、カード会社を名乗るメッセージを受け取っても、本文中のリンクはクリックしないでください。新しいブラウザー タブを開いて公式サイトに直接アクセスするか、カード裏面に記載された電話番号へ連絡してください。
旅行専用のメールアドレスや別名のメールアドレス (メールエイリアス) を利用しましょう。旅行の予約やアプリ用に別のメールアドレスを用意している人もいます。こうしておくと、SNS 上のあなたの姿と、銀行口座やクレジットカードといったお金に関わるアカウントを、詐欺師が結びつけて調べにくくなります。
見覚えがあることではなく、警戒心を信じましょう。詐欺は、不審に思わせる前にまず見覚えがあると感じさせるように巧妙に作られています。旅行中にお金に関わるアカウントのことで急いで対応するよう急かしてくるものがあったら、まず落ち着いてください。急かすこと自体が、注意すべきサインです。
旅行前・旅行中・旅行後までをマカフィーがサポート
価格が上がり、その場で判断を迫られると、気をつけるよりも便利さを優先してしまいがちです。しかし、まさにそういった瞬間にこそ、ちょっとした確認が大切です。
| 旅行の段階 | 実際の状況 | マカフィー セキュリティ対策 |
| 予約前 | 時間に追われながら、旅行プランを比較、キャンペーンをクリック、航空券・ホテルを予約 | 詐欺対策付きの McAfee+ がリンクやメッセージ、予約サイトをクリック前に確認し、偽の旅行プランや詐欺掲載情報を回避できるようサポートします |
| 旅行中 | 公衆 Wi-Fi へ接続、QR コードを読み取り、旅行の最新の案内や危険情報を受信 | VPN が公衆 Wi-Fi 上の接続を保護し、詐欺対策付きの McAfee+ が不審なメッセージや危険なリンクをリアルタイムで検知します。 |
| 旅行後 | アカウントが有効なまま残る、旅行データが複数のプラットフォームに保存される、データ侵害による情報流出の可能性 | ID モニタリングは、個人情報がオンライン上に表示されている場合に通知し、被害が広がる前に迅速に対応できるようサポートします。 |
McAfee+ アドバンスを使うと、複数の保護機能が連携して機能するため、被害に遭遇した後に対処に追われるのではなく、事前に対応できます。
届いた通知が詐欺か心配せずに、旅行を安心して楽しむことができます。
最後に
旅行の写真は大切な思い出です。しかし今では、データとしても利用され得るものになっています。
だからといって、旅の思い出を共有するのをやめる必要はありません。ただ、美しい写真を魅力的にしている豊かな視覚情報こそ、AI が読み取るよう学習された対象であることを理解しておくことが大切です。
詐欺師はそれを知っています。これで、自分の身を守る方法がわかったので、安心して旅の思い出づくりを楽しんでくださいね。
本レポートは McAfee Labs が作成しました。本調査は、AI を悪用した詐欺の手口に関するマカフィーの継続的な調査活動として、 2025~2026 年にかけて実施されました。