世界を動かす技術を、日本語で。

EYカナダがサイバーセキュリティレポートを発表し、ほとんどの引用が虚偽であった

2026年5月31日原文(gptzero.me)

概要

  • Ernst & Young (EY) Canada のサイバーセキュリティ報告書に 偽引用 や誤情報が多数含まれていた事例を調査
  • GPTZero のHallucination Checkツールで検証し、主要コンサル企業の報告書に広がる「vibe citing」問題を指摘
  • 偽の統計データ や存在しない出典の利用が、AIや人間研究者のデータ信頼性を損なう危険性を解説
  • AI生成テキスト特有のエラーや矛盾が報告書全体で多発していることを確認
  • データ汚染 による社会的影響と、今後の対策の必要性を強調

EYカナダ報告書と「Vibe Citing」問題

  • Ernst & Young (EY) は世界四大会計・コンサル企業の一つで、カナダ支社が2025年に「Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems」を発表
  • 報告書内で 通常の脚注や学術的引用形式を採用せず、リソース表に出典をまとめる形式
    • ほとんどのURLが リンク切れや偽造、タイトルも実在しないもの多数
  • GPTZero による調査で、AI生成テキスト特有の「vibe citing」や誤情報が多発していることを確認

具体的な偽引用・矛盾の例

  • 2000億ドル市場規模 とする主張と、そのうち 30~50%が未使用 とする統計が根拠不明
  • 同じ2000億ドルの数字が、ページごとに「全体市場規模」と「未使用ポイント額」で矛盾
  • 存在しない McKinseyレポート を引用し、低品質なフィンテックブログから偽ソースを流用
  • 顧客ロイヤルティプログラムの72%が被害経験 との主張も、出典がページごとに異なり、原典は2017年のIpsos調査と判明
  • 89%増加 という詐欺被害統計も、引用元と期間がページごとに食い違い、実際の出典は古いデータ

AI生成テキストとデータ汚染のリスク

  • AIによる自動生成テキスト が増加し、人間のチェックが困難化
  • 偽引用や誤情報が 新聞記事やAI検索結果 に拡散し、二次的なデータ汚染を引き起こす
  • AIリサーチツール が偽情報に弱く、誤った知識がインターネット上に蓄積される危険性

GPTZeroの取り組みと今後の展望

  • GPTZero Hallucination Check ツールで、学術会議や企業報告書の引用チェックを自動化
  • IJCAI, ICLR, ICSE などの国際会議でも採用実績
  • 今後も「vibe citing」問題の可視化と、信頼性向上に向けた啓発活動を継続予定

まとめ

  • 偽引用の蔓延 は、研究者・コンサルタント・一般読者すべてにとって深刻なリスク
  • 大手企業の報告書 であっても、引用の信頼性を鵜呑みにせず、検証が不可欠
  • GPTZero のようなツール活用で、情報の健全性維持が今後ますます重要

Hackerたちの意見

なんてひどいページなんだ、ナビゲートするのが大変。

スクロールが幻覚を見てるみたい。

iPhoneが自動でリーダーモードをオンにしたから、何のことか確認するためにオフにしたけど、同意するわ…

モバイルだと、スクロールが完全に乗っ取られてて、ページを下に進めないんだよね。「リーダーモード」では最初の段落しか見えないし。デスクトップでまた試してみるつもり。内容は面白そうなのに、読むのが本当に不可能。アーンスト・アンド・ヤングの紹介部分を越えられないよ。

モバイルで使うのはめっちゃ難しい。

HNでスクロールハイジャックについて文句言う人にはいつもイライラしてるけど、このサイトは新たなレベルのひどさだった。

これはまったく新しいレベルのユーザー敵対性だね。こんなの見たことないよ。

非線形のフィードバックに文字通りのストール、やばいね。ウェブサイトを作るべきじゃない人もいるよ。

こんなにひどくするために、すごい努力してるよね!

それが原因で読まなくなったよ。スクロールできないし。これ、バイブコーディングされてるの? EYがレポートを読まないことで叩かれてるのが面白いけど、彼らは自分たちのウェブサイトをテストしてないみたいだね。

多くの職業で見られる問題は、AIの出力が経験豊富なアナリストやシニアエンジニア、専門の弁護士、常駐医師などの知識のある人によって精査されていないこと。せいぜいざっと目を通すか、最悪の場合は公開される前に全く見られないこともある。多くの場合、必要な精査を行うスキルは社内にあるけど、彼らはすでに日々の業務で手一杯。数ヶ月前にアマゾンがシニアエンジニアに生成AIの出力を精査させるようになったって話、覚えてる人いる?(https://news.ycombinator.com/item?id=47323017)あれを読んだときは笑っちゃったよ。彼らはすでに忙しいのに。アマゾンがプロジェクトや基盤開発で人間のボトルネックを増やすなんて、ありえないよね。

問題の一部は、完全に仕上がった文書をレビューするために渡されること。私は、組織全体で基本的なエンジニアリング原則を推進しているんだ。エンジニアに1000行のコードをレビューさせるとき、最低でもその背景となる元の仕様書を渡さない?(理想的には、レビューする人がその作業が紹介されたときに同席していて、全体の文脈を理解しているべきだよね)。だから、こういう文書はオールオアナッシングで渡される。39番目の指標に対して、細かく定義されたものに対して反論する?それとも、現状を受け入れるしかない?1枚のペーパーで「これが私の提案です」って言うだけで、アイデアの骨組みを示して、全体の形を見直すことができる。そうすれば、貴重なレポートが完成する前に感情的な投資をすることができる。知ってる?SCRUM環境で仕様を通していく伝統的なプロダクト…エンジニアがちゃんとコードレビューをする…* そう、SCRUMは死んでるけど、それはまた別の話。

Hacker Newsで議論の続きを見る