※本記事は校正部のレビューを反映した完成版です。
「さっき社長から電話があって、急ぎで振り込んでほしいって」——もしあなたの会社の経理担当が、社長の“声”を聞いてそう動いたら、止められるでしょうか。
いま増えているのが、AIで本人そっくりの声や顔をつくり、上司や取引先になりすます詐欺です。やっかいなのは、これまで私たちが「本人確認」に使ってきた手がかり——電話の声、ビデオ会議に映る顔——が、まるごと偽造できてしまう点にあります。
「うちは小さい会社だから狙われない」と思うかもしれません。けれど、この詐欺が突くのは会社の規模でも、システムの脆弱性でもありません。“急いで”“内緒で”お金を動かしてしまう人の手順の穴です。だからこそ、規模に関係なく刺さります。今日は、その仕組みと、コストをかけずに今日からできる守り方を整理します。
何が新しいのか:振り込め詐欺が「役職者の声」を手に入れた
これまでの「ビジネスメール詐欺」は、文章だけが武器でした。だからこそ「念のため電話で確認しよう」が有効な防御になっていた。
ところがAIは、ごく短い音声からでも本人そっくりの声を合成できます。米FBIは、説得力のある音声クローンがわずか数秒の音声から作れると注意を促しています。素材は特別なものではありません。講演の動画、SNSに上げた挨拶、電話口の録音——どこにでもある音声で十分なのです。
つまり「電話で声がした」「ビデオに顔が映っていた」は、もはや本人である証拠になりません。ここが、今までの詐欺対策と決定的に違うところです。
実例:偽の役員だらけのビデオ会議で、約2,500万ドルが消えた
象徴的なのが、英国の設計エンジニアリング大手 Arup で起きた事件です(2024年に発覚)。
香港オフィスの財務担当者が、英国本社のCFOを名乗る人物から「秘密の取引が必要だ」というメッセージを受け取りました。その後参加したビデオ会議には、CFOをはじめ複数の“役員”が出席していた。担当者は指示どおり、15回に分けて計約2,500万ドル(数十億円規模)を5つの口座に送金します。
しかし、その会議の出席者は本人を除いて全員がAIで作られた偽物でした。詐欺と分かったのは、後で本社に問い合わせたとき。Arupの社内システムは何も破られていません。突かれたのは技術ではなく、「偉い人の指示」「秘密」「急ぎ」が重なると、一人で確認せずに動いてしまうという人の手順だったのです(CNN・Fortune 報道)。
なぜ効くのか:赤信号は「急ぎ・秘密・振込先の変更」
なりすまし詐欺の台本は、驚くほど似ています。
- 急ぎ:「今すぐ」「締切が」とせかし、考える時間を奪う
- 秘密:「他言無用」「正式な手続きは後で」と、周りへの相談を封じる
- 振込先の変更:「今回は別の口座に」と、いつもと違う送金先を指定する
この3つが揃ったら、相手が誰の“声”であっても赤信号です。AIが進化したいまでも、詐欺師が最後に頼るのは技術ではなく、「人を急かして、一人で判断させる」という古典的な心理操作。裏を返せば、ここを断てば声や顔が本物そっくりでも防げます。
中小企業の現実解:今日からできる4つの確認術
高価なツールは要りません。お金と権限が動く場面に、“声・顔を信じない”ひと手間を仕込むだけです。
1. お金・権限が動く依頼は、必ず「別の経路」で確認する(コールバック)
メールやチャット、電話で振込・送金・情報の依頼が来たら、自分が前から知っている番号にかけ直して本人に確認します。相手のメールに書かれた番号や、相手が指定した連絡先は使わない——これがFBIも推奨する「アウトオブバンド検証」です。経路を変えるだけで、なりすましは一気に崩れます。
2. 社内に「合言葉」を決めておく
「振込や重要な指示のときは、この合言葉を言い合う」と社内で取り決めておきます。FBIも、家族や関係者と事前に合言葉を決めて本人確認に使うことを勧めています。声がそっくりでも、相手は合言葉を知りません。
3. 一人で大金を動かせなくする(多段承認)
送金や振込先の変更は、必ず二人以上の承認を必要にする。とくに「振込先口座の変更」は電話確認を必須にします。Arupの事件は、一人の担当者に判断と実行を委ねたことが致命傷でした。「一人で完結させない」仕組みが、最後の安全弁になります。
4. 「数秒で声は複製される」前提で、露出と初動を意識する
社長や役員の音声・動画をネットに出すときは、それが詐欺の“素材”になりうると意識しておく。完全に出さないのは難しいので、その分1〜3の確認手順を固める方が現実的です。そして、もし被害に気づいたら、ためらわずすぐ銀行と警察に連絡する。送金直後ほど、止められる可能性が残ります。
まとめ:守るのは「声」ではなく「手順」
AIは、声も顔も驚くほど本物そっくりに作れるようになりました。だからこそ、これからの本人確認は「聞こえたか・見えたか」ではなく「別の経路で確かめたか」に変わります。
ツールを買う前に、まずは「お金が動く依頼は、知っている番号にかけ直す」——この一手から始めてみてください。声を信じないことは、相手を疑うことではありません。会社と従業員を守るための、新しい当たり前の手順です。
あわせて読みたい
- AIエージェントを仕事に入れる前に──プロンプトインジェクションという落とし穴(外からの攻撃編)
- 禁止しても、社員はこっそりAIを使っている──「シャドーAI」と中小企業の向き合い方(内側のリスク編)
参考
- Arup revealed as victim of $25 million deepfake scam(CNN, 2024)
- A deepfake ‘CFO’ tricked British design firm Arup in $25 million fraud(Fortune, 2024)
- FBI IC3 PSA:Senior US Officials Impersonated in Malicious Messaging Campaign(2025)
- AI ‘voice cloning’ scams are on the rise. Here’s how to protect yourself(CNN Business, 2026)
※本記事は複数の公開情報をもとに作成しています。被害統計の数値は出典により幅があるため、本文では具体的な伸び率の断定を避け、傾向として記載しています。
この記事はAIが作成し、人が内容を確認して公開しています。
コメント