この記事のポイント(TL;DR)
- BEC詐欺(ビジネスメール詐欺)はAI音声クローニング・ディープフェイクと組み合わさり、「メールだけの詐欺」から「電話・ビデオ通話も偽装するマルチモーダル詐欺」に進化
- FBI IC3レポートによれば、BEC詐欺は2024年に世界で約29億ドル超の被害を記録(サイバー犯罪被害額の最大カテゴリ)
- 日本でも金融機関・商社・製造業などでの被害報告が増加。「社長の声」を偽装した音声詐欺が複数確認されている
- 対策の要は①業務フローへの承認ステップ追加 ②AI音声・映像の真正性検証 ③継続的な従業員教育
BEC詐欺とは——なぜ今、危険なのか
BEC(Business Email Compromise)詐欺とは、企業の経営幹部・取引先・弁護士・金融機関などを装い、従業員を騙して不正な送金や機密情報の開示をさせる詐欺です。かつては「巧妙なメール1通」で成立していましたが、2025〜2026年にかけてその手口は根本から変わりつつあります。
「メール詐欺」から「マルチモーダル詐欺」へ
旧来のBEC詐欺は、メールヘッダーを偽装して経営幹部を装い「至急送金してください」と指示するものでした。しかし現在は:
- AI音声クローニング:わずか数秒〜数十秒の音声サンプルから、経営幹部の声質・口調を精巧に再現した音声を生成し、電話で「緊急送金」を指示
- リアルタイム・ディープフェイク:ビデオ会議で幹部の顔・声を別人が騙り、複数の「参加者」を含むオンライン会議全体を偽装
- マルチモーダル組み合わせ:メール → 音声確認 → ビデオ会議の三段構えで、複数の確認手段を突破する
この進化により、「メールは怪しいが電話で確認した」「ビデオで顔を見た」という従来の確認手順が機能しなくなっています。
2025〜2026年 主要なBEC・CEO詐欺事例
世界規模の被害状況
FBI IC3(インターネット犯罪苦情センター)の年次報告によれば、BECは2024年も世界のサイバー犯罪被害の最大カテゴリであり、被害総額は約29億ドル(約4,600億円)超に達したとされています(2025年発表のIC3 Annual Report参照)。
アジア・日本の主要事例
2024年・香港 — 約37億円のビデオ会議詐欺
多国籍企業の香港支社員が、CFOほか複数の幹部を装ったディープフェイク・ビデオ会議に参加し、約2,500万ドル(約37億円)を送金させられた事件。参加者全員が偽物だったとされ、ビデオ会議の信頼性を根底から揺さぶりました。
2025年・シンガポール — 首相なりすまし投資詐欺
シンガポールのローレンス・ウォン首相になりすましたAI生成動画がソーシャルメディアで拡散し、当局が注意喚起を発出。投資勧誘を装った詐欺との関連が指摘されています。当局(MAS・シンガポール警察)は繰り返し警告を公表しています。
2026年・北朝鮮のリモートワーク採用詐欺(FBI警告)
FBIは2026年5月、北朝鮮のサイバー工作員がリアルタイム・ディープフェイクを使ってリモートワークの採用面接を突破し、米国・欧州の企業に潜入している事例について警告を発しました。採用後に企業の機密情報や決済システムへのアクセス権を悪用するものです。
日本国内での被害報告(複数)
業界団体・当局への届出ベースでは、経営幹部の声を音声クローニングで偽装し部下に送金を指示するCEO詐欺が、日本国内の製造業・商社・金融関連で複数確認されています。詳細はCEO詐欺・なりすまし事例まとめも参照してください。被害総額は多くが非公開ですが、業界関係者への取材では「1件あたり数百万〜数千万円規模」の報告が中心とされています。
手口の進化:3段階で見る攻撃の変化
第1世代(〜2022年): メール偽装型
- 偽メールアドレス(「ceo@company-corp.com」など類似ドメイン)
- 「至急・秘密」を強調した送金指示
- 対策: SPF/DKIM/DMARCの設定、メールフィルタリング
第2世代(2023〜2024年): 音声クローニング型
- 数秒の音声サンプルからCEO・CFOの声を再現
- 深夜・休日の「緊急電話」として架電
- 対策: 登録番号へのかけ直し、「確認コード」の事前共有
第3世代(2025〜現在): マルチモーダル・リアルタイム型
- ビデオ会議全体の偽装(複数参加者を含む)
- メール → 電話 → ビデオの三段確認をすべて突破
- 採用面接・取締役会・決算説明会での悪用も
- 対策: AI音声・映像の真正性検証ツール + 多段階承認フローの義務化
なぜ金融機関・経理部門が最もリスクが高いのか
BEC詐欺の標的は「決済権限を持つ人・部門」に集中します。
| 標的部門 | リスクが高い理由 | 典型的な被害シナリオ |
|---|---|---|
| 経理・財務部門 | 送金権限を持つ | 「社長から緊急送金指示」「取引先口座変更」 |
| 金融機関の融資担当 | 大口決済の承認権限 | 「役員を装った内部指示」 |
| 人事・採用担当 | 採用システムへのアクセス権 | 偽応募者による内部潜入 |
| 広報・法務 | 機密情報へのアクセス | 「弁護士からの緊急確認依頼」 |
金融庁の「AIリスク管理に関するガイドライン(2026年4月版)」は、金融機関に対してAIなりすましリスクへの明示的な対応計画策定を求めており、ディープフェイク・音声クローニングを使ったなりすましを重点リスクとして位置付けています。
企業が今すぐ取るべき対策
技術的対策:AI音声・映像の真正性検証
人間の耳・目での判別が限界に達した今、AIによる検知が不可欠です。spellbreaker(by ProbeTruth)のようなフォレンジック・グレードの検知システムは、音声・映像の統計的・物理的異常を検出し、「なぜ本物でないのか」を説明できる根拠付きレポートを生成します(統制されたベンチマーク条件下での検知精度: 音声平均96.90%、動画94.7%)。
特に金融機関では、決済承認フローへのAPI組み込みや、SIU(特別調査部門)による請求書・証拠書類の真正性チェックへの活用が広まっています。
組織的対策:業務フローの変更
| 対策 | 具体的な内容 |
|---|---|
| 多段階承認 | 一定金額以上(例: 100万円以上)の送金は、ビデオ・電話確認のみで承認せず、別経路でのコールバック確認を義務付け |
| 口座変更ルール | 取引先からの「振込先口座変更依頼」は、登録済みの連絡先へ必ず確認。メール・電話のみでは変更しない |
| 確認コード | 経営幹部との重要連絡に事前共有の「確認ワード」を設定。音声クローニングでは確認コードを知ることができない |
| インシデント報告 | 「怪しいと感じた」段階での報告を奨励。心理的安全性の確保が早期発見の鍵 |
従業員教育
- BEC詐欺の最新手口をシナリオ形式で学ぶ訓練(年2回以上推奨)
- 「緊急・秘密・至急」の3ワードを含む指示には必ず立ち止まるルールを徹底
- 偽の送金指示を受けた際の具体的なエスカレーション手順の明文化
まとめ:経理部門・金融機関が今取るべき3ステップ
BEC詐欺は「メールを注意すれば防げる」時代を超え、音声・映像の偽装まで含む多層的な脅威になっています。
今すぐできる3ステップ:
- 業務フローへの承認ステップ追加(送金・口座変更の二重確認義務化)
- AI真正性検証ツールの導入(電話・ビデオ会議の音声・映像を機械で検証)
- 最新手口を使った社員訓練(「電話で確認した」が通用しない時代に対応)
G1 Technologyでは、BEC詐欺・CEO詐欺対策に特化したディープフェイク検知ソリューションをご提案しています。まずはお気軽にご相談ください。
よくある質問(FAQ)
Q. BEC詐欺とは何ですか?
A. BEC(Business Email Compromise)詐欺は、企業の幹部や取引先になりすましてメールで送金・情報漏洩を求める詐欺です。2025年以降はAI音声クローニング・ディープフェイクを組み合わせた「マルチモーダル詐欺」に進化しており、メールだけでなく電話・ビデオ通話も偽装されます。
Q. CEO詐欺とBEC詐欺の違いは?
A. CEO詐欺はBEC詐欺の一種で、CEOやCFOなどの経営幹部を装って部下に送金を指示する手口です。BEC詐欺はより広く、取引先・弁護士・金融機関などを装うケースも含みます。FBI IC3の年次報告では、両者はまとめてBECとして集計されています。
Q. BEC詐欺の被害を受けたらどうすればよいですか?
A. ①即座に送金先の金融機関へ連絡して資金回収を依頼 ②警察(サイバー犯罪相談窓口)・IPAへ報告 ③証拠保全(メールヘッダー、ログ、通話記録)の順で対応してください。特に国際送金は時間との勝負で、当日中の連絡が資金回収の分かれ目になります。
Q. AI音声クローニングを使ったBEC詐欺を見破れますか?
A. 人間の耳では判別が非常に困難です。確認方法として、①架電されてきた番号ではなく登録済みの番号へかけ直す ②事前に決めた「確認コード」を用いる ③AI音声検知ツールで音声を分析する——の3段階を組み合わせることが推奨されます。
Q. 金融機関はBEC詐欺に対してどう対応しますか?
A. 金融庁のAIリスク管理ガイドライン(2026年4月)は、金融機関に対してAIなりすましリスクへの対応計画策定を求めています。具体的には、一定金額以上の送金指示への多段階承認、音声・映像の真正性検証ツールの導入、従業員への定期訓練が有効とされています。
関連記事: