この記事のポイント(TL;DR)

  • CEOや役員の声をAIで複製した「ボイスクローニング詐欺」が急増。2024年の香港事件では約37億円が詐取された
  • 音声だけでなく顔映像まで偽造する「ビデオ会議なりすまし」も現実化している
  • 「音声が本物かどうか」を技術的に検証するツールが対策の核心
  • プロセス対策(確認フロー)と技術対策(AI検知)の組み合わせが必須

CEOの「声」が偽造される時代

「社長から緊急の送金指示が来た」

この電話・メッセージが、今や本物かどうか確かめる術がない時代になっています。

数秒〜数分の音声データがあれば、生成AIはその人物の声を精度高く複製できます。電話越しの音声品質であれば、家族でさえ区別できないケースが報告されています。

香港の金融機関で起きた37億円詐欺(2024年)

2024年初頭、香港の多国籍企業の財務担当者が、CFO(最高財務責任者)を名乗る人物からビデオ会議に招待されました。画面には見覚えのある上司の顔と声が映っており、担当者は本物だと信じました。

しかしそれはディープフェイクでした。担当者はその指示に従い、複数回にわたって計2億香港ドル(約37億円)を送金。被害が発覚したときには、資金は既に回収不能でした。

これは極端な例ではありません。音声のみの電話を使ったCEO詐欺は、日本を含む世界中で日常的に発生しています。

CEO詐欺の手口:3つのパターン

パターン1:電話による緊急送金指示

最も多い手口です。「社長」を名乗る電話が財務担当者にかかり、「M&A案件で今日中に送金が必要」「極秘事項なので他の人には言わないで」と指示します。

ボイスクローニング技術により、電話越しの音声品質であれば本物との区別が困難です。また「緊急性」「機密性」を強調することで、社内確認を省略させます。

パターン2:ビデオ会議でのなりすまし

香港の事例のように、ビデオ会議ツール(Zoom・Teams等)でCEOや役員の顔・声を偽造します。複数の偽の「同僚」が画面に映ることで信頼感を高める手口も確認されています。

リアルタイムのディープフェイク技術は急速に進化しており、ビデオ通話の解像度・圧縮品質の条件下では目視判別がほぼ不可能です。

パターン3:音声メッセージ+メールの組み合わせ

WhatsApp・LINEなどのメッセージアプリで「社長から」の音声メッセージを送りつけた後、メールで送金先口座を指定するパターン。音声の「信頼感」でガードを下げてから、書面で指示を確定させます。

なぜ従来の対策では不十分なのか

「電話で直接確認する」の限界

「不審な指示はいつも使っている電話番号に折り返して確認する」というガイドラインを設けている企業は多いです。

しかしこれには2つの落とし穴があります。

  1. 攻撃者が先に電話して状況を作り上げる — 「後で折り返しても出られない場合がある、今決める必要がある」と言い含められると、折り返し確認を省略する心理的圧力がかかります
  2. 電話番号のなりすまし(スプーフィング) — 攻撃者は発信番号を本物の社長番号に偽装できます。「折り返したら社長の番号につながった」という状況も作れます

コードワードの限界

事前に決めた暗号(コードワード)を送金指示の際に要求するルールは有効ですが、完璧ではありません。

  • コードワードを知っている従業員が社会工学的に誘導される
  • コードワード自体が情報漏洩する
  • 「今回だけコードワードなしで」という例外承認を求められる

AI検知ツールを活用した多層防御

CEO詐欺対策は「プロセス対策」と「技術対策」の組み合わせが必要です。

技術対策:音声・映像の真正性検証

電話・ビデオ会議の録音・録画をディープフェイク検知ツールでスキャンすることで、音声・映像がAIで生成・改ざんされたものでないかを技術的に検証できます。

spellbreaker(提供:G1 Technology株式会社)は、動画・音声・画像の3種類に対応したマルチモーダル解析ツールです。CEO詐欺対策での活用方法は次の通りです。

事後検証(インシデント対応) 「怪しい電話があった」「不審な送金指示を受けた」という状況が発生した場合、録音・録画ファイルをspellbreakerで解析します。AIで生成された音声・映像には、人間の耳や目では気づきにくい微細な痕跡が残っており、検知ツールはこれを自動で分析します。

定期的な疑義案件のスキャン 高額送金・口座変更などの重要な指示に関する通話録音を定期的にスキャンする運用も可能です。社内のSIEM・セキュリティ監視フローに組み込むことで、インシデント後の迅速な対応が可能になります。

spellbreaker 製品詳細・音声検知デモ申し込み

プロセス対策:すぐに導入できる7つの対策

技術ツールの導入と並行して、組織的なプロセスを整備することが重要です。

1. 送金承認の多段階承認フローを義務化する

一定金額以上の送金(例:100万円超)は、電話一本の指示では実行できないルールを設けます。複数の承認者のサインまたはシステム承認が必要な設計にします。

2. 「緊急・機密」を理由とした例外承認を禁止する

「緊急だから確認を省略してほしい」「社外秘なので他の人には言わないで」という指示は、CEO詐欺の典型的なパターンです。これを理由にした例外承認を制度として禁止します。

3. 別チャンネルでの確認を徹底する

電話で指示を受けた場合は、メールで再確認。メールで指示を受けた場合は、電話で再確認。音声で指示を受けた場合は、文書(メール・チャット)で確認を残す。必ず別のコミュニケーションチャンネルを経由します。

4. コードワード制度を導入する

役員と財務担当者間で事前に共有した「合言葉」を、高額送金指示の際に必ず確認します。コードワードは定期的に更新し、書面・デジタルデバイスに記録しないことを徹底します。

5. 取引先口座変更依頼のルールを厳格化する

「口座が変わった」という連絡は、CEO詐欺・BEC(ビジネスメール詐欺)でも頻繁に使われるパターンです。口座変更は電話での確認+担当者以外の上長承認を必須とします。

6. 社員向け定期訓練を実施する

年に1〜2回、CEO詐欺を想定したフィッシング訓練を実施します。模擬の「社長からの緊急送金指示」を送り、担当者がルール通りに対応できるかを確認します。

7. インシデント発生時の報告フローを明確にする

「怪しいと感じた」「すでに送金してしまった」どちらの場合も、すぐに報告できるルートを整備します。報告を躊躇させる文化(「また大げさな」という反応)がリスクを高めます。

業種別リスクと優先対策

業種 主なリスクシナリオ 優先対策
製造業・商社 海外子会社への送金指示なりすまし 多段階承認フロー・別チャンネル確認
金融機関 顧客口座への送金指示・口座変更なりすまし AI検知ツール導入・口座変更ルール厳格化
ITサービス企業 役員なりすましによるシステムアクセス要求 ゼロトラスト設計・AI検知
医療機関 調剤・診療情報へのアクセス指示なりすまし コードワード・多段階承認

まとめ

CEO詐欺・音声なりすましは、「騙された人が悪い」という問題ではありません。技術の進化により、善意の従業員が本物と区別できない状況が生まれています。

対策の核心は2つです。

  1. プロセスで「絶対に一人で判断させない」仕組みを作る
  2. 技術で「音声・映像が本物かどうか」を検証できるようにする

どちらか一方では不十分です。今すぐ着手できるプロセス整備と、AI検知ツールの導入検討を並行して進めることを推奨します。

関連記事