「社長から緊急の電話があり、今すぐ1,000万円を振り込んでほしいと言われた」——これがAIボイスクローニングを使った詐欺の典型的な手口です。経営幹部の声をAIで再現し、従業員を騙して送金させる犯罪が世界中で急増しています。本記事では、CEO詐欺・ボイスクローニング詐欺の仕組みと、企業が取るべき具体的な対策を解説します。

CEO詐欺(BEC詐欺)とは

CEO詐欺とは、経営幹部(CEO・CFO・社長等)を装い、従業員に不正な振り込みや機密情報の提供を指示するビジネスメール詐欺(BEC: Business Email Compromise)の一種です。

FBIの報告によると、BEC詐欺は2019年から2023年にかけて世界全体で500億ドル以上の被害を出しており、サイバー犯罪の中でも損失額が突出して大きい犯罪類型です。

従来はメールを中心としたなりすましが主流でしたが、近年はAIによる**ボイスクローニング(音声合成)**と組み合わせた高度な攻撃が急増しています。

ボイスクローニングの仕組み

ボイスクローニングとは、対象人物の音声データをAIに学習させ、その人物の声質・イントネーション・話し方を模倣した合成音声を生成する技術です。

必要な音声データの量

以前は大量の音声データ(数時間〜数十時間)が必要でしたが、現在の技術では数秒から数分の音声サンプルで実用的なクローニングが可能です。

このサンプルの入手先として、以下のような公開情報が使われます。

  • YouTubeの動画(社長挨拶・インタビュー等)
  • 決算説明会・IR資料の音声
  • SNSでの音声・動画投稿
  • オンラインセミナー・ウェビナーの録画

テキスト読み上げ(TTS)との組み合わせ

クローニングした音声プロファイルを使い、攻撃者が入力した任意のテキストをその人物の声で読み上げることができます。事前に台本を用意し、まるで本人が話しているかのような自然な音声を生成できます。

実際の手口:攻撃のシナリオ

シナリオ1:緊急送金の電話

攻撃者がCEOの声でクローニングした音声を使い、経理担当者に電話します。「今日中に取引先に1,000万円を振り込んでほしい。M&Aに関わる機密案件だから誰にも言わないでほしい」といった内容で、緊急性と秘匿性を強調して送金を促します。

シナリオ2:ビデオ会議でのなりすまし

2024年に香港で発生した2億3,500万ドルの詐欺では、CFOと複数の同僚に見せかけたディープフェイク映像のビデオ会議に財務担当者を参加させ、送金を指示しました。映像と音声の両方を偽造したことで、被害者は全く疑わなかったとされています。

シナリオ3:段階的な信頼構築攻撃

まず偽のメールでやり取りを開始し、信頼関係を構築してから音声電話でダメ押しするという多段階攻撃も確認されています。メール・電話・時にはチャットと複数のチャンネルをまたいで偽装することで、被害者の疑念を払拭します。

狙われやすい組織の特徴

以下に当てはまる組織は、特に注意が必要です。

  • 経営幹部の音声・映像が公開されている(IR、メディア露出等)
  • 経理・財務部門が経営幹部と日常的に電話で連絡を取る文化がある
  • 緊急案件は上長の指示に従うという慣行がある
  • 新しい振込先・高額振込の際の確認プロセスが整備されていない
  • テレワーク中心で対面確認が難しい

企業が取るべき対策

対策1:業務プロセスに確認ステップを組み込む

最も重要な対策は、技術的なものではなく業務プロセスの設計です。

  • 高額送金の多段階承認フロー:一定金額以上の送金は、複数のコミュニケーションチャンネル(電話+メール、またはシステム上の承認フロー)での確認を義務付ける
  • 初回の振込先口座への事前登録制:新規の振込先口座は事前審査・登録なしには振込できない仕組みにする
  • 「緊急・秘匿」の組み合わせを警戒するルール:「急いで」「誰にも言わず」という要求はフィッシング・詐欺の典型的な手口として周知する

対策2:AIによる音声検知の導入

AIボイスクローニングを人間の耳で識別することはますます困難になっています。G1 Technologyのspellbreakerは、音声クローニングやTTS(テキスト音声変換)の痕跡を検出する音声検知機能を搭載しています。

  • 録音された通話の事後検証
  • リアルタイムの音声監視(コールセンター等)
  • ボイスメールの真正性確認

対策3:社員への定期的な啓発・訓練

詐欺の手口を知ることが最初の防衛線です。

  • 実際の事例を使ったトレーニング:架空の送金指示電話を想定したシミュレーション訓練
  • 「社長からの電話でも確認する」文化の醸成:たとえ経営幹部からの指示であっても、高額送金前には別のルートで確認することを標準とする
  • 報告しやすい環境づくり:「疑わしいと思ったが確認できなかった」という状況を防ぐ心理的安全性の確保

対策4:デジタルIDの事前合言葉

電話やビデオ会議での本人確認を強化するために、**事前に経営幹部との間で共有した合言葉(コードワード)**を設定する方法があります。音声や映像だけでは確認できない場合に、合言葉で本人確認する運用ルールを整備します。

インシデント発生時の対応フロー

詐欺被害が発生・発覚した場合の基本的な対応フローは以下のとおりです。

  1. 直ちに送金の停止・取り消しを試みる(時間との勝負)
  2. 証拠の保全:音声録音・メール・チャット履歴・振込記録等
  3. 経営幹部・セキュリティ部門への報告
  4. 警察(サイバー犯罪相談窓口)への届け出
  5. 金融機関への連絡:振込先口座の凍結要請
  6. 社内での再発防止策の検討

まとめ

CEO詐欺・ボイスクローニング詐欺は、AIの進化とともに急速に高度化しています。「声を聞いた」「顔を見た」という確認だけでは本人確認として不十分な時代になりました。

対策の核心は2点です。

  1. 業務プロセスに確認ステップを組み込む(技術で防げない部分を手順で補う)
  2. AIによる音声・映像の検知技術を活用する(人間の感覚を技術で補強する)

G1 Technologyでは、ボイスクローニング・ディープフェイク検知のソリューションをご提供しています。企業のセキュリティ担当者・情報システム部門の方はお気軽にお問い合わせください。

よくある質問(FAQ)

Q. ボイスクローニング詐欺の被害に遭った企業はどのくらいありますか?

A. FBIによると、BEC詐欺(CEO詐欺を含む)は2019〜2023年の5年間で世界全体の被害総額が500億ドルを超えており、サイバー犯罪の中で最大の金融被害を出す犯罪類型となっています。

Q. 電話でのボイスクローニングを見破る方法はありますか?

A. 人間の耳での識別はほぼ不可能なレベルに達しています。最善策は「音声だけで高額送金を承認しない」という業務ルールの整備です。AIによる音声検知ツールも、事後検証や録音された通話の分析に有効です。

Q. SNSや動画に出ていない経営幹部でも標的になりますか?

A. 公開情報が少ないほどリスクは低くなります。ただし、社内ミーティングの録音・電話対応の音声など、内部からの情報漏洩によるサンプル取得リスクもあるため、完全に安全とは言えません。

Q. 合言葉の運用はどのように管理すればよいですか?

A. 合言葉は定期的に変更し、メールや通常のメッセージツールでは共有しないことが重要です。経営幹部と対象の担当者が対面で共有・更新するフローを設けることをお勧めします。