2024年、香港のエンジニアリング企業Arupで衝撃的な事件が起きました。経理担当者がビデオ会議でCFOや同僚と話していたつもりが、画面に映っていた全員がAI生成の偽物。気づいたときには約2,560万ドルが不正送金されていました。
「顔を見て話しているのに騙される」という現実は、多くの人の想定を超えています。ディープフェイク詐欺は今や企業規模を問わず起きており、対策を知っているかどうかで被害を防げるかどうかが決まります。
ディープフェイク詐欺の手口
攻撃の流れはパターン化されています。まずターゲット企業のCEO・CFOのLinkedInや公開動画から音声・顔データを収集します。次にディープフェイク映像を生成し、経理や資金管理者に「緊急の秘密送金」を依頼するビデオ会議を設定。「急ぎで」「誰にも言わないで」というプレッシャーをかけることで、通常の確認プロセスをスキップさせます。
現代のディープフェイク技術は、数分の映像サンプルがあれば本人そっくりのフェイクをリアルタイムで生成できます。ZoomやTeamsに偽映像を入力するツールもオープンソースで出回っている状況です。
なぜ顔を見ても騙されるのか
人間の脳は「顔と声が一致していれば本人だ」と自動的に判断します。進化の過程で培われたこの認知パターンを、ディープフェイクは直接突きます。そこに「緊急性」「秘密保持」「上司からの命令」が重なると、普段は疑わない人でも確認を省略してしまいます。
つまり、これは「技術の問題」ではなく「人間の認知の問題」です。どれだけ精巧な検知ツールを使っても、プロセスで防がなければ防ぎきれません。
技術的な検知のポイント
完璧なリアルタイム検知は難しいですが、注意すべきサインはあります。
- まばたきのタイミングが不自然
- 唇の動きと音声にわずかなズレがある
- 顔の輪郭が背景との境界でぼやけている
- 照明や影が顔と背景で合っていない
MicrosoftやIntelがディープフェイク検知技術を提供しています。重要な取引を伴う会議では導入を検討する価値がありますが、技術的検知はあくまで補助手段です。運用面の対策と組み合わせて使いましょう。
最も効果的な対策:確認プロセスの徹底
「別チャネルで確認する」——これが最強の防衛策です。技術でも訓練でもなく、ルールです。
別チャネル確認を必須にする
Zoomで送金依頼を受けたら電話で確認。メールで指示が来たら直接対面で確認。ビデオ会議・メール・チャットの3つが同じ相手からであっても、別の手段で本人確認するルールを徹底してください。
「急ぎ」「内密に」は必ず立ち止まるサイン
正当なビジネスで、確認を省略するよう求められることはまずありません。「今すぐ」「誰にも言わないで」という言葉が出た瞬間に疑うべきです。本物の上司なら、確認に10分かけることを怒りません。
送金フローに複数承認を組み込む
一定金額以上の送金は、1人の指示では実行できない仕組みにします。送金先口座が変更された場合は、さらに慎重に確認してください。
シミュレーション訓練を定期的に行う
「知っている」と「実際に気づける」は別物です。ディープフェイク詐欺のシミュレーションを定期的に実施して、従業員の体感覚として身につけさせましょう。
まとめ
ディープフェイクはどんどん精巧になっています。技術で完全に検知することは今後も難しいでしょう。だからこそ、「映像を信じない」「プロセスで防ぐ」という文化を組織に根づかせることが根本的な解決策になります。
よくある質問
ディープフェイクを見分けるコツはありますか?
まばたきの不自然さや顔の輪郭のぼやけが手がかりになりますが、技術の進化で年々見分けにくくなっています。技術的な識別より、「別チャネルで確認する」というプロセスを優先してください。
中小企業も狙われますか?
狙われます。むしろセキュリティ体制が手薄な分、標的にされやすい面もあります。被害額が大きくなるのは大企業ですが、攻撃の頻度は規模に関係しません。
コメント