投稿者 global-ai-media 
生成AIの進化により、音声クローンやディープフェイクを用いた詐欺が世界規模で急増しています。本記事では、米国で高齢者を狙うAI詐欺の事例を起点に、日本の意思決定者やエンジニアが直面するセキュリティリスクと、実務に落とし込むべき防御策について解説します。
高度化するディープフェイクと音声クローンの脅威
生成AI、特に大規模言語モデル(LLM)や音声合成技術の発展は、業務効率化や新規サービス創出に多大な恩恵をもたらしています。一方で、その技術はサイバー犯罪者にも悪用されています。米国の最新動向では、SNSや動画共有サイトにあるわずか数秒の音声データから本物そっくりの「音声クローン」を生成し、高齢の親族を狙って緊急の送金を求める詐欺が急増しています。日本で言うところの「オレオレ詐欺」が、AIによって極めて巧妙化かつ低コスト化しているのが現在の脅威ランドスケープです。
日本企業が警戒すべき「顧客」と「社内」へのリスク
日本は世界で最も高齢化が進んでいる国の一つであり、こうしたAIを活用した詐欺のターゲットになりやすい土壌があります。日本企業がAIを活用・提供する立場として、大きく2つのリスクを認識し、対策を講じる必要があります。
1つ目は「顧客の被害とシステムへの不正アクセス」です。金融機関や通信事業者、オンラインサービスにおいて、スマートフォンのカメラとマイクを使ったオンライン本人確認(eKYC)が普及していますが、ディープフェイク映像や音声によるなりすましで認証プロセスが突破されるリスクが高まっています。自社のサービスが詐欺の温床になることは、重大なブランド毀損につながります。
2つ目は「社内におけるビジネス詐欺」です。経営トップや上司の声を模倣し、経理担当者に緊急の資金移動を指示する、いわゆる「CEO詐欺(BEC:ビジネスEメール詐欺の音声・動画版)」の事例が海外で報告されています。日本の組織文化においては、権威ある立場からの緊急の指示に対して現場が確認をためらう傾向があるため、この種のリスクには特に注意が必要です。
技術とプロセスの「多層防御」が不可欠に
こうした脅威に対し、企業はどのように対応すべきでしょうか。米国における家族間のAI詐欺対策としてディープフェイクの専門家が推奨する有効な手段の一つは、「事前に家族間で秘密の合言葉(セーフワード)を決めておく」という極めてアナログな方法です。これは企業の実務においても重要な示唆を与えてくれます。
最新のAI脅威に対しては、AIを利用した検知ツール(ディープフェイクを見破るセキュリティ製品など)の導入といった技術的アプローチはもちろん重要です。しかし、検知技術と生成技術は常にイタチごっこの関係にあり、技術だけで100%防ぐことには限界があります。したがって、業務プロセスの中に「システム外での折り返し電話」や「複数人による承認」といった、AIでは容易に突破できないアナログな多要素認証を組み込む「多層防御(Defense in Depth)」の考え方が求められます。
日本企業のAI活用への示唆
本テーマから得られる、日本企業に向けたAI活用とリスク管理の要点は以下の通りです。
・ゼロトラストを前提とした認証プロセスの再構築:デジタル上(電話、ビデオ会議など)の音声や映像は偽造可能であるという前提に立ち、特に資金移動や機密情報の取り扱いにおいては、別の通信経路(社内チャットツールや対面)での確認ステップを標準の業務フローとして組み込むことが重要です。
・プロダクト開発における脅威モデリングの実施:自社のプロダクトやサービスにAIを組み込む際、またはオンライン認証を利用する際は、ディープフェイクによる攻撃ベクトル(攻撃の手段や経路)を想定した脅威モデリングを実施し、設計段階からセキュリティを担保する「セキュリティ・バイ・デザイン」を徹底してください。
・従業員および顧客への継続的な啓発:日本の消費者はサービス提供者に対する信頼度が高い傾向にあります。「AIによって声や顔すらも精巧に偽造される時代である」という事実を、社内研修だけでなく顧客向けの注意喚起にも積極的に取り入れることが、結果として企業の信頼とAIガバナンスの強化につながります。