【注意喚起】AIによる「なりすまし詐欺」がここまで進化しています — 最新の手口と対策

すぐに始められるチェックリスト

今日から3分でできること

• ログイン時の本人確認を「パスワードだけ」にしない（スマホ認証アプリなどを併用)
• お金の振込指示が来たら、必ず別の手段で本人に確認する
• 怪しい電話には、いったん切ってから登録済みの番号にかけ直す
• 重要な決裁の流れ（誰が承認するか)を固定する

1週間以内に整えたいこと

• メールが本物であることを証明する電子署名のしくみを導入
• パスワード代わりの物理的なセキュリティキーを社員に配布
• 不審なログインを検知できるよう、アクセス履歴を監視

会社全体で取り組むこと

• 全従業員へのセキュリティ教育
• 「念のため確認しました」と言いやすい職場の雰囲気づくり
• もし被害に遭ったときの連絡フローを決めておく

生成AIが変えた「なりすまし」3つの新しい脅威

これまでの詐欺メールやなりすましとは違い、AIを悪用した攻撃は「本物と見分けがつかない」レベルに達しています。

• 1）メール：日本語が完璧で見抜けない
  これまで詐欺メールの見分け方といえば、「日本語が不自然」「文法がおかしい」が定番でした。しかし今は、ChatGPTのようなAIを使えば、誰でも一瞬で自然で丁寧なビジネスメールが作れてしまいます。特に怖いのが、取引先や社長になりすましてお金を振り込ませる「ビジネスメール詐欺」です。文面の違和感だけで偽物を見抜くのは、ほぼ不可能になりました。
• 2）電話の声:わずか数秒の音声から「声」をコピーされる
  最新のAIは、たった数秒分の音声サンプルがあれば、その人の声色・話し方のクセ・イントネーションを再現できます。「社長から電話で、急ぎの振込を指示された」というシチュエーションでも、その声がAIで作られた偽物である可能性が、現実の脅威となっています。
• 3）ビデオ会議:リアルタイムで「顔」をすり替えられる
  「ディープフェイク」と呼ばれる技術により、Zoomなどのビデオ会議の最中に、リアルタイムで顔や声を別人にすり替えることが可能になっています。海外では実際に、ビデオ会議に参加していた「上司」が偽物で、巨額の送金被害が発生した事例も報告されています。

なぜ今、急に危なくなっているのか

理由はシンプルで、「誰でもAIを使える時代」になったからです。以前は、こうした偽装には高度なプログラミング知識や高価な設備が必要でした。しかし今は、無料または安価なアプリで、専門知識がない人でも本物そっくりの偽コンテンツを作れます。その結果、特定の人物や会社を狙い撃ちにした詐欺が、これまでにない速さと量で実行されるリスクが急増しています。

会社と個人ができる具体的な対策

AI時代のなりすましは「目や耳を疑う」だけでは防げません。システム面とルール面の両方から守る必要があります。

システムで防ぐ対策

• ログインを二段階以上にする(多要素認証)
  パスワードだけのログインをやめ、「スマホへの確認通知」「指紋認証」「セキュリティキー」などを組み合わせます。これだけで、パスワードが漏れてもアカウント乗っ取りを大きく防げます。
• メールの送信元を証明する電子署名を導入
  「このメールは確かに本人から送られた」「途中で改ざんされていない」ことを技術的に証明する仕組みです。
• 「社内だから安全」という思い込みをやめる
  最近では「すべての通信を常に検証する」という考え方が主流です。社内からの連絡であっても、無条件に信用しない運用に切り替えます。

ルールで防ぐ対策

• 「メールが来たら、別の手段で確認」を徹底する
  メールや電話で「振込してほしい」「パスワードを変えてほしい」と言われたら、必ず別の連絡手段（社内チャット、内線、対面など)で本人に確認するルールを作ります。
• 家族や承認者と「合言葉」を決めておく
  アナログですが、これが意外と強力です。緊急時のお金のやりとりについて、「AIには絶対わからない合言葉」を家族や経営層の間で共有しておきましょう。

よくあるご質問（FAQ）

Q1. AIが作ったなりすましメールを見分ける方法はありますか?

文面そのもので見抜くのは、もう困難です。ただし、こうしたメールには共通する特徴があります。

• 「至急」「今すぐ」と急かしてくる
• 普段と違う口座への振込を求める
• 「ログインしないとアカウントが停止される」と不安をあおる

少しでも違和感を覚えたら、メール内のリンクは絶対にクリックせず、ブックマークや検索から公式サイトを開いて確認してください。

Q2. ビデオ会議で「相手がディープフェイクかどうか」を確認する方法は?

現在の技術では、「横顔」や「顔の前で手を振る動き」の再現が苦手な傾向があります。 怪しいと感じたら、相手に「ちょっと横を向いてもらえますか?」「手で顔を覆ってみてください」と頼んでみてください。映像が乱れたり不自然になったりしたら、ディープフェイクの可能性があります。

Q3. 上司や取引先の声で電話がかかってきました。どう確認すればいいですか?

最も確実なのは、いったん電話を切ってから、自分が知っている正しい番号にかけ直すこと(コールバック)です。発信者番号の表示は信用しすぎないでください。また、AIは声は真似できても、「先週の会議の雑談」など、本人しか知らない個人的な話題までは再現できません。さりげなく聞いてみるのも有効です。

Q4. もし被害に遭ったら、まず何をすべきですか?

会社の場合は、すぐに情報システム部門に報告してください。そして以下を行います。

• パソコンをネットワークから切り離す
• パスワードをすべて変更する

金銭的な被害や情報漏えいの可能性があれば、最寄りの警察(サイバー犯罪相談窓口) や IPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」 に相談してください。自己判断で解決しようとしないことが、被害拡大を防ぐ最大のポイントです。

Q5. 社員向けのセキュリティ研修では、何を一番伝えるべきですか?

「怪しいメールは開かない」という従来の教育に加えて、「AIを使えば、誰でも本物そっくりの偽装ができる時代になった」という認識を全員で共有することが必須です。そしてもうひとつ大切なのが、「念のため確認するのは失礼ではなく、むしろ推奨される行動です」という雰囲気を会社として作ること。社員が安心して「これ本物ですか?」と聞ける文化があるかどうかが、防御力を大きく左右します。

まとめ

AIの進化は私たちの生活を便利にする一方で、犯罪のレベルも一気に引き上げました。「うちの会社は大丈夫」「自分は騙されない」という油断こそが、最大のスキになります。バンブーハウスでは、Webサイトのセキュリティ診断や、最新の脅威に対応したサーバー構成のご提案を行っています。「今のセキュリティ対策で十分か不安」という方は、お気軽にご相談ください。