新手の詐欺：高まるディープフェイクの脅威への対策

ジョン・ウィルソン（訳：鈴木英夫）[*]

ディープフェイク*)は登場以来、目新しいフィルターや拡散するいたずら動画といったものから、深刻なビジネスリスクへと急速に変化してきた。2024年だけでも、ディープフェイクを悪用した詐欺によって（企業などの）組織は2億ドル以上の損害を被っており、攻撃者はメールの偽造、音声の複製、ライブビデオ会議の模倣などによって不正送金を誘発し、管理体制を侵害し、ステークホルダーの信頼を失墜させている。

＊）訳者注：「ディープフェイク（Deepfake）」とは、AI（人工知能）の技術を使って、実在する人物の顔、声、あるいは動作を別の映像や音声に精巧に合成する技術のこと。「ディープラーニング（深層学習）」と「フェイク（偽物）」を組み合わせた造語で、近年その精度が劇的に向上したことで大きな注目と警戒を集めている。

　ディープフェイクのリスクは、攻撃の規模だけでなく、その巧妙さにも起因する。例えば、英国のエンジニアリング会社Arup社の社員は、CFOをはじめとする幹部との正当なビデオ会議を装った詐欺により、複数の香港銀行口座への総額約2,500万ドルの送金を承認している。しかし、実際に登場した「幹部」はディープフェイクだったのだ。香港で発生した別の事案では、ある社員が偽の幹部とのビデオ通話に騙されて「要求」に応じ、約2億香港ドル（約2,500万ドル：約37億円）相当の送金を15回行なった。

　「合成されたインサイダー」と呼ぶものは、サイバー脅威の最新カテゴリーである。これは、AIによって作成された人物で、従業員・パートナー、または幹部に非常によく似ており、見た目・音声・動作が「正確」であるため、従来の認証システムをすり抜けてしまう。

　前述のArup社の詐欺事件では、幹部と監査役のディープフェイクアバターを使ったビデオ会議というシナリオ全体に信憑性があったため、従業員は資金移動を承認してしまった。これはネットワークへの侵入ではなく、個人情報の漏洩が起因した。この事件をはじめとする最近の事例は、企業がファイアウォールやエンドポイント保護による境界防御のみに注力するのではなく、個人情報防御・行動検証・生体認証・クロスチャネル認証へと転換する必要があることを示している。法務部門やセキュリティ部門はもはや「内部者」が人間であると想定することはできないのだ。

ディープフェイクの隠れたコスト

　ディープフェイクによる付随的被害は、金銭的な問題だけにとどまらない、より深刻なものとなることがよくある。パートナーや顧客が、組織が合成コンテンツに騙されたことに気付くと、信頼関係は損なわれ、評判にも悪影響が及ぶ。偽の指示によって遅延・混乱・ワークフローの分断が生じ、業務に支障をきたすケースも少なくない。さらに、偽造されたコミュニケーションに基づいて行動することで、規制当局の監視対象となり、監査の不備・訴訟・高額な罰金につながることもある。社内においても、リーダーの声やメッセージの信憑性が失われると、従業員の士気は低下し、不安が高まり、企業文化が弱体化する。リスク管理責任者は、ディープフェイクを単なるITの問題としてではなく、財務・人事・法務・オペレーションとガバナンスにまたがる、企業全体のシステムリスクとして捉える必要がある。

合成メディア防御の構築

　合成メディアの侵入を検知するには、新たなプレイブックが必要である。これには以下の内容が含まれる。

＃検知テクノロジー：これらの製品は、音声・口の動き・照明・言語スタイル・メタデータの異常、そして送信者の行動における不一致を検知できる。

＃マルチチャネル検証：「CFO」が緊急のビデオ通話指示を送信した場合、電話・安全なチャット・対面会議などのセカンダリチャネルで検証すること。

＃リアルタイム対応プロトコル：電信送金やユーザー認証情報などの高価値リクエストは、検証手順・保留期間、その他の監視手段を発動する必要がある。

＃異常ベースのログ記録：IT部門やセキュリティ部門と連携し、使用デバイス・タイムゾーン・発言者やメッセージのトーンといった行動のベースラインを構築し、逸脱があればフラグを立てて調査する。

＃外部脅威の監視：漏洩した幹部の音声や動画はディープフェイクの訓練の材料となるため、ダークウェブや脅威インテリジェンスフィードを適宜監視する。

＃幹部のディープフェイクパスワード：幹部がライブビデオ通話や緊急の音声指示で使用する、事前に合意した語句・ジェスチャー・セキュリティトークンなど、口頭または視覚的な「ディープフェイクパスワード」システムを構築する。このシンプルな認証レイヤーにより、従業員は正当な通信と人工的ななりすまし*)をリアルタイムで区別できる。

　これらの対策の目的は、完璧さを達成することではなく、潜在的な検知と回復力を迅速化することである。人工的な手がかりを早く察知できれば、被害を迅速に封じ込めることができるのだ。

＊）訳者注：「人工的ななりすまし（synthetic impersonations）」とは、実在する人物のデータとAIによって生成された架空のデータを組み合わせ、あるいは完全にAIで作り出した「偽のアイデンティティ」を用いて、人間やシステムを欺く攻撃手法のこと。

トレーニング、ポリシー、保険

　検出ツールは不可欠だが、人的側面も同様に重要である。ディープフェイクリスクは、企業全体の部門横断的な優先事項として理解する必要がある。従業員への教育に加え、組織全体、そして組織と連携するすべての第三者を含む専門家がリスクを理解し、脅威の軽減における自らの役割を理解する必要があるのだ。以下の点に対処することで、ディープフェイクリスクを軽減できる：

• 従業員の意識向上：ディープフェイクの例を示し、指示が緊急的・感情的、または根拠のない内容である場合は特に、従業員に一時停止して確認するよう指導すること。
• 机上演習：ワークフローと対応のギャップを明らかにするために、偽のZoom通話、クローン音声、なりすましパートナーなどのディープフェイク攻撃をシミュレーションする。
• 保険適用範囲：保険契約の条項を確認し、合成詐欺・なりすまし・評判の失墜が明確に含まれているか確認すること。
• ベンダーおよびサードパーティのリスク：ベンダーのディープフェイクへの露出は、自社のリスクにつながる可能性があるため、ベンダーやサプライヤーにどのような合成メディア対策を講じているか確認することが不可欠だ。
• ガバナンスの統合：IT・法務・人事・事業・コンプライアンスの各部門の活動を統合された「合成メディアガバナンスフレームワーク」の下に統合する。

合成メディアリスク管理の価値

　皮肉なことに、ディープフェイクの脅威の高まりは、ガバナンスを加速させる要因となる可能性がある。なぜなら、組織は合成欺瞞*)から適切に防御するために、重要な意思決定プロトコルを見直す必要があるからだ。例えば、主要な取引を承認する前に二重認証を要求するには、生体認証・行動・コンテキストシグナルを組み合わせた階層化認証を通じて、信頼チェーンを強化する必要がある。同時に、企業はフォレンジック分析ツールや独立監査などの検証インフラにも投資する必要があるのだ。また、合成メディアリスクに対する明確な説明責任を、多くの場合、専任のタスクフォースや上級管理職を通じて割り当てることも重要である。IT・法務・ビジネスの各部門を横断したこのような連携は、リスクを軽減するだけでなく、企業のレジリエンス（回復力）に役立つ。

＊）訳者注：「合成欺瞞（Synthetic Deception）」という言葉は、ITセキュリティにおいて主に2つの文脈で使われる。一言で言えば、「AIなどで生成された『本物そっくりの偽データ』を使って相手をだますこと」を指す。また、防御側のIT担当者が攻撃者を罠にかけるために「合成された偽の情報」をあえて配置することを指す場合もある。これを「ディセプション（欺瞞）技術」と呼ぶ。

 ディープフェイクは詐欺の本質に大きな変化をもたらすと同時に、戦術的な機会ももたらす。欺瞞を促進する技術の進歩は、AIを活用した異常検知・メディア認証・シミュレーション駆動型トレーニング、そして適切なツール・プロトコル・組織文化を組み合わせた戦略の一環として、監視による行動分析といった防御も可能にしている。ディープフェイクは詐欺の新たな側面であると同時に、リスク管理・サイバーセキュリティ・ガバナンス、そして検証をより明確かつスマートに捉えるための触媒にもなり得る。

トピック
サイバー。新たなリスク、詐欺、リスク管理、セキュリティ、テクノロジー

注意事項：この記事は “The New Face of Fraud: Defending Against the Rising Threat of Deepfakes,” John Wilson | December 29, 2025, RIMS Risk Management Site: (https://www.rmmagazine.com/articles/article/2025/12/29/the-new-face-of-fraud–defending-against-the-rising-threat-of-deepfakes)をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。

ジョン・ウィルソンは、HaystackIDの最高情報セキュリティ責任者兼フォレンジック担当社長。
鈴木英夫はRIMS日本支部主席研究員。

。

トピック：
新興リスク、保険、リスク管理

注意事項：この記事は、” Reverse Discrimination Claims on the Rise,” Chris Zanchelli , Jim Baffa | July 29, 2025, Risk Management Site,(https://www.rmmagazine.com/articles/article/2025/07/29/reverse-discrimination-claims-on-the-rise)をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。

クリス・ザンチェッリは、バークレー・セレクト社の個人および非営利団体向けD&O、EPL、および受託者向け商品群の責任者。
ジム・バッファは、バークレー・セレクト社の保険金請求担当アシスタントバイスプレジデント。
鈴木英夫はRIMS日本支部主席研究員。