中小企業が直面するセキュリティリスクの新たな局面として、生成AIとディープフェイク技術が浮上している。2025年春、米国務長官になりすましたAI音声が各国閣僚への通話を試みたというAP Newsの報道は衝撃だった。この事例が示すのは、ディープフェイクが政府機関や大企業だけでなく、決裁フローが緩い中小企業(SMB)にまで矛先を向け始めたという現実だ。
本稿では「AIフィッシングの進化」「中小企業が狙われやすい理由」「低コストで実践可能な現実的対策」の3つの軸から、今なにをすべきかを解説する。
AIによるフィッシング攻撃の進化と実態
ディープフェイク技術がもたらすフィッシングを解説し、攻撃者の手法の変化と実例からどのような脅威があるのか明らかにする。
生成AIの悪用がもたらす「音声型フィッシング」の現実
生成AIによる音声ディープフェイクは、従来のフィッシングとは異なる“聞く”という信頼回路を狙う攻撃だ。2025年春に報道された事件では、AIが模倣した米国務長官の声で各国要人への通話が試みられた。このような高度な攻撃が一部の対象に限定されるわけではない。近年では企業の役員や上司を偽る音声が使われ、部下に不正送金を指示する“ビジネスメール詐欺(BEC)”の音声版が急増している。
国内でも総理大臣のディープフェイク動画が拡散されたことがある。著名人のSNSによる投資勧誘など、いつも見ているものが“嘘動画”である可能性も否定できない。本人確認、公式な発信なのかは別のサイトなどからも情報を得て動画を含む情報の真偽を確かめることが重要である。
テキストから音声、映像へ:フィッシングの複層化
従来のメールやSMSによるフィッシングに加え、音声、Zoomなどのビデオ通話、さらにはAI生成された顔と声で架空の役員が会議に出席する例まで報告されている。
これらの攻撃は、従業員の心理的防御を打ち崩すものであり、技術対策だけで防ぐことは困難になっているという実情もある…まだまだ身近なものとして感じないかもしれないが、そのようなリスクがあることは認識しておくべきだろう。
日本国内でも進行中の“偽上司”被害
中小企業の従業員が「社長の声」に従って即日送金してしまった事例や、海外支店からの“指示”として偽装されたビデオ通話詐欺も確認されている。
これらは内部の決裁フローが形式的または口頭で完結している組織を狙っており、日本企業も決して例外ではない。標的型攻撃メールは、外部の人間になりすまし、送金先の変更を促す偽メールを送るというものがあった。
だが、今は社内の業務連絡として偽メールが送信されてくるという脅威があるのだ。何かいつもと違うなぁ…など、ちょっとした違和感を覚えた時は必ず本人確認をすることを徹底したい。
中小企業が狙われる構造的な理由
なぜ中小企業がAIフィッシングにとって“おいしい標的”になるのか。構造的な要因からリスク分析をする。
決裁フローが口頭で完結する組織文化
中小企業では「社長からの電話一本で支払いが決まる」「部長の一言で外注契約が成立する」といった非公式な運用がいまだ根強い。
スピード感のある意思決定は競争力の強化になるという捉え方がある一方で、こうした組織文化は、偽装指示に極めて弱い構造だと言える。ディープフェイクは「本物と信じ込ませる」ことを狙う以上、こうした非形式な意思決定プロセスは格好の標的となる。
面倒なことであっても、一手間増えるたとしても、確実・着実…それが結果として安心と信頼を確保するためのゼロコスト対策であることを改めて認識し、決裁フローの検証をしていただきたい。
IT人材不足による防御力の脆弱さ
中小企業には専門的なセキュリティ知識を有する人材を雇用する余裕のない中小企業は、技術的対策が遅れることが多い。
さらに、ベンダー任せの“形だけ”の対策では、ディープフェイクのような新たな脅威への対応は困難な側面がある。技術的な要件だけで対応するものではなく、社内の業務フロー・決裁フローなど…内部のことをよく理解していないと、実効性の高い対策を施すことは難しいだろう。
ITベンダーが業務や内部のオペレーションにどれだけ精通しているかにもよるが、ツールありきの対策は現実を踏まえた対策という面においては合理的な選択肢とはならない可能性が大だ。
被害に気づきにくい“内部からの攻撃”構図
ディープフェイクによる攻撃は、従業員自身が“加害者”になってしまうという厄介さがある。上司を装った音声や映像によって命令を受けた従業員が、疑うことなく指示に従ってしまう。結果として、企業内部の人間による不正送金や情報漏洩と見なされ、被害の証明が困難となるケースもある。
踏み台にされた企業が、被害者から加害者になる…それと同じような構図だ。監視カメラで業務中の社員の姿を録画する…さすがにここまでやると社員の心理的抵抗もあるだろうが、PCでどのような操作をして、どのような…誰からのメールに対して、処理をしたものかを記録することはできる。SKYSEAなどのクライアント管理ツールの導入は、情報漏洩対策のみならず、社員を守るための管理ツールという側面もある。検討していただきたい。
低コストでも実現可能な現実的対策とは?
高価なAI検知ツールに頼らなくても、意識と仕組みの変更で被害リスクを下げることは可能だ。ここでは中小企業向けの3つの現実的対策を紹介する。
決裁プロセスに“形式的ルール”を導入せよ
まず着手すべきは、前述した通り口頭指示だけで完結する業務ルールを見直すことだ。最低限でも「支払いは書面またはログの残る媒体で二重確認」「金額に応じて2名以上の承認を必須とする」など、ディープフェイクが侵入しにくい仕組みを導入すべきである。
また、自社独自のなんらかの手順を導入し、社外秘として徹底することで、外部からの偽指示をすぐに見破れるという制度設計も有効な対策となるだろう。
“上司の声”や“社長指示”に関する教育を徹底する
IPAが推奨するように、リスク認知の向上は最も効果の高い対策である。年2回以上の簡易研修で「声だけで指示が来た場合は必ず別ルートで再確認」「急ぎの依頼ほど疑う」といった判断基準を全社員に教育することが不可欠である。
TVなどのメディアで報道されるディープフェイク動画のニュースはセンセーショナルなものであり、どこか一部が誇張されたようなものに受け取れる。何が本質的なリスクなのかを理解させるようなものではない。自分の実務上に具体的にどのようなリスクがあるのか…明日は我が身を認識できるような研修カリキュラムを構成してもらうなど、外部の専門家の協力も得ながら教育をすることも必要な対策だ。
IT顧問・セカンドオピニオンの活用で実行力を担保
中小企業こそIT顧問やセカンドオピニオンを取り入れた外部アドバイス体制の整備が重要だ。セキュリティ対策の情報やニュースは、ITベンダーの製品やサービスの導入を促すような動線上に誘導する構成になっているものが多々、見られる。何が重要で、どう認識するべきか…客観的かつ自社にとって何が必要な情報なのかを専門家に助言してもらうことで、偽情報に振り回されず、無駄な時間とコストの削減になるだろう。
IT顧問やアドバイザーのサービス費用は月額数万円程度に抑えられるケースが多く、社内に専門家が不在でも戦略的にセキュリティを確保できる手段として有効であろう。
まとめ:脅威の時代に必要なのは“ツール”より“運用設計”
生成AIがもたらすフィッシングの進化により、中小企業にも高度で精密な対策が求められる時代となってきている。しかし、IT予算も人材も限られる中小企業にとって、「高価なツール導入」は現実的な選択肢ではない。むしろ重要なのは、シンプルだが確実な運用設計と、外部専門家の支援体制を確保することだ。
“声で命令する”という人間の本能的信頼回路を突くAIフィッシングには、仕組みと教育による対抗策が効果的だ。攻撃の進化は止められないが、被害に遭わないための工夫は今すぐにでも始められる。
最後までお付き合いいただきありがとうございます。
また、お会いしましょ。
