【重要】会員機能一時停止とサイトメンテナンスのお知らせ

CEOs

2026.07.08 17:55

AIディープフェイクによる経営幹部なりすまし、CEOが今知るべきこと

stock.adobe.com

stock.adobe.com

2026年1月、スイス・シュヴィーツ州の起業家が、信頼するビジネスパートナーにAIで複製された声でなりすました人物からの一連の電話により、数百万スイスフランをだまし取られた。2024年初頭には、エンジニアリング企業アラップ(Arup)の財務担当社員が、同社のCFO(最高財務責任者)や複数の上級幹部が参加するビデオ会議に出席した。その会議の終了までに、アラップは約2500万ドル(約40億5000万円)の送金を承認してしまった。画面に映っていた幹部たちは全員、ディープフェイクだったのだ。

2つの事例。2つの国。そして1つのパターン。それは「音声や映像は本人確認の証拠として信頼できる」という根底にある前提が、もはや安全ではないということだ。

産業化した脅威

私はこれまでの長いキャリアの中で、多国籍にわたる専門的な捜査や情報収集を伴う、莫大な損失をもたらしたグローバルなディープフェイク事件に携わってきた。私が目にしてきた実態は、明らかになりつつあるデータと一致している。

ピンドロップ(Pindrop)の調査によると、音声複製による詐欺はわずか1年間で680%増加した。デロイトの金融サービスセンターは、米国におけるAIを悪用した詐欺による損失額が、2027年までに年間400億ドル(約6兆4800億円)に達する可能性があると予測している。FBIのインターネット犯罪苦情センター(IC3)の2025年版報告書では、約8億9300万ドル(約1450億円)のAI関連詐欺が記録されている。

インターポール(国際刑事警察機構)は、現代のサイバー犯罪における重大な変化としてAIに警鐘を鳴らしている国連薬物犯罪事務所(UNODC)も、現場の捜査員がすでに目にしていることを裏づけている。東南アジア各地にある産業規模の詐欺拠点では、生成AI、ディープフェイク、音声複製が武器化されており、同地域だけで米国の損失は2024年に100億ドル(約1兆6200億円)に達した。

これはもはや手作業による詐欺ではない。AIのサプライチェーンを備えた組織犯罪なのだ。

すべての経営幹部が検証すべき実例

• WPP(2024年5月):CEOのマーク・リードになりすましたディープフェイク動画による会議で、別の経営幹部に企業の資金を送金させようとした。この攻撃は、幹部が抱いた不信感のみによって阻止された。

• フェラーリ(2024年7月):CEOのベネデット・ヴィーニャの南イタリア訛りまで再現したWhatsAppのディープフェイク音声が、危うく成功しかけた。標的となった幹部が、本物のヴィーニャしか知り得ない個人的な本人確認の質問を1つ投げかけたところ、発信者は電話を切った。

• ラストパス(LastPass、2024年4月):従業員が、WhatsAppを通じてCEOのカリーム・トゥーバになりすましたディープフェイク音声による電話、テキストメッセージ、および少なくとも1件のボイスメールを受信した。

• シンガポール(2025年3月):参加者全員がAIによって生成されたZoomミーティングの後、財務ディレクターが約49万9000ドル(約8080万円)の送金を承認した。

一連のパターンは一貫している。標的となった人々は、だまされやすい無知な人間ではない。時間に追われ、組織の上下関係に従う状況下で業務を行う経験豊富なプロフェッショナルたちであり、詐欺師たちはそこをAIの精度で突いてくるのだ。

断片化された規制の現状

多国籍企業の取締役会にとって、国際的な規制状況における現実的な課題は、管轄区域ごとに重なり合う、多層的なコンプライアンスへの対応だ。例えば、EUのAI法は第50条において拘束力のある透明性の義務を導入しており、AIディープフェイクを利用する者はそれが合成されたコンテンツであることを開示しなければならない。重大な違反行為に対する制裁金は、世界全体における売上高の最大7%に達する。また、AI生成コンテンツに関する行動規範は2026年に策定完了となる見通しで、同意のない性的なディープフェイク生成ツールのEUによる新たな禁止令も予定されている。

一方、米国では、2025年5月に署名された連邦法の「TAKE IT DOWN Act」(非同意インティメイト画像公開禁止法)により、同意のない性的なAI生成画像の公開が犯罪化され、プラットフォームは通報されたコンテンツを48時間以内に削除することが義務づけられた。2026年時点で、全米47州が何らかの形でディープフェイクに関する法案を制定している。しかし、スイスのようにディープフェイクに特化した具体的な法律が存在しない国もあり、そうした国々は既存のプライバシー法、今後導入予定のAI規制、および自組織を保護するための企業の自主的な責任に依存している。

規制の国際的な調和を待つことは戦略とは言えない。犯罪者は待ってはくれない。彼らは企業だけでなく、個人や著名人にも被害を及ぼしかねないディープフェイクのサービスをネット上で提供しているのだ。

リテラシーの格差を埋める

2025年5月、マイクロソフト、Airbnb、ウーバーなどのトップを含む250人以上のCEO(閲覧には有料購読が必要)が米国の議員らに書簡を送り、学校でのコンピュータサイエンスとAI教育の義務化を求めた。彼らは、中国のような国々ではすでに6歳児に対してAIを責任を持って使用する方法を教えていると警告した。

これと同じ論理が経営陣(C-suite)にも当てはまると私は考える。小学校が子供たちの未来のためにAIリテラシーを教えるべきであるならば、取締役会は現在の組織を守るために、今すぐ企業内でAI詐欺リテラシーを要求すべきだ。

防御のためのプレイブック

スイス・ルツェルン州司法警察局の公式なディープフェイク対策ガイドラインでは、あらゆる組織が採用すべき4つの実用的な防衛策を推奨している。

• 細部(照明、光の反射、リップシンクなど)を綿密に調べる。

• ビデオ通話の最中に、相手に首を横に振るよう求めたり、プライベートな質問に答えさせたりするなどの「確認アクション」を導入する。

• 緊急の指示に対しては、独立した第2の手段で確認する。

• 行動を起こす前に、第三者による事実確認を行う。

これらに加えて、私は自分自身の仕事において最も高い効果を上げている以下の対策を付け加えたい。

• あらかじめ定めた上限額を超える電信送金については、音声や映像による指示のみで承認してはならない。

• 役員や財務スタッフの間で事前に合意した「合言葉となる質問(チャレンジ質問)」を使用する。フェラーリの事例が示すように、これにより極めて高度な攻撃さえも阻止できる。

• 役員の「デジタルフットプリント(ネット上の行動履歴)」を監査し、攻撃者がすでに手に入れている可能性のある(AIの)学習データを把握する。

• 財務チームやエンタープライズアーキテクチャ(EA)チームに対し、単なる一般的なフィッシング対策だけでなく、組織の権威や規則を悪用した誘導工作に対抗するためのトレーニングを行う。ディープフェイクのシナリオを取り入れてインシデント対応のプレイブックを更新し、ディープフェイク検出技術の導入を検討する。

• 適格な専門の調査員を早期に関与させる。詐取された資金を追跡し、回収できる猶予は、わずか数時間で失われる可能性がある。

おわりに

最も困難な防御は心理的なものだ。私たちは、信頼の基準を「目で見、耳で聞いたこと」から「確認したこと」へと移行しなければならない。規制は今後も、透明性の確保、州法や連邦法のモザイク的な組み合わせ、一般法や監督上の期待事項といったさまざまな手段を通じて進化し続けるだろう。

しかし、そのどれもが、組織が今日行うべき対策の代わりにはならない。経営幹部になりすますディープフェイクは、現実のものであり、測定可能な、取締役会レベルで対処すべきリスクである。この危機を乗り越えられる企業は、電信送金が完了する前に、それを真の脅威として対策を講じた企業だけだと私は確信している。

forbes.com 原文

タグ:

advertisement

ForbesBrandVoice

人気記事