2500万ドルが、偽のビデオ通話1本で消えた

2024年1月、香港のある企業で事件が起きた。CFOからビデオ通話がかかってきた。画面には見慣れた顔、聞き慣れた声。隣には同僚の姿もある。「緊急の資金移動が必要だ」——指示に従った担当者が送金した金額は、2500万ドル（約37億円）。

すべて偽物だった。CFOの顔も声も、同僚の姿も、AIが生成したディープフェイクだった。

これは大企業の話だ。だが、中小企業にとって他人事だろうか。むしろ逆だ。大企業には多層の承認プロセスがある。セキュリティチームがいる。中小企業には、それがない。社長の一声で動く組織だからこそ、社長の顔と声が偽造されたとき、止める仕組みがない。

そして今、Googleがその偽造をさらに簡単にした。

Googleが「誰でもディープフェイクを作れる機能」を出した

GoogleはYouTube Shortsの新機能として、ユーザーが自分のデジタルアバターを簡単に作成し、動画に挿入できる機能を導入した。顔を撮影するだけで、AIがリアルなアバターを生成する。表情も動きも自然だ。

Googleの意図は、クリエイターの表現の幅を広げることだろう。だが、技術は意図通りには使われない。この機能が悪用されれば、特定の人物の顔と声を使った偽動画が、専門知識なしに作れるようになる。

問題の本質は「ディープフェイクが作れること」ではない。「ディープフェイクを見破れないこと」だ。

最新の研究によると、現在のディープフェイク検出技術の精度は約55.5%。これはコイントスとほぼ同じ確率だ。つまり、AIが作った偽の動画を、AIですら半分しか見破れない。人間の目で見破るのは、もっと難しい。

「合成信頼攻撃」——新しい詐欺の構造

この新しい詐欺手法は「合成信頼攻撃（Synthetic Trust Attacks）」と呼ばれている。従来のフィッシング詐欺との違いは明確だ。

従来のフィッシング：怪しいメールが来る → 文面がおかしい → 気づける
合成信頼攻撃：見慣れた顔がビデオ通話で話す → 声も表情も本物そっくり → 気づけない

攻撃のコストも劇的に下がっている。以前は高度なディープフェイクを作るのに専門的な技術と高額なGPUが必要だった。今は、公開されているツールとクラウドGPUで、数時間あれば十分なクオリティのものが作れる。コストは数千円程度だ。

中小企業の社長がSNSやYouTubeに顔を出していれば、それだけで学習データは揃う。会社のウェブサイトに社長の挨拶動画があれば、声のクローンも可能だ。攻撃者にとって、中小企業の社長は「素材が揃っていて、防御が薄い」格好のターゲットになる。

中小企業が今すぐ張るべき3つの防御線

技術で完全に防ぐことはできない。検出精度55.5%の世界では、技術だけに頼るのは危険だ。必要なのは、技術＋運用＋文化の3層防御だ。

防御線1：電子署名で「本物の指示」を証明する

発注書、契約書、送金指示——これらの重要書類には電子署名を導入する。クラウドサインやDocuSignなら月額数千円から使える。

ポイントは「ビデオ通話や電話での口頭指示では送金しない」というルールを明文化すること。どれだけリアルな映像で社長が「すぐ振り込め」と言っても、電子署名付きの正式な指示書がなければ動かない。このルールがあるだけで、合成信頼攻撃の大半は無効化できる。

コストは月額1万円以下。導入期間は1週間。これで37億円の被害を防げるなら、費用対効果は計り知れない。

防御線2：「合言葉」による人間認証

テクノロジーではなく、アナログな仕組みが意外と効く。社内で「合言葉」を決めておく。

具体的には、高額な送金や重要な意思決定の際に、事前に決めたフレーズを確認する。たとえば「今月のキーワードは？」と聞いて、正しい答えが返ってこなければ偽物と判断する。合言葉は月1回変更する。

これはローテクだが、ディープフェイクでは突破できない。AIは顔と声は複製できるが、その人しか知らない情報は複製できない。 コストはゼロ。今日から始められる。

防御線3：AIウォーターマーキングの活用

中長期的には、自社が発信するコンテンツにAIウォーターマーク（電子透かし）を埋め込むことも有効だ。最新の研究では「Gaussian Shannon」というフレームワークが、生成プロセスの初期段階で不可視の情報を埋め込む技術を実現している。

これにより、「この動画は本物か偽物か」を技術的に検証できるようになる。自社の公式動画や社長のメッセージにウォーターマークを入れておけば、偽造された動画との区別が可能になる。

まだ普及段階ではあるが、今後1〜2年で実用的なサービスが出てくる可能性が高い。今のうちにこの技術の動向を追っておくことをお勧めする。

「信用」のコストが変わる時代

ディープフェイク技術の進化は、「信用」のコスト構造を根本から変える。

これまで、中小企業の信用は「社長の顔が見える」「直接会って話せる」ことで成り立っていた。地方の企業であればなおさらだ。顔と声が信用の担保だった。

その顔と声が、数千円で偽造できる時代になった。つまり、「顔が見える」だけでは信用の担保にならない。信用を守るには、仕組みが必要になる。

電子署名の導入。合言葉の運用。ウォーターマークの活用。どれも大げさな投資ではない。月額1万円以下、導入期間1週間以内で始められるものばかりだ。

だが、これをやっている中小企業と、やっていない中小企業では、1回の攻撃で命運が分かれる。 37億円の被害は大企業だから耐えられた。中小企業なら、数百万円の被害でも致命傷になりうる。

「うちは小さいから狙われない」——この思い込みが、最大のセキュリティホールだ。小さいからこそ防御が薄い。防御が薄いからこそ狙われる。

今日できることから始めよう。まずは「口頭指示だけでは送金しない」というルールを1つ作ること。それだけで、あなたの会社の信用は格段に守られる。

—