攻撃は無料、防御は有料。この構造を直視しろ

結論から言う。AIが詐欺を劇的に増やし、AIが詐欺を劇的に検出している。2025年、英保険大手アビバは18,400件、総額233百万ポンド（約230億円）の偽請求をAIで検出したと発表した。

この数字の裏側にある構造が問題だ。攻撃者がAIで偽の事故写真や書類を生成するコストは、実質ゼロ。無料の画像生成AIと文章生成AIがあれば十分だ。一方、それを見破る側——つまり企業が防御AIを導入するにはコストがかかる。大企業なら年間数千万円、中小企業でも月数万〜数十万円。

攻撃コスト：ほぼ0円。防御コスト：月数万円〜。

この非対称が、詐欺の爆発的な増加を構造的に引き起こしている。そして最もダメージを受けるのは、防御に回すリソースが限られた中小企業だ。

—

何が起きているのか——AI詐欺の現場

アビバの報告を具体的に見る。詐欺師たちがやっていることは、大きく3つに分類できる。

1. 偽の事故現場写真の生成
画像生成AIを使い、実在しない事故現場の写真を作る。以前は雑なPhotoshop加工が主流だったが、今は生成AIが「本物にしか見えない」画像を数秒で出力する。保険の査定担当者が目視で見抜くのは、もはや困難なレベルだ。

2. 被害額の誇張
実際に起きた軽微な事故を、AIで加工した写真や書類で「大事故」に仕立て上げる。修理費20万円の案件を200万円に膨らませる。書類の整合性もAIがチェックして矛盾を潰すので、人間の目では見破りにくい。

3. 完全な架空請求
事故そのものが存在しない。AIが生成した写真、AIが書いた事故報告書、AIが作った見積書。すべてがフェイクで、すべてが「それらしい」。

ビザ（Visa）の2024年サイバー脅威レポートでも、AIを使った詐欺の急増が報告されている。特にディープフェイク技術を使った本人確認の突破や、AIが生成した精巧なフィッシングメールが企業を標的にするケースが増加している。

これは保険業界だけの話ではない。請求書詐欺、取引先なりすまし、偽の発注メール——あらゆる「書類と信用」で成り立つビジネスが攻撃対象になっている。

—

なぜ中小企業が最も危ないのか

ここで考えてほしい。大企業はどうしているか。

アビバのような大手保険会社は、AI検出システムに巨額の投資をしている。230億円分の偽請求を「検出できた」ということは、それだけの防御システムが機能しているということだ。年間数億円規模のセキュリティ投資ができる企業は、攻撃AIに対してAIで対抗できる。

では、従業員10人、50人の中小企業はどうか。

月額5万円のセキュリティツールすら「高い」と感じる企業が多い。専任のIT担当者がいない会社も珍しくない。取引先からのメールが本物かどうか、請求書の写真が本物かどうか、判断するのは現場の担当者の「勘」だ。

攻撃者はその「勘」の限界を知っている。

AIが生成した精巧な偽メールは、従来の「日本語がおかしい」「差出人が怪しい」といった見破り方が通用しない。文面は自然で、差出人のドメインも巧妙に偽装されている。

つまり、こういう構造だ。

• 大企業：AIで攻撃され、AIで防御する。コストは吸収できる。
• 中小企業：AIで攻撃され、人間の勘で防御する。コストは出せない。

この差が、今後さらに広がる。

—

中小企業が「今日から」やるべき4つのこと

抽象的な「セキュリティ意識を高めましょう」では意味がない。具体的に、コスト感も含めて書く。

1. 無料〜月額数千円のAIセキュリティツールをまず入れる

「防御AIは高い」というのは、もう古い認識だ。2025年現在、メールフィルタリングや異常検知の基本的なAIツールは、月額数千円から使えるものが出てきている。Google Workspaceの標準機能にもAIベースのフィッシング検出が含まれている。Microsoft 365のDefenderも同様だ。

まず今使っているツールのセキュリティ機能を「オンにする」だけでも違う。 設定を見直したことがないなら、今日やるべきだ。コスト：0円。

2. 「振込先変更メール」は電話で確認するルールを作る

中小企業が最も被害に遭いやすいのが、取引先を装った「振込先変更」の詐欺メールだ。AIが生成した完璧な文面で「口座が変わりました」と連絡が来る。

対策はシンプル。振込先の変更依頼が来たら、必ず電話で本人に確認する。 メールへの返信ではなく、自分が知っている番号に電話する。これだけで、この手の詐欺はほぼ防げる。コスト：0円。時間：3分。

3. 請求書・見積書の「画像」を信用しない仕組みを作る

AIが偽の書類画像を生成できる時代に、「写真が添付されているから本物」という判断基準は崩壊した。

具体的には、一定金額以上（例えば10万円以上）の請求には、画像だけでなく原本の郵送や、既知のシステム経由での送付を求めるルールを設ける。面倒に感じるかもしれないが、1件の詐欺被害で数百万円が飛ぶことを考えれば、安い保険だ。

4. 四半期に1回、15分の「詐欺事例共有」をやる

大げさな研修は不要だ。四半期に1回、朝礼やミーティングの15分を使って「最近こういう詐欺が流行っている」という事例を共有するだけでいい。

IPA（情報処理推進機構）が公開している「情報セキュリティ10大脅威」や、警察庁のサイバー犯罪対策のページから事例を拾えば、準備に30分もかからない。

知っているだけで防げる詐欺は多い。 知らないから引っかかる。コスト：0円。

—

本当の問題は「コストの非対称」が今後さらに広がること

攻撃側のコストは下がり続ける。画像生成AIは無料で使えるものが増え、性能は上がり続けている。音声のディープフェイクも、数秒のサンプル音声があれば生成できる時代だ。社長の声を模倣した電話で「至急振り込んでくれ」と指示する——こんな攻撃が、技術的にはもう可能になっている。

一方、防御側のコストも下がってはいる。だが、攻撃側ほどのスピードではない。なぜなら、防御は「精度」が求められるからだ。攻撃は100回やって1回成功すればいい。防御は100回中100回止めなければならない。この非対称は、技術が進歩しても解消されない。

だからこそ、「技術だけで守る」という発想を捨てる必要がある。

中小企業の強みは、組織が小さいことだ。全員の顔が見える。声が聞こえる。「この請求、なんかおかしくない？」と隣の席の人に聞ける。大企業では部署間の壁があって、そういう「ちょっとした違和感の共有」ができない。

小さいからこそ、人間の判断と確認が速い。 これは中小企業の構造的な優位性だ。AIの防御ツールを入れつつ、最後の砦は「人間の確認」に置く。このハイブリッドが、中小企業にとって最もコスパの良い防御策になる。

—

まとめ：守りのコストをゼロにはできない。でも、最小化はできる

整理する。

• AI詐欺の攻撃コストは実質ゼロまで下がった
• 大企業はAIでAIに対抗できるが、中小企業にはそのリソースがない
• しかし、0円でできる対策が複数ある
• 「振込先変更は電話確認」「画像だけで信用しない」「事例を共有する」
• 中小企業の「小ささ」は、防御においてはむしろ武器になる

230億円という数字は、大企業の話だと思うかもしれない。だが、攻撃者にとって企業の規模は関係ない。むしろ防御が薄い中小企業のほうが「おいしいターゲット」だ。

「うちは小さいから狙われない」——この思い込みが、最大のセキュリティホールだ。

今日、まず1つだけやってほしい。自社のメールセキュリティの設定を確認する。振込先変更時の確認ルールを決める。それだけで、明日の被害を1件防げるかもしれない。

—