偽社長詐欺(BEC)の進化と深層:2025-2026年版 脅威ランドスケープ、AI技術の悪用、および包括的防御戦略に関する徹底調査報告書
- 第1章 序論:ビジネスメール詐欺のパラダイムシフト
- 第2章 2024-2025年 脅威ランドスケープと統計的分析
- 第3章 テクノロジーの悪用:AIとディープフェイクによる攻撃手法の革新
- 第4章 攻撃の解剖学:偵察から現金化までのプロセス
- 第5章 国内主要事例にみる失敗のメカニズム
- 第6章 包括的な防御戦略:技術・プロセス・人の三位一体
- 第7章 法的側面と被害回復(日本国内の視点)
- 第8章 結論と2026年に向けた展望
第1章 序論:ビジネスメール詐欺のパラダイムシフト
かつて「オレオレ詐欺」の法人版、あるいは「ナイジェリアの手紙」の延長として捉えられていた「偽社長詐欺(CEO詐欺)」は、2020年代半ばにおいて、極めて洗練されたサイバー諜報活動と金融犯罪の融合体へと変貌を遂げた。一般にビジネスメール詐欺(Business Email Compromise:BEC)と総称されるこの攻撃手法は、技術的な脆弱性を突くハッキングと、人間の心理的な隙を突くソーシャルエンジニアリングが高度に組み合わされており、その被害規模はランサムウェアを凌駕する事例も散見される。
特に2024年から2025年にかけて観測された最大の変化は、生成AI(Generative AI)とディープフェイク技術の実戦投入である。これにより、従来の「テキストベースの欺瞞」は、音声や映像を含む「マルチモーダルな欺瞞」へと進化し、人間の認知能力の限界を試すような攻撃が常態化している。
本報告書は、2025年時点における偽社長詐欺およびBECの現状、攻撃者が用いる最新の技術的手法、そして企業が講じるべき多層的な防御策について、統計データと具体的な事例に基づき包括的に分析するものである。特に、日本国内の特異な商習慣や法的枠組みを考慮しつつ、グローバルな脅威インテリジェンスを統合し、経営層およびセキュリティ実務者が直面するリスクの全貌を明らかにする。
第2章 2024-2025年 脅威ランドスケープと統計的分析
2.1 世界規模での被害拡大と経済的インパクト
BECによる経済的損失は、世界的に見て拡大の一途をたどっている。FBI(米国連邦捜査局)のIC3(インターネット犯罪苦情センター)が公開したデータによれば、BECはサイバー犯罪の中で最も金銭的被害が大きいカテゴリーの一つとして位置づけられ続けている。2023年末までの累計データにおいて、世界のBEC関連被害額は550億ドル(約8兆円)を超過しており、2022年から2023年にかけて確認された損失額だけでも9%の増加を記録した。この傾向は2025年に入っても加速しており、第1四半期だけで攻撃件数が13%増加するなど、攻撃者の活動は活発化している。
特筆すべきは、攻撃のターゲットが無差別に広がっている点である。従来は大企業が主な標的であったが、現在では従業員数1,000人未満の組織であっても、週間で70%の確率で少なくとも1回のBEC攻撃を受けているという衝撃的なデータが存在する。これは、攻撃者がAIを用いて攻撃プロセスを自動化・スケール化し、中小企業を「薄利多売」のターゲット、あるいはサプライチェーン攻撃の踏み台として認識していることを示唆している。
2.2 日本国内における被害実態と傾向
日本国内においても、BECの脅威は深刻度を増している。2024年の総被害件数は119万3,000件、推定被害総額は約4,800億円に達し、前年比で件数は44%、金額は56%という爆発的な増加を記録した。
| 指標 | 2024年実績 | 増減率(前年比) |
|---|---|---|
| 総被害件数 | 119万3,000件 | +44% |
| 推定被害総額 | 約4,800億円 | +56% |
| 1件あたり平均被害額 | 40万円 | +10% |
上記表の平均被害額「40万円」は、小規模なフィッシング詐欺を含んだ全体平均であり、法人を標的とした「偽社長詐欺」や「請求書偽装」に限れば、被害額は数千万円から数億円に跳ね上がるのが実情である。特に中小企業における被害実態は深刻であり、従業員50名以下の企業の被害率は推定30%に達し、被害発生後1年以内の廃業率が約15%に及ぶという推計は、BECが単なる「経費」ではなく、企業の存続を左右する「経営リスク」であることを如実に物語っている。
IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」において、BECは組織向け脅威の第9位にランクインしている。順位自体は中位に見えるかもしれないが、これはランサムウェアやサプライチェーン攻撃といった「システム侵害」を伴う派手な攻撃が上位を占めるためであり、金銭的損失の直接性と回収の困難さにおいては、BECは依然として最上位クラスの脅威であることに変わりはない。また、BECの手口はランサムウェア攻撃の前段階(初期侵入)として利用されるケースや、サプライチェーン攻撃の一環として行われるケース(第2位)とも密接に関連しており、単独の脅威としてではなく、複合的なサイバー攻撃エコシステムの一部として捉える必要がある。
2.3 攻撃対象部門の多様化
かつて「CEO詐欺」と呼ばれた時代、攻撃の標的はCFO(最高財務責任者)や経理部長など、高額な決済権限を持つ役職者に集中していた。しかし、現在のBECは「VEC(Vendor Email Compromise:取引先メール侵害)」へと進化し、ターゲット層は拡大している。
- 人事部門(HR): 給与振込口座の変更依頼を偽装し、従業員の給与を詐取する手口。
- 法務部門: M&Aなどの機密情報を狙い、金銭ではなく情報の窃取を目的とする産業スパイ的な攻撃。
- 一般従業員: ギフトカード(Amazonギフト券やiTunesカードなど)の購入を指示する手口。特に新入社員や、組織の承認フローに不慣れな層が狙われやすい。2024年第1四半期において、BECインシデントの37.9%がギフトカードスキームであったという報告もある。
第3章 テクノロジーの悪用:AIとディープフェイクによる攻撃手法の革新
2024年から2025年にかけてのBECにおける最大のトピックは、生成AIとディープフェイク技術の悪用である。これにより、攻撃者は従来の「言語の壁」や「視覚的確認」という防御壁を突破する能力を獲得した。
3.1 生成AIによる言語障壁の撤廃と高度なフィッシング
これまで、日本企業に対するBEC攻撃の多くは、機械翻訳特有の不自然な日本語(いわゆる「怪しい日本語」)によって見破られてきた。しかし、ChatGPTやClaude等のLLM(大規模言語モデル)、さらにはダークウェブ上で流通するサイバー犯罪専用のAIツール「FraudGPT」「DarkLLM」の登場により、状況は一変した。
攻撃者はこれらのAIツールを用いることで、ネイティブスピーカーと遜色のない、自然で礼儀正しいビジネス日本語を瞬時に生成できる。敬語の使い分け、時候の挨拶、業界特有の専門用語までが正確に使用されるため、文面だけで詐欺を判別することは極めて困難になっている。2024年中頃までに、BECフィッシングメールの推定40%がAIによって生成されたものであるという分析もあり、AIの利用はもはや実験段階ではなく、標準的な攻撃ツールセットの一部となっている。
さらに、AIは攻撃の「パーソナライゼーション(個別化)」を自動化することを可能にした。攻撃者はSNS(LinkedInやFacebook等)からターゲットの情報を収集し、それをAIに入力することで、ターゲットの趣味、家族構成、最近の業務内容、上司との関係性などを織り交ぜた、極めて精巧なスピアフィッシングメールを作成する。これにより、受信者がメールを開封し、内容を信じる確率(コンバージョン率)は劇的に向上している。
3.2 ディープフェイク音声(Vishing)とリアルタイムビデオ詐欺
AI技術の進化はテキストにとどまらず、音声や映像の領域にも及んでいる。特に、わずか数秒から数十秒の音声サンプルがあれば、特定の人物の声を高い精度で複製(クローニング)できるAIツールの普及は、電話を用いた詐欺(Vishing: Voice Phishing)の成功率を飛躍的に高めている。
3.2.1 事例研究:香港における2,500万ドルの「ディープフェイク会議」事件
2024年初頭、香港に拠点を置く多国籍エンジニアリング企業Arup(アラップ)において発生した事件は、世界のセキュリティ業界に衝撃を与え、BECの歴史における転換点となった。
事件の概要: 同社の財務担当従業員は、英国本社のCFOから「極秘の金融取引」に関するメッセージを受け取った。当初、従業員はフィッシングメールではないかと疑ったが、その後、ビデオ会議への参加を求められた。ビデオ会議にはCFOだけでなく、他の複数の役員や同僚も参加していた。しかし、驚くべきことに、被害者以外の会議参加者全員がAIによって生成されたディープフェイクであったのである。
攻撃のメカニズムと心理的操作:
- 視覚的信頼のハッキング: 従来のセキュリティ教育では「メールは怪しいが、ビデオ会議で顔を見れば安心」と教えられてきた。攻撃者はこの前提を逆手に取り、過去の映像や音声データから生成した極めてリアルな偽の役員たちを登場させることで、被害者の警戒心を完全に解除した。
- 集団心理の悪用: 単独の犯人ではなく、複数の「知っている顔」が会議に参加している状況を作り出すことで、被害者に「自分だけが疑っているのか?」という同調圧力をかけ、孤立感を防いだ。
- リアルタイム性の演出: 録画映像を流すだけでなく、AIアバターがリアルタイムで発話し、簡単なやり取りを行った(あるいは、一方向的な指示を中心としつつ、違和感を抱かせない巧妙なシナリオを用いた)。
結果として、従業員は15回にわたる送金を実行し、合計2億香港ドル(約2,500万米ドル、約40億円相当)を詐取された。この事件は、従来の「本人確認」の概念を根底から覆すものであり、映像や音声でさえも「ゼロトラスト」の対象とすべき時代の到来を告げている。
3.2.2 その他のディープフェイク活用事例
Arup事件以外にも、世界中で同様の試みが確認されている。
- WPP CEOなりすまし未遂(2024年): 世界最大の広告グループWPPのCEO、Mark Read氏になりすましたWhatsAppアカウントが作成され、Microsoft Teams会議への誘導が行われた。会議中、攻撃者はCEOの音声クローンとYouTube映像を使用したが、従業員が不審な点に気づき、未然に防がれた。
- フェラーリCEOなりすまし: フェラーリのCEOを装ったディープフェイク音声による電話があったが、従業員がCEOしか知り得ない質問(特定の書籍に関する話題など)をすることで、機械的な回答しかできないAIを見破った。
これらの事例は、AI技術が高度化する一方で、人間の「機転」や「アナログな確認」が依然として有効な防御策になり得ることを示唆している。
3.3 Deepfake-as-a-Serviceの台頭
ディープフェイク技術の脅威を増幅させているのが、ダークウェブ上での「Deepfake-as-a-Service」の拡大である。高度なAI知識を持たない犯罪者であっても、安価な料金で音声クローンや顔交換(フェイススワップ)ツールを利用できる環境が整いつつある。例えば、5ドルから数百ドル程度で、KYC(本人確認)を突破するためのディープフェイク画像や、特定の人物の声を作成するサービスが提供されている。これにより、BEC攻撃の参入障壁が下がり、攻撃者の裾野が広がっている。
第4章 攻撃の解剖学:偵察から現金化までのプロセス
BEC攻撃は、単発のメール送信ではなく、綿密に計画された一連のプロセスである。ここでは、攻撃者が実行する標準的なキルチェーン(攻撃連鎖)を解説する。
4.1 偵察(Reconnaissance)と情報収集
攻撃の第一歩は、標的組織の徹底的な調査である。
- OSINT(オープンソース・インテリジェンス)の活用: 企業のWebサイト、LinkedIn、Facebook、プレスリリースなどを分析し、組織図、役員の氏名、取引先、使用しているクラウドサービス、出張予定などを特定する。特に、経営層が海外出張中や休暇中のタイミングは、確認が取りづらくなるため狙われやすい。
- ダークウェブデータの利用: 過去の漏洩パスワードリストや、侵害されたメールアカウントの情報をダークウェブで購入し、社内システムへの侵入を試みる。
4.2 侵入と潜伏(Compromise & Lying in Wait)
攻撃者は、フィッシングメールやマルウェアを用いて、標的組織(あるいはその取引先)のメールアカウントに侵入する。
- メールの監視: アカウントに侵入した後、攻撃者はすぐには行動を起こさない。数週間から数ヶ月にわたりメールのやり取りを密かに監視(盗み見)し、請求書のフォーマット、支払日、担当者間の言葉遣い、決裁フローなどを学習する。
- ルールの設定: 被害者自身が攻撃に気づかないよう、メールの転送ルールや削除ルールを勝手に設定し、特定のキーワード(「送金」「請求書」など)が含まれるメールを攻撃者のフォルダに転送したり、受信トレイから隠したりする。
4.3 実行(Execution):心理的トリガーの活用
準備が整った段階で、攻撃者は実行に移る。ここで駆使されるのが、人間の心理を操るテクニックである。
- 緊急性の演出: 「至急」「今日中に」「即座に」といった言葉を使い、被害者に思考する時間を与えない。「監査が入る」「税務調査への対応」など、遅延が許されない状況をでっち上げる。
- 秘密性の強調: 「M&Aの極秘案件であるため、他の社員には口外してはならない」と指示し、被害者を組織内で孤立させる。これにより、同僚や上司への相談を封じる。
- 権威の悪用(ハロー効果): 社長や役員からの直接の指示を装うことで、日本の組織特有の「忖度」や「服従」の心理を利用する。ルポライターの多田文明氏が指摘するように、詐欺師は警察や銀行協会、あるいは社長といった「権威」を騙ることで、被害者の判断能力を麻痺させる。
4.4 現金化(Cash Out)
被害者が送金を実行すると、攻撃者は直ちに資金の洗浄(マネーロンダリング)を行う。
- マネーミュール(運び屋)口座の利用: 盗まれたIDで開設された口座や、犯罪に加担させられた個人の口座を経由させる。
- 暗号資産への換金: 追跡を困難にするため、資金をビットコインやUSDTなどの暗号資産に変換する。
- 海外送金の多重化: 国境を跨いで資金を移動させることで、各国の警察の管轄権の壁を利用し、捜査を遅らせる。
第5章 国内主要事例にみる失敗のメカニズム
日本企業が実際に巨額の被害に遭った事例を分析することは、防御策を構築する上で不可欠である。ここでは、公開されている二つの大規模事例を深掘りする。
5.1 トヨタ紡織事例(2019年発覚)
トヨタ紡織の欧州子会社が最大約40億円の被害に遭った事例は、日本企業にとっての大きな警鐘となった。
- 手口: 悪意ある第三者が取引先になりすまし、虚偽の口座への送金指示を行った。攻撃者は事前にメールの内容を盗み見ていた可能性が高く、実際の取引に基づいたタイミングで偽の指示を送ったため、担当者は疑いを持たなかった。
- 失敗の要因:
- 子会社のガバナンス: 本社から物理的・心理的に距離のある海外拠点において、セキュリティ意識や承認プロセスの徹底が不十分であった可能性。
- 確認プロセスの不備: 口座変更という高リスクな手続きに対し、十分な検証(電話確認など)が行われなかった。
- 回収の困難さ: 送金後、資金は直ちに分散されたため、全額の回収は困難を極めた。
5.2 日本航空(JAL)事例(2017年発覚)
JALが約3億8,000万円の被害に遭った事例は、ビジネスプロセスの脆弱性を突いた典型例である。
- 手口: 航空機のリース料の請求書がメールで届いた際、攻撃者がそのメールスレッドに割り込み、「振込先口座が変更になった」という案内と共に、正規の請求書の一部(口座番号)のみを改ざんしたPDFを送付した。
- 失敗のメカニズム:
- BCCへの侵入: 攻撃者はメールのBCCに含まれていたか、あるいはアカウントを侵害してメールを監視していた。本物の請求書が届くタイミングに合わせて偽メールが送信されたため、文脈の整合性が高く、信ぴょう性が高まった。
- 担当者の善意: 「支払いが遅れてはリース契約に支障が出る」という担当者の責任感が、皮肉にも攻撃者に利用された。
- プロセスの盲点: 通常の承認フローは経ていたものの、「請求書の内容(口座番号)が正しいか」を確認する手順において、メール以外の経路での確認(Out-of-Band Verification)が欠落していた。
第6章 包括的な防御戦略:技術・プロセス・人の三位一体
BECの脅威に対抗するためには、単一のソリューションでは不十分である。技術的対策、業務プロセスの改善、そして組織文化の変革を組み合わせた「多層防御(Defense in Depth)」のアプローチが不可欠である。
6.1 技術的防御策(Technical Controls)
6.1.1 電子メール認証の強化とDMARCの適用
BECの多くは、自社や取引先のドメインを騙るなりすましメールから始まる。これ防ぐための基本技術が送信ドメイン認証である。
- SPF (Sender Policy Framework): 送信元IPアドレスの正当性を検証する。
- DKIM (DomainKeys Identified Mail): 電子署名によりメール内容の改ざんを検知する。
- DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPF/DKIM認証失敗時の処理(拒否、隔離など)をポリシーとして定義する。特にDMARCを「p=reject(拒否)」モードで運用することで、自社ドメインを騙るなりすましメールを強力に排除できる。
6.1.2 AIによる検知システムの導入
ルールベースのフィルタリングでは検知できない文脈依存型の攻撃に対し、AIを活用したセキュリティソリューションが有効である。
- 振る舞い検知: 普段のメールのやり取りのパターン(送信時刻、相手、言葉遣い)を機械学習し、そこから逸脱した異常なメール(例:初めて送金の話が出た、緊急度が高い言葉が多用されている、普段と異なるIPからのアクセス)を検知する。
- 自然言語処理(NLP): メールの本文を解析し、威圧的な表現、金銭要求、機密情報の要求などのセマンティックな特徴を抽出して警告を発する。
6.1.3 ディープフェイク対策と生体検知技術(Liveness Detection)
ビデオ会議や音声通話におけるなりすましを防ぐため、生体認証技術の導入が進んでいる。
- ライブネス検知(Liveness Detection): 画面の向こうの人物が「生きている人間」か、それとも「写真や動画、3Dモデル」かを判定する技術である。
- アクティブ検知: 読者に「右を向いて」「瞬きをして」「画面上の数字を読んで」などのランダムな指示を出し、反応を確認する。ただし、これらはリアルタイムディープフェイク技術の進化により突破されるリスクがあるため、過信は禁物である。
- パッシブ検知: 読者にアクションを求めず、肌の質感、微細な血流による色の変化、ディスプレイの反射光(モアレ)、瞬きの不自然さなどを解析して判定する。ディープフェイク生成時に生じる特有のアーティファクト(不自然な影や境界線のぼやけ)を検出する。
- 3D深度センシング: iPhoneのFaceIDのように、深度センサーを用いて顔の立体構造を確認し、平面ディスプレイ上の映像(なりすまし)を見破る。金融機関のアプリなどでは、これらの技術を組み合わせて本人確認(eKYC)を行うことが標準化しつつある。
6.2 プロセス防御策(Procedural Controls)
技術的な防御をすり抜けた攻撃を、業務プロセスで阻止する仕組みが必要である。BECは最終的に「人が騙される」ことで成立するため、プロセスによる歯止めが最後の砦となる。
6.2.1 承認フローの厳格化と「Out-of-Band」確認
- 送金承認の多重化(Dual Control): 一人の担当者や承認者だけで送金が完結しないよう、必ず複数名による承認を必須とする。特に、一定額以上の送金や、振込先口座の変更時には、より上位の権限者(CFO等)の承認を求めるプロセスをシステム的に強制する。
- 別経路での確認(コールバック)の義務化: メールで振込先変更の依頼が来た場合、メールへの返信ではなく、必ず「事前に登録されている名刺や契約書の電話番号」に電話をして事実確認を行う。メールに記載された電話番号は攻撃者のものである可能性が高いため、絶対に使用してはならない。この「Out-of-Band(帯域外)」確認こそが、BECを防ぐ最も強力かつ低コストな手段である。
6.2.2 合言葉とシークレットフレーズ
役員と経理責任者の間で、緊急時の連絡に使用する「合言葉」や「シークレットフレーズ」を事前に取り決めておく。もし社長から電話で急な送金指示があった場合でも、この合言葉を確認することで、ディープフェイク音声によるなりすましを即座に判別できる。
6.2.3 取引先情報のマスターデータ管理
取引先の銀行口座情報は「マスターデータ」として厳重に管理し、変更プロセスには厳格な審査(書面での提出、電話確認、上長承認)を義務付ける。スポットでのメール依頼による変更は原則として受け付けないポリシーを徹底する。
6.3 組織的・人的防御策(Human & Cultural Controls)
6.3.1 実践的な教育と訓練
単なる座学のセキュリティ教育ではなく、最新の手口を模した訓練が重要である。
- フィッシングシミュレーション: AIが生成したような巧妙なメールや、ディープフェイクを用いた訓練シナリオを実施し、従業員の「違和感に気づく能力」を養う。
- 事例共有: トヨタ紡織やArupのような実際の被害事例を共有し、「なぜ彼らは騙されたのか」という心理的側面に焦点を当てたディスカッションを行うことで、自分事化を促す。
6.3.2 心理的安全性の確保と「No」と言える文化
BEC対策において最も重要なのは、組織文化である。権威主義的な組織では、部下が上司への確認を恐れ、社長からのメールに盲従してしまいがちである。 「社長からのメールであっても、怪しいと思ったら確認する」「セキュリティ手順を守るために社長の指示を保留する」ことが、叱責されるのではなく称賛される文化を醸成する必要がある。経営層自らが、「私が急にメールで送金を指示することはない。もしあれば、必ず電話で確認してくれ」と全社に宣言することが、最強の防御となる。
第7章 法的側面と被害回復(日本国内の視点)
万が一被害に遭った場合、迅速な対応が被害回復の可能性を左右するが、法的なハードルも存在する。
7.1 振り込め詐欺救済法の適用可能性と限界
日本には「犯罪利用預金口座等に係る資金による被害回復分配金の支払等に関する法律(通称:振り込め詐欺救済法)」が存在する。この法律に基づき、金融機関は犯罪に利用された疑いのある口座を凍結し、そこに資金が滞留していれば、被害者に分配金が支払われる可能性がある。 しかし、BECのようなプロの組織犯罪の場合、振り込まれた資金は直ちに引き出されるか、海外の口座や暗号資産に転送されることが多いため、同法による実質的な全額回収は極めて困難なケースが多いのが現実である。
7.2 警察および専門機関への相談
被害発覚後は、直ちに以下の対応を行う必要がある。
- 金融機関への連絡: 直ちに取引銀行に連絡し、「組戻し(送金の取り消し)」を依頼する。相手方口座に着金前であれば、資金を取り戻せる可能性がある。
- 警察への通報: 都道府県警察本部のサイバー犯罪相談窓口や、警察相談専用電話「#9110」へ連絡し、被害届を提出する。捜査機関との連携は、海外口座への送金停止要請(リクエスト)を行う上でも重要となる。
7.3 サイバー保険によるリスク移転
技術的・組織的対策を行っても、ヒューマンエラーによるリスクをゼロにはできない。そのため、サイバー保険による金銭的補償の確保が推奨される。
- 補償範囲の確認: 一般的なサイバー保険では、サイバー攻撃によるシステム復旧費用や情報漏洩に伴う賠償責任はカバーされるが、BECによる「詐欺被害(自ら振り込んでしまった損害)」は免責となる場合がある。
- 特約の付帯: 多くの保険会社では、「サイバークライム補償特約」や「ソーシャルエンジニアリング詐欺補償」といったオプションを用意しており、これらを付帯することで、BECによる直接的な金銭被害も補償対象となる場合がある。自社の保険契約内容を詳細に見直し、BECがカバーされているかを確認することが急務である。
第8章 結論と2026年に向けた展望
2026年に向けて、BECの脅威はさらに複雑化・高度化することが予測される。
8.1 展望:「認証」の再定義
ディープフェイク技術のコモディティ化により、映像や音声の証拠能力は低下し続ける。これに対抗するため、企業は「認証」の概念を再定義する必要がある。デジタル署名や公開鍵暗号基盤(PKI)といった暗号技術による認証と、物理的な接触や既知の信頼関係に基づくアナログな認証を組み合わせたハイブリッドな認証モデルが求められる。
8.2 結論:経営課題としてのBEC対策
BECはもはや一過性の流行ではなく、企業の財務基盤を揺るがす構造的なリスクである。経営層は、これをIT部門だけの問題として放置してはならない。BEC対策は、ガバナンス、リスク管理、コンプライアンス(GRC)の中核的課題として位置づけられるべきである。
最終的に「ニセ社長」を見抜くのは、最新のAI検知ツールだけではない。それは、組織内の風通しの良さ、従業員一人ひとりの健全な懐疑心、そして「違和感」を共有できる信頼関係である。技術で守り、プロセスで縛り、人で気づく――この三位一体の防御体制こそが、AI時代の詐欺から組織を守る唯一の解である。
免責事項: 本レポートは2025年1月時点での情報に基づき作成されています。サイバーセキュリティの脅威情勢は急速に変化するため、最新の情報についてはIPAや警察庁、専門のセキュリティベンダーの発表を参照することを強く推奨します。
参照リンク・出典
- Business Email Compromise: The $55 Billion Scam – Internet Crime Complaint Center (IC3)
- Business Email Compromise Statistics 2026 (+Prevention Guide) – Hoxhunt
- フィッシング詐欺事例集2025|最新手口と被害の全記録 – 株式会社ガーディアン
- IPA「情報セキュリティ10大脅威2025」解説|専門家が語るTOP10脅威への対策 – NRIセキュア
- 【2025年版】情報セキュリティ10大脅威と企業が取るべき対策を分かりやすく解説
- From Deepfakes to Dark LLMs: 5 use-cases of how AI is Powering Cybercrime – Group-IB
- Emerging Trends in AI-Related Cyberthreats in 2025 – Rapid7 Blog
- A Look Back at 2025 Cybersecurity Trends – Mimecast
- AI Cyber Attack Statistics 2025, Trends, Costs, Defense – DeepStrike
- Scammers use AI voice cloning tools to fuel new scams | McAfee AI Hub
- Detecting dangerous AI is essential in the deepfake era – The World Economic Forum
- Deepfake Danger – Texas Bankers Association
- Cybercrime: Lessons learned from a $25m deepfake attack – The World Economic Forum
- Top 5 Cases of AI Deepfake Fraud From 2024 Exposed | Blog – Incode
- CEO of world’s biggest ad firm targeted by deepfake scam | Technology – The Guardian
- Deepfake-as-a-Service revolutionizing biometrics spoofing and identity fraud: report
- 詐欺師の狙いは現金からカードに。「振り込んで」と言わない「最新詐欺の手口」
- トヨタ紡織の欧州子会社で最大40億円の詐欺被害 – 虚偽の入金指示で – Security NEXT
- BEC=ビジネスメール詐欺は「メール監視」から始まっている – NECソリューションイノベータ
- IRONSCALES 2025 Threat Report | Beyond Deepfake Detection
- What Is Liveness Detection? Types and Benefits – Regula Forensics
- What Is Liveness Detection and Why It Matters in Online Identity Verification – Ondato
- What is liveness detection? A complete guide – Incognia
- Face Recognition and Liveness Verification in Mobile Banking Applications | COMARCH SA
- 電子帳簿保存法の改ざん防止措置を徹底解説!4つの方法とよくある質問
- 上長承認機能を導入してミスを防ぐ!そのメール本当に送って大丈夫? – サイバーウェイブジャパン
- 【注意喚起】年明けから増加する「社長なりすましメール」について | アップデート株式会社
- 送金指示を装う詐欺が急増 – WPレスキュー365
- A Guide to Deepfake Scams and AI Voice Spoofing – McAfee
- Deepfakes, how to protect ourselves against fraud – Banco Santander
- Five Ways to Protect your Business from Deepfake Scams – OnSecurity
- 振り込め詐欺等の被害にあわれた方へ – 金融庁
- 「振り込め詐欺救済法」に基づき、振り込んでしまったお金が返ってくる可能性があります。
- サイバー事案に関する通報・相談・情報提供窓口 – 警視庁ホームページ
- 相談窓口紹介 – NCO – みんなで使おうサイバーセキュリティ・ポータルサイト
- 警察に対する相談は警察相談専用電話 「#9110」番へ – 政府広報オンライン
- サイバー事案に関する相談窓口|警察庁Webサイト
- CyberEdge (2022) | 法人向け保険 – AIG損保
