AIボイス・スプーフィングとは、実在の人物(多くの場合、マネージャー、エグゼクティブ、サポートスタッフ)を模倣した合成音声を悪意を持って作成し、詐欺行為、認証情報の窃盗、機密リソースへのアクセスなどを行うことです。
従来のビッシング(ボイスフィッシング)とは異なり、最新の攻撃は機械学習とディープフェイク技術を活用し、一般に公開されているわずか30秒ほどの音声から発話パターンをクローン化します。攻撃者は、リアルタイムの電話や録音されたメッセージで、このような本物そっくりの模造品を使用し、ソーシャル・エンジニアリングをこれまで以上に信じやすく、有害なものにしています。
リモートワークの急増、デジタル会議の利用増加、経営陣の声のオンラインへの露出は、脅威行為者にとって肥沃な土壌となっています。音声による偽装は、特にストレスの高い場面や緊急性の高い場面で、人間の疑念を回避するのに十分な説得力を持つ可能性があります。背景については、McAfeeを参照してください:ディープフェイク音声詐欺。
人工知能がより身近になるにつれ、攻撃者はスクリプトや対話型のボイスボットを導入して、高度な標的型攻撃を行うようになっています。最近のケーススタディでは、CEOや財務責任者を装った攻撃者が、スタッフに金銭の送金や請求の開示、セキュリティチェックの迂回を行うよう説得していることが明らかになっています。ある有名な例では、エネルギー会社の英国子会社が、緊急の送金と思われた際に、AIが生成した音声を使ってCEOになりすました詐欺師により、24万3,000ドルの損失を被った。中小企業は、すべてのリクエストを検証するための専用リソースを欠いているため、ますます危険にさらされている。このテクノロジーは、信用情報のフィッシング、ボイスメールの収集、コール・ルーティング・システムの操作にも使われている。音声ベースのソーシャル・エンジニアリングによって顧客との会話や機密データが流出した場合、法的リスクやコンプライアンス・リスクが生じます。さらなる洞察と防止事例については、Right-Handをご覧ください:Deepfake vishing 2025およびCrowdStrike:ビッシングリスク
企業はAIによる音声なりすましに対抗するため、プロアクティブなアプローチを採用する必要があります。まず、センシティブな情報や取引に関わるすべての音声ベースのリクエストについて、明確な検証プロセスを確立する。従業員には、緊急性、権限者のなりすまし、文書化されたプロセスを迂回する要求などの手口を認識できるよう訓練する。疑わしい通話にフラグを立てたり、ディープフェイクの特徴を音声で分析したりする音声詐欺対策ソリューションや異常検知ツールの導入を検討する。複数人による承認や独立したコールバック・チェックなどのポリシーの変更により、リスクを大幅に軽減することができます。企業は最新の法的枠組みを常に把握し、部門内で脅威情報を共有する必要がある。より実践的な防御策はGroup-IB: Vishing preventionと Blue Goat Cyberに概説されている:ビッシングの手口
スプーフィングが他の業界の企業にどのような影響を与えるかについては、 スプーフィングの基礎とその防止方法についての記事をご覧ください 。