近年、電話を使って個人情報や金銭をだまし取る「ボイスフィッシング」が、国内外で急増しています。
生成AIなどの技術進化により、本人の声を模倣した巧妙な詐欺が可能になったことで、これまでの常識が通用しない状況が生まれているのです。声を聞いたからといって、それが信頼できる相手とは限らない時代が到来しています。
たとえば、ある企業では、CEOの声を模倣したAI音声によって経理部門がだまされ、数百万ドルが不正に送金されるという被害が発生しました。
こうしたリスクから身を守るためには、まずボイスフィッシングの特徴について知り、代表的な手口や見分け方、そして具体的な対策を理解することが欠かせません。
ボイスフィッシングとは?
ボイスフィッシングとは、電話を用いて個人情報や金銭を不正に取得しようとする手口であり、音声を悪用したフィッシング詐欺の一種です。被害者にとっては、巧妙に構成された音声や話術を通じて信用させられる点において、従来のメールやSMSを用いた詐欺よりも、さらに信ぴょう性が高く感じられてしまうという特徴があります。
フィッシングとの違い
フィッシング詐欺はすでに広く知られていますが、その多くはメールやSMSを用いて偽のWebサイトへ誘導し、そこでログイン情報やクレジットカード番号などを盗み取る行為を指します。
一方、ボイスフィッシングは、インターネットではなく電話が主戦場です。つまり、ユーザーが自ら入力するのではなく、音声を通じて情報を話させる点が決定的な違いとなります。
また、従来のフィッシングでは視覚的な違和感、たとえばURLが微妙に異なる、ロゴの画質が粗いといった点で不審さに気づく余地がありました。しかしボイスフィッシングでは、受け手の感情に訴えるリアルな音声が用いられるため、判断力が鈍ってしまいやすいのです。
さらに、音声の主が信頼している相手に酷似していればいるほど、警戒心は簡単に薄れてしまう傾向があります。
このように、ボイスフィッシングは人間の聴覚と感情に直接働きかける詐欺手口であり、単なる手法の違いにとどまらず、心理的な影響力の大きさという点でも従来のフィッシング詐欺よりも対策が困難です。
なぜ今、ボイスフィッシングが増えているのか?
ボイスフィッシングが社会的な問題として急速に注目されるようになった背景には、いくつかの技術的および社会的な要因があります。中でも最も大きな影響を及ぼしているのが、生成AIと音声合成技術の進化です。
これまでは、実在する人物の声を巧みに真似るには専門的な機材や訓練が必要でした。しかし近年は、わずかな音声データをもとに高精度な模倣音声を自動生成できるツールが一般にも広まりつつあります。その結果、攻撃者が誰かになりすますハードルが著しく下がったのです。
具体的には、SNSや動画配信サービスなどに投稿された短い音声をもとに、その人物の話し方や声色を解析・再現することが可能になっています。たとえば、企業の代表者がセミナーで話した内容や社内広報ビデオに登場した社員の声が悪用されるケースも現実のものとなっています。
従来のように、声や話し方が似ていないから偽物といった直感的な見抜き方が通用しない状況が生まれているのです。
また、テレワークやオンライン会議の普及もボイスフィッシングの温床となっています。リモート環境では、対面での確認が難しく、音声やチャットのみで意思決定を行う場面が増えました。そのような状況で、信頼できる上司や同僚を装った電話がかかってきた場合、多くの人が疑うことなく対応してしまうのも無理はありません。
ボイスフィッシングの目的と被害
ボイスフィッシングがここまで巧妙かつ執拗に行われる理由は、犯行によって得られる見返りが非常に大きいからにほかなりません。
攻撃者にとっての最終目標は、主に2つ。
ひとつは、被害者から直接金銭をだまし取ること。そしてもうひとつは、口座番号やログイン情報などの個人情報を収集し、別の犯罪や不正アクセスに利用することです。
金銭被害と個人情報の漏洩
ボイスフィッシングによる金銭的な被害は、個人・法人を問わず発生しています。
たとえば、「お支払いが滞っている」「不正利用の疑いがある」といった理由でクレジットカード番号を電話で尋ねるケースや、「保険料の返金をするため」として銀行口座の情報を引き出すといった手口が多く見られます。
一度でも情報を漏らしてしまえば、即座に不正送金やネットバンキングへの不正ログインが実行され、数十万~数百万円規模の損失につながることも珍しくありません。
加えて、音声を使って情報を聞き出すという手口の特性上、被害者が話した内容を後から思い出せないケースもあります。文字として残らないやり取りは、本人の記憶頼りとなり、証拠が残りにくいのです。
そのため、被害を受けたことに気づくのが遅れたり、気づいても状況を第三者に説明しきれなかったりすることが、さらなる被害の拡大を招いてしまうのです。
また、ボイスフィッシングによって収集された個人情報は、ダークウェブなどの地下市場で転売されることがあります。こうして流出した情報が、フィッシング詐欺や身元なりすまし、さらには企業へのサイバー攻撃に転用されるリスクもあるため、一度限りの被害にとどまらない深刻な問題として捉えなければいけません。
企業を狙う詐欺の新たな脅威
ボイスフィッシングの標的は、もはや個人に限られません。企業そのものを狙った詐欺行為が増加しています。
その背景には、社内の人間関係や指揮系統を巧みに突く手口の存在があります。
たとえば、経営層を装って経理担当者に送金を指示したり、IT部門になりすましてシステムのログイン情報を聞き出したりするケースは後を絶ちません。
このような詐欺の怖さは、企業の内部情報がある程度収集されている点にあります。SNSや企業サイト、採用ページなどから役職名や部署名を調べ上げ、信頼関係が構築された相手になりきるのです。実際に、「常務の○○です。至急の送金依頼なのですが……」といった電話がかかってくれば、多忙な現場では思考停止状態で指示に従ってしまう可能性は十分にあります。
さらに、企業が被害に遭った場合の損失は、金銭にとどまりません。
信用失墜、取引先との関係悪化、内部統制の見直しコスト、そして何より社員の士気低下といった二次的被害が連鎖的に発生することになります。
ボイスフィッシングの攻撃手順
ここでは、ボイスフィッシングの攻撃手順を段階的に見ていきましょう。
ターゲット調査
最初のステップは情報収集です。
攻撃者は無作為に電話をかけているわけではなく、あらかじめターゲットの属性や勤務先、役職、交友関係などを把握したうえで行動しています。特に企業を狙う場合、SNSや企業ホームページ、プレスリリース、さらには従業員のインタビュー記事やセミナー登壇履歴などの公開情報を網羅的に収集します。
一例を挙げると、LinkedInで経理部門に所属する人物を特定し、その人物の上司や関係部署を把握した上で、あたかも実在する社員になりすまして電話をかけるといったケースがあります。このようにして、会話の中にそれっぽさを持ち込むことが、相手の警戒心を緩める決定的な要因となるのです。
偽装電話で信頼を得る
情報をもとに偽装した人物を演じながら、攻撃者はまず相手の信頼を得ようとします。たとえば「○○部長からの依頼でご連絡しています」といった言い回しを使い、組織内の常識を巧妙に利用します。この時点で声が本物に似ていれば、疑念を抱く余地はほとんど残されません。
ときには、相手の名前を呼びかけたり、過去の社内イベントや会議の話題を挟んだりすることもあります。こうした小さな工夫が「この人は内部の人間だ」と錯覚させ、会話のトーンを自然なものへと誘導していきます。
感情に訴える心理的な誘導
会話の序盤で信頼を築いた攻撃者は、次に相手の感情に訴えかける戦術へ移行します。
「大至急で対応が必要です」「今処理しないと上層部に迷惑がかかる可能性があります」といった表現で義務感をあおるのです。これはいわゆるソーシャルエンジニアリングと呼ばれる心理的操作の一種であり、冷静な判断を奪う効果があります。
さらに、「今対応してくれれば助かる」など、感謝や共感を引き出すような言葉を投げかけることで、相手に良いことをしているという錯覚を与えるケースもあります。
情報の取得から犯行実行までの流れ
最後の段階は、得られた情報をもとに実際の不正行為を実行するフェーズです。
ここでは、短時間のうちに犯行を完結させることが重視されます。たとえば、送金先の変更手続きや経費精算システムの操作を即座に行わせるといった手法も用いられます。いったん対応してしまえば、取り返しがつかない事態になることは言うまでもありません。
そして犯人は、通話記録を残さずにその場から姿を消すため、追跡や証拠の特定が極めて困難になるのです。
代表的なボイスフィッシング手口8選
ボイスフィッシングと一口に言っても、その手口は非常に多岐にわたります。ここでは、近年特に被害が報告されている代表的な8つの手口を紹介していきます。
AI音声詐欺:本人を模倣する技術の悪用
もっとも警戒すべき手口の一つが、AIを活用した声の模倣です。
わずか数秒の音声サンプルから、その人物の声質・話し方・抑揚までも忠実に再現できるAIが登場し、これを悪用した犯行が国内外で報告されています。たとえば、ある海外企業では、CEOの声をAIで模倣し、「至急で資金を移動してくれ」と指示する偽の電話が経理担当者にかけられ、実際に数百万ドルが送金されるという事件が発生しました。
ロボコール:自動音声による大量攻撃
ロボコールとは、録音済みの音声を使って自動的に電話をかけるシステムを指します。
攻撃者はこの技術を使い、不特定多数に一斉に電話を発信し、「このまま番号を押せば問題を解決できます」などと誘導します。特に高齢者やITリテラシーの低い層がターゲットとなりやすく、被害が表面化しづらいのも特徴です。
短時間に大量の通話を試行できるため、攻撃の効率性が高く、コストも安価で済むという加害者側のメリットがあるため、今後さらに増加することが懸念されます。
VoIPの悪用で番号を量産
インターネットを介して電話をかける「VoIP(Voice over IP)」技術を悪用し、攻撃者は使い捨て可能な番号を無数に生成することが可能になっています。これにより、被害者が折り返し電話をしてもつながらず、発信元の特定が非常に困難になります。
たとえば、詐欺師が東京の市外局番03で始まる番号を使用していた場合でも、実際には海外から発信されていたという事例もあり、番号表示だけでは信頼性を判断できない時代になっているのです。
発信者IDの偽装(スプーフィング)
スプーフィングとは、発信者番号を偽装する技術を用いて、あたかも正規の機関からの電話であるかのように装う手口です。たとえば、銀行や公共機関のカスタマーセンター番号とまったく同じ番号がスマートフォンに表示されれば、多くの人が本物だと信じてしまうでしょう。これにより、ユーザーは不信感を持たずに通話に応じ、結果として情報を口頭で伝えてしまうリスクが高まります。
ダンプスター・ダイビングで企業情報収集
ダンプスター・ダイビングとは、ごみ箱から機密情報を探るという、古典的ながら今もなお用いられる情報収集手法です。シュレッダーにかけずに捨てられたメモ、印刷物、社員名簿などをもとに、実在する社員の氏名や部署を把握し、電話でのなりすましに活用します。
現代ではこの行為が物理空間からデジタル領域へと移行しており、メールの誤送信や資料の誤掲載などから得られる断片的な情報も同様に使われています。
偽のテクニカルサポートを装う手口
技術的な問題を装って接触してくる偽のテクニカルサポートも、ボイスフィッシングの一種です。
「ウイルスに感染しています」「アカウントが不正利用されています」といった緊急性をあおる文言を用いて、対象者に遠隔操作ソフトのインストールを促します。これにより、攻撃者は被害者の端末を乗っ取り、自由に操作できる状態にしてしまうのです。
企業でこのような被害が発生すれば、顧客情報の漏洩や業務停止にまで発展する恐れがあります。
ボイスメール通知に偽装したメール攻撃
近年では、音声メッセージを装ったメールに不正なリンクを仕込むという手口も見られます。
たとえば「新しいボイスメールが届いています」と書かれたメールに添付されたURLをクリックすると、フィッシングサイトに誘導されたり、マルウェアがダウンロードされたりするといった具合です。
このような手法は、メールと電話の境界を曖昧にしながら、複数のメディアを横断して攻撃を成立させる点で、非常に巧妙かつ危険です。
偽の請求電話で企業から不正送金を得る
最後に紹介するのは、企業の経理担当者を狙った偽の請求電話です。
「過去に発行された請求書の修正分として、再送金が必要です」と伝え、あらかじめ用意された偽の口座情報を案内する手口があります。請求金額や取引先名が実在するものと一致している場合、疑念を抱かず処理してしまう可能性も十分に考えられます。
特に年度末や決算期といった繁忙期には、確認を省略してしまうケースも多く、攻撃者はその業務の隙を正確に突いてきます。
ボイスフィッシングの見分け方|7つのチェックポイント
ここまで紹介してきたように、ボイスフィッシングは高度な技術と心理操作を駆使して仕掛けられるため、一見して詐欺とは気づきにくい傾向があります。しかし、どれほど巧妙に設計された手口であっても、注意深く観察すれば違和感を感じ取ることは可能です。
そこで以下では、電話を受けた際に注意すべき7つのポイントをご紹介します。これらの特徴を知っておくだけでも、詐欺被害のリスクを大幅に減らせるでしょう。
正当な機関が電話で個人情報を要求することはない
まず覚えておくべき基本的な原則は、銀行や行政機関が、電話で口座情報やパスワードを尋ねることはないという事実です。
「暗証番号を再確認させてください」や「本人確認のためにカード番号を読み上げてください」といった依頼は、正規の対応ではあり得ません。仮に実在の組織名を名乗っていたとしても、情報提供を求められた時点で不審を抱くべきです。
その場の流れに流されず、それは本当に必要な手続きなのかと立ち止まることが、被害を防ぐ第一歩となります。
音声が不自然・音質が悪い
次に注目すべきは声の質です。
AIで生成された音声は、年々自然さを増しているものの、まだ完全に人間の声と同じではありません。たとえば、話し方に不自然な間があったり、言葉の抑揚が一様だったり、ノイズが不規則に混じることがあります。
また、VoIPなどを通じた通話では、音質がややこもっていたり、機械的な響きが感じられたりすることもあるでしょう。こうした些細な違和感に気づけるかどうかが、被害を未然に防ぐ鍵となります。
脅し文句や不安を煽る表現が多い
ボイスフィッシングでは、被害者を焦らせて冷静な判断を奪おうとする言葉が多用されます。
たとえば「すぐに対応しなければ口座が凍結されます」「あなたの個人情報が第三者に渡っています」といった強い表現は、典型的な脅しのパターンです。
こうしたフレーズを聞いたときこそ、一度状況を整理しましょう。感情を揺さぶる口調に乗せられないことが肝要です。
折り返し番号が公式と異なる
正規の機関であれば、電話番号も当然公式のものを使用します。しかし、ボイスフィッシングでは非通知設定やVoIPを悪用して、偽装された番号が表示されることがあります。
また、提示された折り返しの電話番号が、公式サイトに掲載されている番号と異なっている場合も注意が必要です。一度電話を切り、インターネットやパンフレットなどを確認して、提示された番号が正規のものかどうかを必ず確かめるようにしましょう。
技術サポートを名乗りソフトを入れさせる
「システムに問題があるため、専用ソフトのインストールが必要です」といった理由で遠隔操作アプリを入れさせようとする電話も、明らかに不審です。
こうした手口は、端末の中身を攻撃者が直接操作できる状態にすることが目的で、個人だけでなく企業の業務PCを狙ったものも存在します。
特にリモートワーク環境では、こうしたセキュリティの穴が狙われやすいため、技術サポートを自称する相手からの指示には最大限の警戒が必要です。
上司や同僚を装って金銭を要求する
最近増えているのが、社内関係者になりすましたボイスフィッシングです。
「今すぐこの振込を処理してほしい」といった依頼が、役職者の名前を使ってなされるケースが報告されています。このような要求があった場合は、必ず別のチャネル(たとえば社内チャットやメール)で本人に確認を取りましょう。
実在する人物を名乗っていること自体が、逆に詐欺の可能性を高めていると認識すべきです。
SNSやメールから電話番号を聞き出す
電話をかける前段階として、SNSのDMやメールを使って電話番号を聞き出す手口もあります。
一見すると何気ない問い合わせですが、その背景には、ターゲットの声を聞く、AI学習用の音声を収集する、後日のボイスフィッシングにつなげるといった目的が潜んでいる可能性があります。
たとえ知人を装っていたとしても、電話番号の提供は慎重に行うべきであり、情報の出どころには常に注意を払うべきです。
ボイスフィッシングの対応策
ここでは、日常的に取り入れられる実践的な対策を整理していきます。
知らない番号には出ない/留守電で確認する
最も基本的で有効な防衛策は、知らない番号からの電話には出ないことです。
仮に重要な用件であれば、相手は留守番電話を残したり、SMSやメールで連絡してきたりするはずです。特に非通知や見慣れない国番号からの着信には細心の注意を払う必要があります。
たとえば、短時間に複数回かかってくる電話や早朝・深夜といった時間帯の着信は、不正の可能性を疑うべきサインです。
電話をかけ直す前に正規の番号か確認する
電話を受けた際、その場で対応せずに一度電話を切り、自分で正規の連絡先にかけ直すという行動も極めて重要です。
「○○銀行の○○課の者です」と名乗る相手がいたとしても、名刺に書かれた番号や公式サイトに掲載されている窓口に直接連絡を取り直すことが、真偽を見極める上で最も確実な方法です。
このひと手間を省かないことで、偽装された通話から距離を置き、被害を未然に防ぐことが可能になります。
仮想通貨やギフトカードなどの支払い方法に注意
ボイスフィッシングの犯人は、追跡困難な決済手段を好みます。
特に仮想通貨やギフトカードでの支払いを求められた場合は、詐欺である可能性が極めて高いです。
こうした非現実的な支払い手段を提示された際には、即座に不正行為を疑い、記録を取りながら速やかに通報する判断が必要です。
社員教育と訓練でリスクを低減
企業が組織としてこの脅威に対抗するためには、社員への教育と定期的な訓練が欠かせません。
実際にボイスフィッシングを模した疑似詐欺電話訓練を実施し、社員がどのような反応を示すかを確認することで、現場の対応力を向上させられます。
社内での本人確認プロセスを整備する
最後に、社内の業務フローそのものを見直すことも有効です。
たとえば、送金依頼は必ずメールとチャットの両方で確認を取る、音声だけの指示には従わず必ず文書を伴わせるなど、本人確認の二重化・三重化を図るルールを整備するとよいでしょう。
加えて、「○○さんから電話があった」という報告を受けた際にも、必ずその場で折り返して確認するという文化を醸成することが、組織の防御力を高めるカギになります。
電話=安心ではない時代に必要な警戒心
かつて、電話は信頼できるコミュニケーション手段でした。
しかし、AIやデジタル技術の進化により、その常識は崩れつつあります。ボイスフィッシングの増加が示すように、電話も無条件に信じられる時代ではなくなりました。
今求められるのは、信頼できる情報の見極めと怪しい兆候への敏感さです。社内では通話記録の保存や確認の徹底など、体制整備が不可欠です。知らない番号には即応せず、折り返す前に正規の窓口かどうかを確認するだけでも被害のリスクを大幅に減らせます。
さらに重要なのが、情報漏洩リスクの可視化です。ボイスフィッシングの多くは、流出した個人情報や社内データから始まります。つまり、ダークウェブ上に自社や関係者の情報が出回っていないかを早期に察知・対処することが、詐欺被害の予防につながります。
弊社では、ダークウェブ監視サービスを提供しています。個人情報や機密データの不正売買を常時監視し、発見時には即報告・対応を支援。情報漏洩の被害拡大を未然に防ぎます。自社は関係ないと思っていたら、それ自体が警戒すべき兆候かもしれません。まずは無料デモで、情報流出の有無をご確認ください。
弊社はダークウェブ調査(無料)を実施しています。
こちらからお申し込みください。
