特殊詐欺やボイスフィッシングだけではない、企業の電話対応を狙う金融犯罪

近年、金融犯罪において犯罪者が狙うメインのチャネルの一つは、電子メールとSMSです。昨今、大きな問題となっているフィッシングが、まさに企業を騙ったメールやSMSで個人情報を窃取し、不正行為を働くものです。そして、フィッシング対策は大きく進展しています。メールフィルタリングや不審URL対策、多要素認証の導入などにより、電子メールやSMSを悪用した攻撃は、抑制が進むでしょう。しかし、犯罪者は常に新たなチャネルを探しています。そして、今後警戒すべきチャネルが「電話」なのです。

電話は、人が直接応対するチャネルであり、即時性と信頼性を併せ持ちます。だからこそ、被害者に電話をかけるだけでなく、企業が受ける電話も攻撃の対象になっているのです。本記事では、金融犯罪における電話の悪用に対する全体像を整理するとともに、生成AIの悪用によって今後顕在化するリスク、そして企業が取るべき現実的な対策について解説します。

なお、本記事では、いわゆる特殊詐欺（オレオレ詐欺や還付金詐欺など）は対象とせず、主に電子メールやSMSを起点とする金融犯罪において、電話がどのように悪用されていくかに焦点を当てます。これらの電話の悪用を便宜的に「電話型金融犯罪」と呼ぶことにします。

目次

電話型金融犯罪の全体像

電話型金融犯罪には、大きく分けて二つの攻撃方向があります。一つは、犯罪者が銀行やセキュリティベンダーなどを装い、被害者に電話をかけたり、かけさせたりさせる手口です。いわゆるボイスフィッシングやサポート詐欺がこれに該当します。

もう一つは、犯罪者が顧客本人になりすまして企業に電話をかける手口です。特に海外ではコールセンターに電話をかけて不正行為を行う手口が以前から発生しており、コールセンター詐欺と呼ばれています。

これらに共通するのは、「正規の会話に見える」という点です。電話はリアルタイムで会話が進むため、その場で説明を受け入れてしまいやすく、冷静に検証する時間がありません。また、日本では電話対応が業務の一部として定着しており、かつ、「電話での問い合わせ＝正当なもの」という意識が強く根付いています。

日本企業を狙う代表的な電話型金融犯罪の手口

電話型金融犯罪の代表例として、まず挙げられるのがボイスフィッシングによるネットバンキング不正送金です。銀行を騙り、「不正な取引が検知された」「至急対応しなければ口座が使えなくなる」などといった説明で不安を煽ります。最近では、ボイスフィッシングから偽サイト（フィッシングサイト）に誘導し、電話で指示しながら操作させることでワンタイムパスワードなどの法人向けネットバンキングの強固なセキュリティを突破する手口も発生しています。

次に、ITベンダーやセキュリティ会社を装うサポート詐欺があります。被害者がWebサイトを閲覧していると「ウイルス感染」などの偽の画面が表示され、被害者がそこに記載されている電話番号に電話をかけてしまうと、偽のコールセンターに繋がり、遠隔操作ソフトをインストールさせられ、認証情報や個人情報などが漏洩します。被害者が、企業の経理担当だったため、ネットバンキングを不正操作されてしまった事例も発生しています。

三つ目は、ビジネスメール詐欺（BEC）です。BECというと日本ではこれまで、もっぱらメールによるやり取りでしたが、海外では、電話を組み合わせたハイブリッド型が発生しています。具体的には、まず役員や取引先を装ったメールが届き、担当者が違和感を覚え対応を迷っていると、役員から対応を促す電話がかかってきたり、あるいは、担当者がメールに記載された連絡先へ電話をかけると、「その対応で問題ない」と説明されたりすることで、不正な指示を正当なものだと信じてしまいます。

コールセンター詐欺

コールセンター詐欺とは、犯罪者が顧客本人になりすまして企業や金融機関のコールセンターに電話をかけ、本人確認を突破することで不正な取引を成立させる手口です。海外では、以前から発生していますが、日本ではまだ発生件数が少ないこともあり、あまり知られていません。しかしながら、日本においても、既に、少ないながらも発生しており、今後、警戒すべき手口です。 代表的な例は以下の通りです。

クレジットカードの限度額引き上げ

犯罪者は既にクレジットカード情報や個人情報を入手しており、コールセンターに電話をかけて本人確認を突破し「一時的に利用額を増やしたい」といったもっともらしい理由で限度額を引き上げ、高額な不正利用を行います。

ネットバンキングにおける不正取引保留の突破

フィッシング等によって犯罪者がネットバンキングにて不正取引を行なったものの、銀行側の対策によって取引が保留された場合、犯罪者が顧客本人を装ってコールセンターに電話をかけ 、「 どうして止めたのだ」「 急いでいるので早く取引を通せ」などとクレームを行うことで、保留を解除させます。

口座の乗っ取り

犯罪者が顧客になりすまして住所変更やメールアドレス、電話番号の変更を行います。これによって口座の乗っ取りが可能となり、その後、カード再発行やATMでの出金などといった不正利用を行います。

生成AIが変える電話詐欺の前提

今後の電話型金融犯罪において、特に注意すべきなのがAIによる音声合成（ボイスクローン）の悪用です。AI音声合成を使えば、短時間の音声データから特定の人物の声質や話し方を再現できます。経営者のスピーチ動画、社内外のインタビュー、過去の電話応対録音など、音声素材は既に豊富に存在します。そのため、今後は「本人の声だから信用できる」という判断基準は成立しなくなるでしょう。

特に警戒が必要なのが、BECとの組み合わせです。生成AIによって自然な日本語メールが作成され、役員の声から合成されたAI音声が使われるようになれば、偽役員によるBECは、日本語の壁によって日本ではあまり発生していませんでしたが、この前提が崩れるかもしれません。
また、サポート詐欺の分野でも警戒が必要です。従来、日本人を狙うには日本語を話せる偽オペレーターが必要でした。しかし音声合成を使えば、日本語を話せない犯罪グループでも、日本語で応対する「偽オペレーター」を用意できます。これによって、海外の犯罪グループが日本を狙うハードルが大きく下がります。

企業が取るべき現実的な対策

電話型金融犯罪への対策で最も重要なのは、「電話は危険になり得る」という前提で業務を再設計することです。限度額変更、住所変更、取引保留の解除、カード再発行といった手続きは、不正の成立条件になり得る高リスク手続きとして扱い、口頭による簡単な本人確認だけで完結させない設計が必要です。

また、住所や生年月日などの知識で答えられる質問に依存した本人確認には限界があります。犯罪者は被害者の個人情報を把握していることを前提に考え、別チャネルでの確認や登録済み端末での承認など、攻撃者が同時に掌握しにくい要素を組み合わせることが重要です。
欧米の銀行では、こうした考え方が既に実務に落とし込まれています。高リスク手続きにおける追加認証（オペレーターによる口頭ではなく別チャネルでの認証）、回線品質の分析、音声生体認証の補助的活用、コールセンターを前提にした不正検知などを組み合わせ、単一対策に依存しない防御を構築しています。

また、技術的な仕組みを整備しても、最終的に電話対応を行うのは人です。そのため欧米では、コールセンター要員や経理・財務部門などを対象とした電話詐欺に特化したトレーニングが重視されています。
これらのトレーニングでは、BECと電話が連動した事例や、コールセンター詐欺、サポート詐欺などの疑似シナリオを用い、どこで判断を誤りやすいかを体験的に学びます。重視されるのは、詐欺を見抜く能力よりも、怪しいと感じたときに業務を止め、エスカレーションできる行動です。対象はコールセンター要員、経理・財務、管理職、秘書、他の企業から購入を行なっている職員、電話や緊急連絡を受けやすい立場の職員など、組織横断で訓練を行なっています。さらに、顧客が希望すれば対面式の詐欺行為防止トレーニングを提供している銀行もあります。

おわりに

電話は、今後も企業活動に欠かせない手段であり続けます。しかし、「電話だから安全」「声を聞けば本人だ」という前提は、もはや通用しません。「電話は危険になり得る」ことを前提に、仕組みと訓練で守ることが必要な時代がすぐそこまで来ているのです。

Fortis Vishing Trainingビッシング（Vishing）訓練

ボイスフィッシング訓練

電話を使ったフィッシング攻撃から組織を守る実践型トレーニング
https://www.grcs.co.jp/consulting/vishing