ディープフェイク音声でCEOを偽装、$25Mを送金させた香港事件の全容

事件の概要

2024年1月、香港に拠点を持つ英国エンジニアリング大手Arupの現地法人で、ディープフェイク技術を使った詐欺事件が発生した。

財務担当者がビデオ会議に参加したところ、画面にはCFO（最高財務責任者）を含む複数の同僚が映っていた。CFOから「機密の取引のために送金が必要」と指示を受け、合計**HK$2億（約$25.6M、約37.5億円）**を15回に分けて5つの香港の銀行口座に送金した。

画面に映っていた「同僚」は全員AIが生成したディープフェイクだった。

なぜ騙されたのか

• ビデオ会議の映像はリアルタイムのディープフェイクで生成されていた
• 音声もAI音声クローニングで偽造されており、本人の声と区別がつかなかった
• 事前にフィッシングメールで「機密取引」の文脈が作られていた
• 財務担当者は不審に思ったものの、ビデオ会議で「本人」を確認したことで安心してしまった

香港警察によると、犯人は公開されている動画や音声データからディープフェイクを生成したとみられている。

AI音声クローニングの現状

この事件が象徴するのは、数秒の音声サンプルから本人を再現できる技術が実用レベルに達したということ。

• 電話銀行の本人確認（ボイス認証）を突破するリスクが顕在化している
• 生成AIによるフィッシングメールは文法的に完璧で、従来の「誤字脱字で見抜く」手法が通用しない
• ビデオ会議のリアルタイムディープフェイクは、静止画の合成よりはるかに高度だが、すでに実行可能

防御策として報じられていること

• 送金指示は必ずビデオ会議以外のチャネル（電話の折り返し、対面確認等）で再確認する
• 「機密だから他の人に確認しないで」という指示自体を警戒する
• 社内の送金承認プロセスに複数人の承認を義務付ける

但し書き

• 本記事はCNN、Guardian、South China Morning Postの報道に基づく
• Arupは2024年5月に事件を公式に確認した
• 犯人は2024年6月時点で逮捕されていない（香港警察の捜査は継続中と報じられている）
• ディープフェイク技術の進歩速度は速く、本記事に記載の防御策が将来も有効である保証はない
• 記事中の為替レートは概算