生成AI詐欺・なりすまし対策2026

• AI

中小企業にとって2026年の生成AIリスクで一番痛いのは「情報漏えい」より先に、送金・契約・アカウントが“なりすまし”で奪われることです。生成AIは詐欺の成功率を上げるというより、詐欺の量産と精度向上を同時に進めます。

この記事は「未来予測」ではなく、社長が今日から決められる運用ルールに落とします。

この記事の要点

• “生成AIなりすまし”は、見抜くより手続きで無効化するのが正解
• 被害の中心は「緊急」「権威」「別チャネル移動」「送金先変更」
• 対策は3層（人・プロセス・技術）。特にプロセスが効く

2026年に増える「生成AI詐欺」の典型パターン

パターン1：社長・役員の音声なりすまし（CEO詐欺の強化版）

短い音声サンプルから声を合成し、「今すぐ振り込め」「外部に漏らすな」といった指示を作れます。社長視点の怖さは「声が本人っぽい」ことよりも、社内の送金手続きが“口頭の一言”で動く会社が狙われる点です。

パターン2：ビデオ通話で“公的機関”を装う（なりすまし＋心理圧迫）

ビデオ通話で取調べを装い、金銭要求や脅迫に至る手口が問題になっています。生成AIの顔合成・字幕・偽書類が乗ると、現場はさらに判断が遅れます。

パターン3：取引先・士業になりすます「送金先変更メール」（BEC）

ビジネスメール詐欺（BEC）は昔からありますが、生成AIで「日本語の精度」「文体の寄せ」「業界用語」「過去メールっぽさ」が上がります。請求書PDFの口座欄だけを見て処理する会社ほど危険です。

パターン4：本人確認（KYC）突破の“偽身分証・偽顔”

金融領域では本人確認や認証を回避する目的で、偽造身分証・画像・動画が使われ得ます。中小企業でも、法人口座・カード・EC・決済、採用（本人確認）などで同型の問題が起きます。

パターン5：仮想誘拐（“証拠画像”でパニックを作る）

SNS等の写真を改変して“生存証明”のように見せ、身代金を要求する手口があります。特徴は「今すぐ払え」「分析する時間を与えない」。会社でも「社員が拘束された」「現場で事故」など、同じ“緊急演出”が起きます。

見抜こうとするほど負ける理由

結論から言うと、ディープフェイク検知を現場の判断に期待するのは危険です。検知は重要ですが、経理・総務が毎回“鑑定士”になるのは現実的ではありません。

だからこそ、個人の勘ではなく、組織の手続き（プロセス）で潰すべきです。

中小企業が持つべき「生成AI詐欺に強いルール」10個

ここからが本題です。社内ルールは難しくしません。送金・アカウント・契約の3領域だけ固めます。

1）送金は「二経路確認」を必須にする

社長の電話・チャットだけで送金しない。必ず以下をセットにします。

• 送金依頼の受領チャネルとは別チャネルで確認（例：メールで来たら電話で確認）
• “いつもの番号”へコールバック（相手が提示した番号にかけない）

2）口座変更は「確認完了まで凍結」

取引先の口座変更は、変更通知が来ても即反映しない。

• 登録済みの連絡先に折り返し
• 請求書PDFの口座欄だけで判断しない（改ざんが早い）

3）「緊急」「秘密」「今すぐ」は全部フラグ

詐欺は時間を奪って判断力を落とします。緊急を名乗る依頼ほど一段階承認を増やす、と決めておくのが安全です。

4）役員の依頼でも“例外なし”を宣言する

社長が最初に宣言すべきことはこれです。

• 「私の指示でも、手続きを飛ばすな」

これがない会社は、現場が“社長の機嫌”を優先し、詐欺が通ります。

5）合言葉（コードワード）を「社内用」に作る

送金や緊急指示の確認に使える短い合言葉を用意します。

• 定期変更する
• 共有範囲は最小にする（必要な人だけ）

6）“別アプリへ移動”要求は原則拒否

仕事の依頼で「こっちのアプリで話そう」「このリンクで確認して」は原則拒否し、既知の連絡経路で再確認します。

7）社外からの請求・見積は「発行元の真正性」から見る

最低限の整備は効きます。

• メール認証（SPF/DKIM/DMARC）の整備
• 取引先の請求書送付ドメインを事前に確認しておく

※IT担当がいない会社ほど、外部の支援会社に任せる方が事故が減ります。

8）本人確認が必要な手続きは、動画・音声だけで決めない

採用、口座、支払い、重要システムの権限付与などは、複数要素（書類＋対面、既存番号への折返し等）に寄せます。

9）事故が起きた時の「初動」を1枚にする

被害を拡大させないために、最低限これだけ決めます。

• 送金済みなら即時に銀行・決済・取引先へ連絡（取り戻せる時間が短い）
• メール・チャット・通話履歴・請求書PDFを保全（削除しない）
• 社内の報告窓口を一本化（現場がバラバラに動かない）

10）年2回、5分のロールプレイを回す

大掛かりにせず、次の2本だけで十分です。

• 「社長を名乗る緊急送金」シナリオ
• 「取引先の口座変更」シナリオ

生成AI詐欺を前提にした社内フロー例

緊急送金が来た時の手順

1. 依頼内容をテキスト化（誰が、いくら、いつまで、振込先）
2. 依頼チャネルとは別チャネルで、登録済み連絡先にコールバック
3. 合言葉確認（失敗なら中止）
4. 金額しきい値で承認追加（例：10万円以上は2名承認）
5. 実行前に送金先口座名義を再確認
6. 記録を残す（後で揉めるのはここ）

口座変更メールが来た時の手順

1. 変更依頼は即反映しない（最低でも当日処理禁止）
2. 既知の番号で確認、変更理由と発行書類の整合性を確認
3. 次回の少額テスト送金（可能なら）
4. 取引先マスタ更新は1名が行い、別の1名がレビュー

どこまでやれば十分か（現実的な落とし所）

結論は、「検知」より「プロセス固定」です。中小企業がまず守るべきは次の3点だけでも効果が大きいです。

• 送金の二経路確認（コールバック）
• 口座変更の凍結＋登録先確認
• 合言葉（社内版）

この3点は、AI音声・AI動画・文章の巧さに関係なく、詐欺を成立しにくくできます。

まとめ：2026は「なりすまし前提」で経営を守る

生成AIが絡む詐欺は、今後「人の弱点（緊急・権威・恐怖）」を突く方向に伸びます。社長がやるべきことは「見抜けるか」ではなく、見抜けなくても被害が起きない手続きを作ることです。

もし「うちは口頭で送金が動く」「口座変更がメールだけで通る」と感じたら、まずは現状フローの棚卸しから着手してください。