DFaaS(ディープフェイク・アズ・ア・サービス)-海外で急増する「DFaaS」被害とその対策
2024年1月、英国の大手エンジニアリング企業の香港オフィスで、ある経理担当者が15回にわたる送金を実行しました。総額およそ40億円。発端は、英国本社のCFO(最高財務責任者)を名乗る一通のメールでした。
最初は不審に思った担当者も、続いて開かれたビデオ会議で見慣れたCFOと同僚たちの姿を目にして安心し、指示に従いました。ところが、画面に映っていた全員が、AIで作られた偽物だったのです。
この事件は、私たちが直面している新たな脅威——「Deepfake as a Service(DFaaS、ディープフェイク・アズ・ア・サービス)」——の象徴です。本記事では、海外の最新レポートをもとに、その実態と対策を解説します。
目次
DFaaSとは何か
DFaaSを理解するうえで欠かせないのが、サイバー犯罪の「サービス化(as-a-Service)」という流れです。
かつて、サイバー攻撃は高度なプログラミング技術を持つ攻撃者だけのものでした。しかし近年、攻撃ツールを月額課金で貸し出す「Ransomware-as-a-Service(RaaS)」のようなビジネスモデルが登場し、技術力のない者でも本格的な攻撃ができるようになりました。
DFaaSはこの仕組みを、ディープフェイク制作の世界に持ち込んだものです。
仕組みはシンプルです。顧客は標的の画像・音声・動画クリップなどの素材と希望仕様を渡すだけ。あとはDFaaSの業者が偽物を作って納品します。一部のサービスでは、メッセージアプリ「Telegram」のチャットボットを使って、誰でも数タップで発注できるほど手軽になっています。
わずか数千円から発注可能
DFaaSの価格は、品質や模倣する人物の知名度によって大きく変わります。海外調査によると、価格帯は数百ドルから1分あたり2万ドル(約300万円)以上に及びます。
一方、低価格帯のサービスは驚くほど安価で、ダークウェブで売買される詐欺ツールは約20ドル(約3,000円)から数千ドルで入手可能で、参入障壁を劇的に下げています。
Telegramボットの台頭
DFaaS流通の中心地として急速に存在感を増しているのが、メッセージアプリのTelegramです。Telegramボットは通常のウェブサイトより削除されにくく、暗号通貨で支払えるため匿名性が高く、月額数ドルから数百ドルまで段階的なプランが用意されています。摘発されても代替ボットをすぐ立ち上げられるため、当局の対応が追いつかないのが現状です。
古くからの脅威「BEC(ビジネスメール詐欺)」とDFaaSの危険な合流
冒頭で説明した英国の大手エンジニアリング企業の事件は、まったく新しい犯罪というわけではありません。これは「BEC(Business Email Compromise、ビジネスメール詐欺)」という従来からの脅威が、DFaaSによって進化した姿といえるのです。
BECとは、経営者や取引先になりすましたメールで従業員を騙し、不正な送金や情報提供をさせる詐欺のことです。
従来のBECはテキストメールが中心でした。攻撃者は経営層や取引先のメールアカウントを乗っ取ったり偽装したりして、「至急、この口座に振り込んでほしい」といった依頼を送ります。受信者がメール文面の不自然さに気づければ、被害を防げる可能性がありました。
DFaaSが変えた「ゲームのルール」
しかしDFaaSの登場で、BECは別次元の脅威に進化しました。メール+音声+映像のすべてが偽装可能**になり、「メールが怪しいから電話で確認しよう」「念のためビデオ会議で本人に聞こう」といった従来の防御策が、ことごとく無効化されてしまうのです。
つまり、DFaaSは「BECの威力を桁違いに引き上げる増幅装置」として機能しているのです。これまで「うちはメールに気をつけているから大丈夫」と考えていた企業も、もはや安全とはいえません。
ビジネスへの影響——金銭被害だけではない5つのリスク
DFaaSの脅威は、単なる金銭的損失に留まりません。ディープフェイクは経営上の問題を引き起こすことが予想されます。
- 直接的な金銭被害:大規模送金詐欺(BECの進化形)
- ブランド毀損:偽の役員発言映像などが拡散し、株価操作や顧客信頼の失墜を招く
- 組織内の混乱:偽の社内通達や偽の経営判断指示が従業員間に流布
- 採用での悪用:リモート面接で候補者がディープフェイクを使う事例
- 生体認証バイパス:仮想カメラとフェイススワップで顔認証を欺く
企業が今すぐ取るべき防御策
「人間は見抜けない」「単一の技術検知も不完全」——では、企業は何をすべきでしょうか。対策を整理すると、次のような多層防御に収束します。
プロセス設計:必ず「別ルートで確認」する
最も即効性のある対策が、重要な指示は別の通信手段で二重確認するしくみ(Out-of-Band Verification, OOBV)です。
- ビデオ会議で承認された送金指示も、必ず事前に登録された電話番号にかけ直して確認する
- 一定額を超える送金は24~48時間の保留期間を設ける
- 「秘密の取引」「至急対応」など、確認を急がせる依頼は自動的に警告フラグを立てる
- 経営層と従業員の間で、緊急時の合言葉(コードワード)を事前に決めておく(BECとディープフェイク両方に有効)
英国の事件でも、簡単な電話確認が行われていれば被害は防げたとされています。
また、重要なことは「緊急だから」などの例外を簡単に認めないことです。
認証強化:多層的な本人確認
単独の生体認証では不十分です。
- 多要素認証(パスワード+生体認証+行動分析)の組み合わせ
- ビデオ会議中に「画面の左を向いてください」「指で顔を隠してください」など、ディープフェイクが追従しにくい動作をリクエスト
- デバイスや位置情報の信頼性チェック
検知ツールとコンテンツ証明への投資
専門の検知ツール(Reality Defenderなど)に加え、注目されているのが「C2PA」という国際標準です。これはコンテンツに「デジタルの出生証明書」を付ける仕組みで、Adobe、Microsoft、Sony、BBC、Googleなど200以上の組織が参加しています。自社の公式コンテンツにC2PA認証を付与することで、「本物」と「偽物」を見分ける手段を提供できます。
経営層と高リスク人材のダークウェブ情報を監視する
ダークウェブやSNSで自社・経営層の情報が漏れていないかを継続的にチェックし、ディープフェイクが見つかったら迅速に警戒・削除要請を出す体制を整えます。
従業員教育とシミュレーション訓練
まずはBECやディープフェイク音声フィッシングなどの手口があることを認識、次に模擬訓練を実施し、「視覚的・聴覚的証拠を信じすぎない」というメンタルモデルを浸透させることが重要です。また、不審な依頼を遅らせる権限を従業員に持たせ(警戒による対応遅れをとがめない)、心理的安全性を確保することも大切です。
FAQ
ディープフェイクは目で見れば「何となく違和感」で気づけるのではないでしょうか?
残念ながら、現代のディープフェイクに対しては、人間の目はほとんどあてになりません。「不自然なまばたき」「肌のなめらかさ」といった従来の見分け方は、最新のAIモデルでは多くが解決済みです。「気づけるはず」という過信そのものが最大の脆弱性だとお考えください。
組織として有効なのは、人間の目に頼るのではなく、「不審な依頼があれば必ず別ルートで確認する」というプロセスを習慣化することです。
うちは大企業ではないので、CEO詐欺やBECのような攻撃の標的にはならないのではないでしょうか?
その認識は危険です。理由は3つあります。第一に、安価なツールで攻撃できるようになり、攻撃者は「割に合う」案件を選ばなくなりました。第二に、中小企業はセキュリティ対策が手薄なケースが多く、成功率が高いと見られています。第三に、英国企業の事件のように、グローバル企業の地方拠点(香港)が狙われた事例が示すとおり、現場の判断プロセスが突破口になりやすいのです。
まとめ
「これは目で見たから本物だ」——この素朴な信頼が、40億円の送金を引き起こし、数十億円規模の被害を生んでいます。DFaaSの脅威の本質は、人間の認知の弱点を、産業的に大量生産するしくみにあります。
そしてDFaaSは、長年企業を悩ませてきたBECという脅威に、新たな武器を与えてしまいました。これからのサイバー攻撃は「自動化され、規模が拡大し、検知が困難」になっていきます。それに対する企業の答えは、「待つ防御から、先回りする防御へ」のシフトです。
今すぐできる対策としてはすべての高額承認に「別ルート確認」を組み込むです。
「信じる」前に「検証する」——その文化を組織に根付かせることが、これからの時代を生き抜くビジネスリテラシーになるはずです。
