生成AIを悪用した金融詐欺が巧妙化し、資産防衛の軸が技術的な防御から、本人確認や対応手順の見直しへ移りつつある。

フィンテックメディアのFinextraは14日（現地時間）、誤字脱字や不自然な文面を手掛かりにした従来型のフィッシング対策だけでは不十分になっていると報じた。生成AIの活用によって、現実と見分けがつかない水準まで詐欺の精度が高まっているためだ。

変化の中心にあるのは、不特定多数を狙う従来型のフィッシングから、個人に合わせて仕掛ける音声詐欺へのシフトだ。犯罪者はSNSに投稿された数秒の音声からでも、家族や知人の声を複製できるという。事故や逮捕、海外でのトラブルなどを装い、緊急の送金を迫る手口が典型例として挙げられた。

こうした詐欺は、技術の隙よりも先に人の心理を突く。ボイスフィッシング被害の95％は会話をきっかけに始まり、口座凍結や家族の危機といった設定で切迫感をあおられると、人は冷静な判断より反応を優先しやすくなるという。

長期間かけて信頼関係を築き、最終的に資金をだまし取る投資詐欺も主要リスクに挙げた。いわゆる「ピッグブッチャリング詐欺」は、メッセージアプリやデーティングアプリ、オンライン上の会話を通じて数週間かけて信用を得たうえで、偽の投資プラットフォームへ誘導する。暗号資産や金投資をうたうアプリの画面には大きな利益が表示されるが、出金の段階になると相手も資金も消えるという。特に退職者では、金銭的な損失に加えて精神的な打撃も大きくなりやすいとした。

主な詐欺の類型としては、AIによる音声複製、暗号資産の投資詐欺、税務・社会保障をかたるなりすまし、QRコードを悪用したフィッシング、医療保障情報の更新詐欺、ビットコイン脅迫メール、技術サポートを装うポップアップ、宅配メッセージ詐欺、公共料金の停止をちらつかせる脅迫、ロマンス詐欺などを列挙した。共通する特徴は、緊急性を強調し、秘密保持を求め、即時決済を迫る点にある。

対策としては、即時送金や秘密保持を求める連絡を危険信号として警戒する「トリプルAプロトコル」を提示した。メッセージやメールに記載された連絡先をそのまま信用しないことも重要だとしている。

基本的なデジタルセキュリティ対策の徹底も欠かせない。パスワード管理ツールを使ってアカウントごとに異なる複雑なパスワードを設定し、多要素認証を必ず有効にすることが求められる。セキュリティ更新を先送りせず、特にセキュリティパッチの提供を受けられない5年以上前の端末は、買い替えを検討すべきだとした。

金融の専門家に求められる役割も変わりつつある。資産を増やすことだけでなく守ることの重要性が高まっており、顧客が恥ずかしさから詐欺の疑いを隠さず、安心して相談や申告ができる環境を整える必要があるという。異変の兆候を早期に共有できれば、被害拡大の抑制につながるとの見方を示した。

今回の警告は、生成AIが金融詐欺の巧妙さと説得力を一段と高めている点に焦点を当てたものだ。電話やメッセージ、メールの内容だけを信じて対応するやり方は、もはや十分ではない。資産を守るには、技術対策に加え、本人確認と対応手順そのものを見直す必要がある。