Insight
2025年8月14日
今日の“自社を装うなりすまし”は、検索広告や偽LPにとどまらない。TikTok/Instagramの偽アカウント・偽広告、メッセンジャーのDM、そして音声クローンによるAI電話まで横展開している。米FTCは2024年の詐欺損失が125億ドルで過去最大、オンライン経由が急増と報告。米FCCはAI生成音声ロボコールを違法通話として明確化、英Ofcomは海外発CLIなりすましのブロックを通信事業者に求めるなど、**“通信の側からの締め付け”**も進む。ゆえに対応は情シス単独では完結せず、法務・広報・CSを束ねた全社運用が前提だ。 ヤグラの立場(ポジション) 生成AIによるサイバー攻撃は今後ますます高度化し、攻撃コストの低下によって試行回数は指数関数的に拡大する。防御に生成AIを活用できない企業は淘汰リスクが高まる。株式会社ヤグラは、この構造変化に正面から対峙し、「運用×AI」で企業防御力を底上げする。 本レポートでは、クローリングやOSINTで武装する攻撃者の実像を整理し、ドメイン・SNS・電話の“チャネル横断”で機能する対策を提案する。最後に、経営判断に直結する運用SLAと**周知(顧客教育)**の要点を示す。
1. 現代のなりすましの環境(SNS・AI電話・ドメイン)
攻撃者はまず、公開WebやSNSからブランド資産をクローリングする。ロゴ、役員名、採用情報、イベント写真、地名・役職名などを収集し、OSINTで文脈を補強。そこから偽プロフィール/偽LP/偽コールスクリプトを量産し、TikTokやInstagramで広告・ショート動画・ライブ配信として拡散する。外形的な“公式らしさ”と物量で、利用者の認知ギャップに入り込む。四半期観測で100万件超のフィッシング常態化、**QR(Quishing)**の誘導も目立つ。
AI電話の悪用はSNS/偽LPと連動すると強力だ。
例:SNSの偽広告 → アプリ内DM → “本人確認”を装うAI電話 → SMSリンク → 偽ドメインでKYC提出。こうした多段のソーシャルエンジニアリングが一般化している。英国の大手エンジニアリング企業Arupでは、ビデオ会議型ディープフェイクで約2,500万ドルの損失が発生。音声・映像の“らしさ”だけでは意思決定を担保できない現実が露呈した。
ドメイン面では、タイプミスや接頭・接尾語で正規風URLを作るタイポ/コンボスクワッティングが継続。TLS証明書やCDNで**“見かけの安全性”を演出されると、一般利用者に高度な見分けを要求してしまう。SNS起点→偽ドメイン着地という媒体連携**が、被害の裾野を広げている。
ヤグラの見立て
攻撃側は生成AIでの量産・最適化により、“速く・安く・巧妙に”を同時達成。ここに対抗するには、守りもAI駆動で“広さ・速さ・反復”を実装する以外にない。
2. なりすましが企業にもたらす悪影響(ブランド・財務・規制)
(1) ブランド毀損
偽広告は短時間で大量インプレッションを稼ぎ、“公式っぽい”既成事実を醸成する。UK Finance 年次報告(2025)は、2024年の詐欺被害総額10億ポンド超、件数は前年増を整理し、ソーシャルメディア起点の詐欺継続を示唆。
(2) 直接の金銭損失
Arup事案のように、本人らしく見える音声・映像の圧力が、送金や承認を誤らせる。二経路検証がなければ高額被害に直結。
(3) 規制・風評リスク
日本の金融庁(2025)は、証券会社を装う偽サイトや不正取引の急増を踏まえ、注意喚起・被害開示・強固な認証の徹底を要請。増勢トレンドを放置すれば、監督当局・投資家の信認低下に直結する。
3. なりすまし対策の方法(経営・情報システム・広報の三位一体)
3-1. ドメイン起点の技術対策を“強制力”で回す
SPF/DKIM/DMARCはメールなりすまし抑止の土台。Google/Yahooは2024年から大量送信者にDMARC実装・ワンクリック退会・スパム率0.3%未満を要求し、未達は到達率に直撃。最終的に**「p=reject」**を目指す。
BIMI(VMC/CMC)でロゴの正当性を可視化。
防衛的ドメイン戦略:主要TLDと典型的タイプミスを先回り登録。CTログ監視や類似ドメイン検出で新規偽装URLを早期捕捉。SNS広告に紐づく着地URLは常時監視に含める。
3-2. SNS運用:TikTok/Instagramで“攻めの守り”
公式アカウント認証(青バッジ)は“地固め”。TikTokは認証バッジ・なりすまし報告導線を公開、MetaはBrand Rights Protectionを強化。
広報・法務・情シスの合同SLAで、発見 → 証跡確保 → 申立て → 削除 → 再発防止を日次運用に落とす。
**周知(顧客教育)**はSNSでやり切る。
固定投稿/プロフィールに正規ドメインを明記。
「当社はDMで入金情報を求めない」など重要ポリシーを常設。
通報フォームへの導線を常備。
これは広告最適化ではなく、被害最小化のUX設計である。
3-3. 電話チャネル:AI電話を前提に“仕組み”で止める
音声・映像の“らしさ”は証拠にならない。米FCCはAI音声ロボコールを違法通話として扱い、英Ofcomは海外発CLIなりすましの遮断を事業者に求めた。
企業側は、
既知回線へのコールバック、
コードワード運用、
高額・緊急依頼の二経路承認を規程化。
コンタクトセンターでは音声単独で本人性を確定しない運用を義務化する。
3-4. 防御のAI化(ヤグラが支援する運用要件)
自動クローリングで偽広告/偽アカウント/類似ドメインを横断検知。
生成AIベースの判定で“公式らしさ”の特徴(ロゴ流用、テキスト類似、誘導パターン等)をスコアリング。
SLA連携:検知→証跡化→申立て→削除のリードタイム短縮をダッシュボードで可視化(例:偽広告検知件数、削除までの時間、偽ドメイン検出、通報件数)。
顧客教育テンプレート(固定投稿/専用ページ)を半恒久的コンテンツとして運用し、常に最新版へ。
ヤグラのコミットメント
当社は“守りのAI化”を標準化し、広く・速く・繰り返す運用を定着させる。プロセスの自動化と横断SLAで、ブランド保全を経営KPIとして回す。
結論:運用で勝つ——“広さ・速さ・反復”をAIで担保する
要点は3つ。
なりすましはSNSとAI電話に拡大し、ドメイン単独では防げない。だからこそDMARC/BIMI等の基盤整備に加え、TikTok/Instagramの公式ツールを日次運用に組み込む。
周知(顧客教育)を常設のプロダクトと見立て、固定投稿・専用ページ・通報導線で習慣的に伝える。
AI電話を前提にコールバック/二経路承認を制度化し、音声・映像の“らしさ”に頼らない意思決定を徹底する。
そして、生成AI攻撃は確実に高度化し、コスト低下により数は指数的に増える。防御側も生成AIを取り込まなければ、いずれ淘汰される。偽アカウントや偽広告は毎日生まれ、偽ドメインは毎週増える。完璧な撲滅はできないが、検知→削除のリードタイムを縮め、正規ドメイン/公式アカウントの周知を常に最新に保つことで、被害は確実に減らせる。規制の網(FCC/Ofcom)が狭まる今こそ、広く・速く・繰り返す。この基本をAIで支える運用を愚直に続ける企業だけが、ブランドを守り抜ける。ヤグラはその実装を伴走する。
参考・出典
FTC:2024年の詐欺損失は125億ドル。オンライン起点の損失が拡大。
FCC:AI生成音声のロボコールを違法通話として明確化(Declaratory Ruling)。
Ofcom:海外発のCLIなりすましの遮断を事業者に要求(強化ガイダンス)。
APWG:2025年Q1のフィッシング100万件超、QR悪用の拡大。
UK Finance 年次報告(2025):10億ポンド超の被害、件数増。KPMG分析。
金融庁(2025):偽サイト・不正取引の急増、注意喚起と強固な認証の要請。
Arup事案:ビデオ会議型ディープフェイクで約2,500万ドル流出。
