企業を狙うボイスフィッシングとは？巧妙化する詐欺の手口と対策を徹底解説

フィッシング詐欺の手口はますます巧妙化しており，現在でも被害が後を絶たないということを前回のコラムにて解説いたしました。

しかしフィッシング詐欺の手口はメールやSNSだけではないのです。
最近ですと，『ボイスフィッシング（音声フィッシング）』といった手口による被害も増加しています。
そしてボイスフィッシングでは企業の法人口座を狙うパターンが多いようです。
今回は，企業を狙うボイスフィッシングの手口やその対策について解説してまいりたいと思います。

ボイスフィッシングとは？

“ボイスフィッシング（Voice Phishing）”とは、電話や音声を使って個人情報や金銭を騙し取る詐欺の一種です。
詐欺師が金融機関や公的機関の職員、企業の担当者などになりすまし、相手に不安を煽ることで機密情報や振込を誘導します。

もともとは個人を狙った手口が主流でしたが、近年では企業をターゲットとした高度なボイスフィッシングが増加しています。
とくに生成AIの発達により、経営者や幹部の「声」を模倣したディープフェイク音声による詐欺が現れ、従業員が信じ込んで社内情報を渡したり、不正送金に応じたりする事例が相次いでいます。

なぜ今企業が注意する必要がある？

働き方の多様化に伴い、私用スマートフォンや在宅環境での業務機会が増えたことも、攻撃のリスクを拡大させる要因のひとつと考えられています。
業務中にかかってくる不審な電話に対し、正しい問い合わせか判断がつかず、対応してしまうケースも見られます。
情報漏洩や金銭的損失だけでなく、取引先や顧客からの信頼を損なうリスクも大きいため、企業にとっては決して他人事ではありません。
ボイスフィッシングは“音声によるサイバー攻撃”の一形態であり、セキュリティ対策の一環として組織的に対応すべき脅威となっています。

企業を狙ったボイスフィッシングの事例

ボイスフィッシングは、すでに多くの企業に被害を及ぼしています。ここでは、実際に報告されている代表的な事例を紹介します。

事例1

２０２４年１１月、とある企業に電話がかかり、社長そっくりの声で「緊急の企業買収事案がある。指定口座に今日中に送金してほしい。弁護士に連絡させる」と指示された。発信者番号が社長の携帯番号だったため，担当者は当初詐欺と気づかなかったが，送金を急かす連絡が何度もきたことから不審に思い，ボイスフィッシングであることが発覚した。
後に調査で、社長の音声は動画サイトで公開されており，そこから音声データが収集されていた可能性が指摘された。

事例2

企業の経理担当者宛に，実際に取引を行っている金融機関から自動音声の電話があったた。
自動音声で「口座情報の更新が必要のため，ボタンを押してください」と流れたため担当者が，ボタンを押したところ，金融機関職員を名乗る男性に繋がった。
男性の指示に従い，経理担当者はメールアドレスを伝えたところ，金融機関の偽サイトのURLが送信された。担当者は偽サイトであるということに気づかなかったため，サイト内で法人口座のネットバンキングのログイン情報を入力し送信してしまった。
その結果，企業の口座から資金が流出するといった被害が発生した。

企業でボイスフィッシング被害が発生するとどうなる？

ボイスフィッシングの被害は、単なる金銭的損失にとどまりません。企業にとっては業務の中断、顧客からの信用喪失、法的なリスクまで、複数の重大な影響を及ぼします。

機密情報・顧客情報の漏洩リスク

多くの企業では、電話対応の場面で社内システムや顧客情報にアクセスすることが少なくありません。
不審な電話を信じて、ログイン情報やアクセスコード、顧客データなどを口頭で伝えてしまえば、重大な情報漏洩につながります。
特に個人情報保護法の遵守が求められる現在、漏洩の事実が明るみに出た場合の社会的責任は非常に大きいと言えます。

不正送金や社内資産の損失

ディープフェイク音声を使って経営陣や上司を装うボイスフィッシングでは、実際に振込が実行されてしまう事例が相次いでいます。
特に承認プロセスが簡略化されている部署や少人数で業務を回している現場では、「急ぎの依頼」だと判断し、確認なしに送金してしまうことも。また、セキュリティソフトや外部サービス契約への偽装請求など、巧妙な金銭詐取も発生しています。

社会的信用の失墜・ブランド毀損

万が一、被害が公になると報道やSNSで企業名が拡散され、レピュテーションリスク（評判リスク）に直結します。
「情報管理が甘い企業」という印象は、取引先や顧客の離反を招き、結果的に業績にも影響を与えかねません。
特にBtoBビジネスにおいては、信用こそが最大の資産です。

ボイスフィッシングの見分け方とその対応

巧妙化が進むボイスフィッシング被害を防ぐには、現場の従業員一人ひとりが**「不審な電話」に気づき、適切に対応できること**がカギとなります。ここでは、よくある手口の特徴と、万一電話を受けたときの初動対応のポイントを解説します。

見分け方①：「緊急性」や「至急対応」を強調する

詐欺の多くは、「今すぐ対応しなければ損害が出る」「〇時までに振込が必要」といった時間的プレッシャーを与える手口を使います。冷静に考える余裕を奪い、誤った判断を引き出すのが狙いです。
こうした「急かす言い回し」は、最初に疑うべきポイントです。

見分け方②：名乗る肩書・組織名を過信しない

「社長」「情報システム部門」「取引先企業名」を名乗っていたとしても、音声での本人確認は実質不可能です。
詐欺師は名刺や社内名簿などの情報を入手しているケースもあり、“知っている名前”を出されたからといって信用するのは危険です。

見分け方③：AI音声や自動音声の違和感に気づく

AIによる偽音声は非常にリアルですが、わずかな間の取り方や、イントネーションの不自然さがヒントになることもあります。
特に「会話のキャッチボール」が成立しない電話は注意が必要です。

初動対応のポイント

1. 一度電話を切り、「正規ルート」で確認する
   　→ 直属の上司や本人にメール・社内チャット等で確認を取る
2. 個人情報や認証情報は電話で絶対に伝えない
   　→ たとえ相手が社内関係者を名乗っていても、口頭確認は避ける
3. 不審な電話は社内に即共有・記録を残す
   　→ 通話日時、相手の話し方、内容などを簡単にメモして報告
4. 録音や着信履歴を活用する
   　→ 音声ログがあると被害防止・調査対応に役立つ

“おかしいな”と思ったら、その直感が正解であることは少なくありません。
個人ではなく「組織として疑う」仕組みが、被害を未然に防ぐ最善の武器となります。

被害を未然に防ぐための対策は？

ボイスフィッシングの被害を防ぐには、社員一人ひとりの意識向上と、企業としての仕組みづくりの両輪が欠かせません。以下では、企業が実践すべき具体的な対策を段階別に紹介します。

社員への啓発・教育を徹底する

最も基本でありながら効果的なのが、全社員を対象とした定期的なセキュリティ教育です。
eラーニングや朝礼での注意喚起、社内報での事例紹介などを通じて、「ボイスフィッシングは誰にでも起こりうる」と意識させることが重要です。
特に新入社員や業務委託スタッフへの教育漏れを防ぐ仕組みが求められます。

「電話だけでの指示」を禁止する社内ルールづくり

例えば、「電話や音声のみでの送金指示は無効」「上長の依頼は必ず文書（メール・チャット）で再確認」といったルールを明文化することで、社員の判断を助けることができます。
形式的なルールではなく、現場で運用しやすい仕組みに落とし込むことが重要です。

通話録音や着信履歴の管理体制を整備する

コールセンター部門や対外窓口を持つ企業では、通話内容の自動録音や発信履歴の保存を行うことで、万が一の際に証拠として活用できます。
また、外線対応のガイドライン（例：本人確認のための再質問ルールなど）を用意しておくと、現場レベルの判断力も上がります。

不審通話の社内通報窓口を設置する

現場で「この電話、怪しいかも…」と感じたときにすぐに報告できる窓口や連絡チャネルを明示しておくことで、被害の拡大を防げます。
特別な部署でなくとも、情報システム部門や総務部などが窓口役を担うだけでも効果的です。

まとめ

ボイスフィッシングは、技術の進化によりその手口がますます巧妙化しています。
「電話だから安心」「聞き慣れた声だから信頼できる」という常識はもはや通用しません。
その一方で、ボイスフィッシングは決して防げない脅威ではありません。
電話を受けた個人が一瞬でも“疑う”ことができれば、ほとんどの詐欺はそこで食い止められます。
つまり、セキュリティ対策において最も大事なのは、社員一人ひとりの「疑う力」。そしてその力を支えるのが、企業としての教育・ルール・仕組みづくりです。

被害に遭ってからでは遅く、取り返しのつかない損失や信頼の低下を招くこともあります。だからこそ、平時の今こそが、最も有効な対策のタイミングです。
経営層から現場のスタッフまでが同じ意識で「声のなりすまし」に備える体制を整えましょう。
小さな「違和感」に気づく力が、会社と顧客の未来を守ります。