AIボイスフィッシングを成立させているのは声質ではなくスクリプト

電話がかかってくるのは金曜日の午後4時40分です。声の主は上級マネージャー、あるいはそれに近い人物で、フライトの前にパスワードのリセットが必要だと言います。彼女は礼儀正しく、急いでいて、バッジ番号の下4桁も把握しています。

ハーバード・ケネディスクール、Meta他の研究者たちは、6つの商用音声システムと人間の発信者を対照群として用い、米国の成人4,100人を対象にこの瞬間を再現する実験を行いました。その結果は、ディープフェイク検知技術の購入を検討している人にとっては微妙な着地点となっています。

Image

検知率という蜃気楼

合成音声を人々に聞かせれば、たいていの場合はそれを見抜きます。70.3%という数字は、有効な防御策のように見えます。しかし、同じ人々が本物の発信者に対してどう反応したかを見ると話は変わります。人間の声を機械と誤って判定した割合は3回に2回にのぼりました。一見「検知能力」に見えるものの正体は、電話の相手は誰でもロボットかもしれないと決めてかかっている人々の集団に過ぎません。疑いの目は強まっていますが、正確さは向上していないのです。

消費者がAIに触れた経験は、何の役にも立っていませんでした。AIツールを日常的に使う人のスコアは、AIに触れたことのない人とほぼ同じで、音声アシスタントの利用者のスコアも他の人々と大差ありませんでした。いずれの差も誤差の範囲内に収まっています。

この結果は、詐欺対策チームがすでに支払っている代償を裏付けています。銀行やヘルプデスク、セキュリティオペレーションセンターからの正規の発信電話はすべて、見知らぬ発信者を合成音声だと疑ってかかるよう仕込まれた相手にかけることになります。コールバックによる本人確認は、双方向で難しくなっているのです。

説得力がものを言った

この研究では、発信者ごとに感情の傾向、説得力、信頼性、人間らしさという4つの要素を測定しました。そのうえで、どの要素が相手の要求への服従を予測するかを検証しました。

人々を動かしたのは説得力でした。この尺度が1段階上がるごとに、要求に従う確率は2.58倍に高まりました。人間らしさが声にどれだけ感じられるかは、他の要素を考慮に入れると、もはや意味を持ちませんでした。あらゆる検知ベンダーが売りにしているまさにその要素が、実は独自の効果を何も発揮していなかったのです。

AIの声だと見抜かれても、それでも人々は説得されてしまいました。発信者の声が合成音声のように聞こえ、そう判定されたとしても、クレジットカードのセキュリティコードを持ち去られてしまうことがあります。説得しているのは声ではなく、スクリプトだからです。

定性インタビューの参加者たちも、同様のことを語っています。ある参加者は発信者を「プログラマーが与えたものをただ繰り返しているソフトウェアのようだ」と表現しながらも、それでもやり取りを続けてしまったと述べています。また、早口で不安定な話し方を聞いて、緊張しているコールセンターの担当者だと解釈した人もいました。

服従率の数字は慎重に読む必要がある

5つの詐欺シナリオ全体では、約16.5%の人が「要求に従う」と回答しました。「親族が困っている」という詐欺のバージョンでは36.1%まで上昇しており、これはあらゆる見出しが飛びつきそうな数字です。

ただし、ここには落とし穴があります。この2つの数字はどちらも、「はい」と答えた人と「たぶん従う」と答えた人をひとまとめにしています。クローン音声のシナリオを分解してみると、実際に「はい」と答えたのはわずか6.5%でした。残りは単に迷っていただけなのです。

とはいえ、迷いも詐欺においては重要な意味を持ちます。電話を長引かせることができれば、発信者には二度目のチャンスが生まれるからです。国民の3分の1がすぐに送金に応じるかのように扱うのは、実際の測定結果を読み違えていることになります。

この研究に基づいて社内向けの報告資料を作る際には、さらに2つの留保事項を盛り込むべきです。参加者たちが評価したのは、他人にかかってきた電話の録音であり、電話の呼び出し音もアドレナリンの分泌もない状態でした。クローンされた声は参加者の誰も知らない研究者本人のものであり、「自分の娘の声がクローンされる」という悪夢のようなシナリオは検証されていません。

研究チームはまた、録音を編集し、AIモデルによる拒否応答や免責事項、話者交代を示すビープ音を取り除いています。オープンウェイトのシステムはもともとそうした挙動を示しますが、ロックダウンされた商用APIは、これらのサンプル音声が示唆する以上に、攻撃者の行く手に多くの障壁を設けています。

経済性の議論には注釈が必要

この論文は、人間が行うビッシング(音声フィッシング)を米国の時給34.55ドルという想定で試算し、赤字になると結論づける一方、AIモデルを使えば1時間あたり数ドルの利益が出ると弾いています。しかし、この前提は攻撃者が米国の賃金水準で人を雇うという想定に立っています。

東南アジアの組織的な詐欺集団は、はるかに低い労働コストで何年も前から音声詐欺を大量に実行してきました。つまり、ビッシングはAI以前から採算の合う手口だったのです。AIがもたらす変化とは、言語・人員配置・地理的制約という障壁を取り払うことであり、これは別の主張であり、より説得力のある主張です。

論文で示されている利益率は非常に薄く、想定している転換率(コンバージョン率)が少し変わるだけで、黒字と赤字の符号が逆転してしまうほどです。この論文が示す方向性は妥当だと捉えつつも、小数点以下の数字は参考程度に受け止めるべきでしょう。

対策をどこに向けるべきか

ロボットらしい音声の特徴を聞き分けるよう教える意識啓発トレーニングは、そもそも人々が持ち合わせていないスキルを教えようとするものであり、いずれにせよ役に立たないスキルを教えていることになります。今回のエビデンスが指し示す方向は、それとは別のところにあります。

ここで効果を発揮するのは、帯域外(アウトオブバンド)による本人確認です。組織側があらかじめ把握している番号へのコールバック、親族が困っているという詐欺に備えた家族間の合言葉、音声認識以外の手段によるヘルプデスクでの本人確認、そして発信者からの一本の電話だけではリセットや送金、認証情報の変更を絶対にトリガーできないよう設計された手順です。

翻訳元: https://www.helpnetsecurity.com/2026/07/17/research-ai-voice-phishing/

ソース: helpnetsecurity.com