中小企業を狙うボイスフィッシング - 経営者が今すぐ見直すべき内部統制とは

 「銀行からの電話だと思ったら詐欺だった」

そんな事件が、今や企業でも起きています。
近年増えているのが、電話や音声を使って企業をだます 「ボイスフィッシング」 です。
AIによる音声合成技術の発達により、社長や取引先の声を模倣することさえ可能になり、詐欺の手口は急速に高度化しています。
しかし、この問題は単なるITセキュリティの話ではありません。
多くの場合、被害の背景には 業務ルールや内部統制の弱点 が存在しています。
今回は実際の事例を踏まえながら、中小企業が取るべき実践的な対策を整理してみたいと思います。

ボイスフィッシングとは
ボイスフィッシングとは、電話などの音声を利用し、銀行や取引先などの関係者を装って情報や資金をだまし取る詐欺手法です。
従来のフィッシング詐欺はメールや偽サイトが中心でしたが、最近は 電話による心理的誘導 を組み合わせた手口が増えています。
声は相手を信用させやすく、企業の業務連絡とも親和性が高いため、企業が狙われやすいのが特徴です。

実際に起きた企業被害

①山形鉄道の偽電話詐欺
山形鉄道では、銀行を装った自動音声の電話をきっかけに、偽の銀行員がネットバンキングの更新を案内しました。
その後、誘導された偽サイトにログイン情報を入力した結果、約1億円が送金される被害が発生しています。
銀行からの連絡という日常的な業務を装った点が、この詐欺の巧妙さと言えるでしょう。

②AIによる「社長の声」の偽装
さらに海外では、AIでCEOの声を再現し送金を指示する詐欺も発生しています。
日本の大手メーカーでも同様の未遂事件が報告されています。
電話を受けた幹部が違和感に気づいたことで、被害は未然に防がれました。
この事例は、「声だけでは本人確認ができない時代」に入りつつあることを示しています。

診断士の視点で見る問題の本質

ボイスフィッシングはサイバー犯罪ですが、経営の視点で見ると本質は 内部統制の弱点 にあります。
特に次の3つが重要です。

①送金プロセスの統制不足
1人の判断で送金できる仕組みは、詐欺に対して非常に脆弱です。

②確認ルールの曖昧さ
電話での指示をそのまま受け入れてしまう業務慣行は危険です。

③心理的安全性の不足
「確認したら怒られる」という組織では、違和感を共有できません。

つまり、この問題は
ITの問題というより、組織マネジメントの問題でもあるのです。

中小企業が取るべき対策

⒈ 送金の内部統制を整備する
まず重要なのは送金プロセスの見直しです。
例えば次のようなルールです。
・送金は複数人承認
・高額送金は別経路で確認
・担当者任せにしない
いわゆる ダブルチェック体制 を作ることが基本です。

⒉ 「電話だけで決めない」ルール
詐欺の多くは、電話で緊急性を演出して判断を急がせます。
そのため
・電話だけで送金判断をしない
・既存の連絡先に折り返し確認する
・普段と違う連絡手段には警戒する
といった 業務ルールの明確化 が有効です。

⒊違和感を共有できる組織
実際に詐欺を防いだケースでは、
担当者の「何かおかしい」という直感が決め手でした。
そのためには
・怪しいと感じたら報告する
・確認行動を評価する
・早期相談を促す
といった心理的安全性のある組織文化が不可欠です。

まとめ

ボイスフィッシングは、今後さらに巧妙化していくでしょう。
しかし多くの被害は、内部統制の隙を突かれて発生しています。

重要なのは
「人を疑うこと」ではなく
「仕組みでミスを防ぐこと」です。

送金ルールや確認プロセスを整備することは、サイバー対策であると同時に 企業ガバナンスの強化にもつながります。
この機会に、自社の業務ルールを一度見直してみてはいかがでしょうか。

  出典：「山形鉄道」1億円の被害 ボイスフィッシング詐欺の被害として山形県内最大規模か2025年3月12日
URL：https://news.ntv.co.jp/n/ybc/category/society/yb54c87f03cb214fae8f85d11063b1a686
  出典：「AI悪用か、社長の偽音声で指示 部下に電話、不正送金命じる」2025年3月19日
URL：https://news.yahoo.co.jp/articles/5348195015828b041fc662eb9b450e8256a88f9d