ディープフェイク時代、揺らぐ視覚証拠とAI鑑識の新社会防衛線

目視検証が崩れるAI映像時代の入口

生成AIが作る画像、動画、音声は、もはや「違和感を探せば見抜ける」という段階を過ぎつつあります。かつて写真の改ざんは、影の向き、輪郭の乱れ、圧縮ノイズなどを調べる専門領域でした。いまはスマートフォンで見た短い動画や、数秒の音声だけで世論、投資判断、企業送金、個人の名誉が動きます。

この変化の中心にいる一人が、デジタル鑑識の第一人者として知られるHany Farid氏です。Farid氏の研究は、単に偽物を探す技術ではありません。人間の知覚、物理法則、暗号的な来歴管理、プラットフォーム設計をつなぎ、社会が「同じ現実」を共有する条件を問い直すものです。

本稿では、同氏の研究と近年の悪用事例を手がかりに、AI時代のディープフェイク対策を読み解きます。結論からいえば、万能の検出器はありません。必要なのは、鑑識技術、証拠の来歴、組織の確認手順、読者側の時間差を組み合わせる多層防衛です。

Farid氏の鑑識技術を支える物理と行動

Hany Farid氏は、カリフォルニア大学バークレー校のSchool of Informationと電気工学・コンピューター科学部門に所属し、デジタル鑑識、偽情報、画像解析、人間の知覚を研究してきました。自身のサイトでは、GetReal Securityの共同創業者兼Chief Science Officerでもあると説明しています。つまり同氏の活動領域は、大学研究、報道現場、企業防衛、司法手続きの間を横断しています。

デジタル鑑識が重要になる理由は、証拠の性質が変わったためです。銀塩写真であれば、ネガや撮影状況が証拠性の一部を担いました。デジタル画像では、ピクセルは容易に複製され、編集され、圧縮されます。生成AIの登場後は、そもそもカメラで撮られていない「もっともらしい映像」まで流通します。鑑識は、編集の跡を見つける作業から、現実との物理的・統計的な整合性を検査する作業へ拡張されています。

影と遠近法に残る物理的不整合

物理ベースの鑑識では、光源、影、反射、遠近法、消失点などを調べます。現実のカメラで撮影された場面では、机や壁や窓枠の直線は同じ空間に属し、遠近法上の関係を保ちます。影は光源の位置と対応し、反射は物体や観察角度と矛盾しにくい形で現れます。

生成AIは、画面全体として説得力のある映像を作る能力を急速に高めました。しかし、個々のフレームを物理空間として見ると、線が同じ消失点に向かわない、影の濃淡が光源と合わない、破片や煙の動きが時間的に不自然になる、といった矛盾が残ることがあります。これは「見た目の自然さ」と「世界としての整合性」が別物であることを示しています。

ただし、このアプローチも絶対ではありません。映像が低解像度に圧縮され、SNS上で再投稿を繰り返すと、鑑識の手がかりは削られます。さらに生成モデル側も、過去に検出された弱点を学習して改善します。鑑識は静的な正解表ではなく、生成側との継続的な競争です。

顔の癖を使うソフトバイオメトリクス

Farid氏らの研究で注目されるもう一つの軸が、人物固有の振る舞いです。バークレー校の研究紹介によると、同氏らは政治家の顔の動き、表情、頭部の動きなどをモデル化し、演説動画の真偽判定に用いました。Hillary Clinton氏、Barack Obama氏、Bernie Sanders氏、Donald Trump氏、Elizabeth Warren氏を対象にした実験では、条件により92〜96％の範囲で本物と偽物を判別できたと報告されています。

これは、顔そのものの見た目だけでなく、「その人らしい話し方」を見る発想です。2020年の論文では、顔認識のような静的な生体特徴と、表情や頭の動きのような時間的・行動的な特徴を組み合わせる手法が示されました。2025年の研究でも、音声クローン、アバター、顔交換、リップシンクを組み合わせた「誰かが何でも言っているように見える動画」に対し、顔の生体的な不自然さを利用する検出手法が提案されています。

もっとも、この方法も万能ではありません。政治家の演説のように、発話スタイルが比較的安定した映像には向いていますが、雑談、混雑した現場、短い切り抜きでは精度が落ちます。さらに、生成側が対象人物の癖を学習すれば、検出側は別の特徴を探す必要があります。ディープフェイク対策の本質は、単一の検出モデルを信じることではなく、物理、行動、来歴、文脈を重ねて矛盾を探す科学的態度にあります。

この点は、検出モデルそのものの脆弱性にも表れます。Nicholas Carlini氏とFarid氏の2020年論文は、画像鑑識分類器が敵対的な加工で大きく性能を落とし得ることを示しました。論文では、既存検出器が高いAUCを示す場合でも、わずかな摂動や画像の一部への加工で判定を大きく変えられるケースが検証されています。検出器の存在を前提に攻撃者が最適化するなら、検出器もまた攻撃対象になります。

生成AI悪用が広げる社会的損害の輪郭

ディープフェイクの脅威は、政治家の偽動画だけに限られません。むしろ近年の被害は、声まね詐欺、企業の送金詐欺、非同意の性的画像、戦争や災害映像の偽装、そして本物の証拠を「AIだ」と否認する口実へ広がっています。ここで重要なのは、被害が映像の真偽だけで完結しないことです。偽物が流れた瞬間から、判断、送金、投票行動、名誉、記憶が動きます。

選挙の声まねと企業送金詐欺

2024年の米ニューハンプシャー州予備選をめぐっては、Joe Biden氏の声に似せたAI音声のロボコールが有権者に投票を思いとどまらせる内容で流れました。AP通信によると、米連邦通信委員会はその後、AI生成音声を使うロボコールをTelephone Consumer Protection Act上の「人工音声」と位置づけ、違法化しました。同記事は、違反者に高額の制裁が科され得ることや、州司法長官による取り締まりが可能になることも報じています。

この事件が象徴的なのは、声の偽装が「画像より見抜きやすい」とは言えない点です。Farid氏らの2024年研究では、AI生成音声が本物の話者と同一人物だと受け止められる割合が約80％に達しました。自然な声かAI音声かを見分ける課題でも、短い音声では正答率が60％前後にとどまっています。30秒を超える音声では成績が上がる傾向もありますが、詐欺電話は相手を急がせるため、聞き比べる時間を与えません。

企業被害も深刻です。香港では2024年、従業員がビデオ会議で幹部になりすました相手を信じ、15回の送金で計2億香港ドルを移したと報じられました。多人数の会議に見える場面でも、参加者の映像や声がAIで作られていれば、従来の「顔を見て確認した」という内部統制は破られます。

こうした事件は、セキュリティの焦点を変えます。従来の攻撃はメール、添付ファイル、認証情報の窃取が中心でした。現在は、信頼済みの人物の声や顔そのものが攻撃面になります。最高財務責任者に見える相手、親族に聞こえる声、候補者本人のような電話が、認証をすり抜ける社会工学の入口になります。

性的画像とライアーズディビデンド

もう一つの大きな被害領域が、非同意の性的ディープフェイクです。2026年1月には、欧州委員会がX上のAIチャットボットGrokをめぐり、性的に改変された画像や児童性的虐待資料に相当し得るコンテンツのリスクを適切に評価・軽減したか調査を始めました。Guardianは、研究者の分析として、2週間弱で約300万点の性的画像が生成され、そのうち2万3000点が子どもに見える画像だったと報じています。

米国では、非同意の親密画像に対応するTAKE IT DOWN Actが2025年5月19日にPublic Law No. 119-12となりました。Congress.govの概要では、本人の同意なく親密な視覚描写をオンライン公開することを禁じ、対象プラットフォームに迅速な削除対応を求める法律と説明されています。さらに、性的ディープフェイクの被害者が民事上の救済を求めやすくするDEFIANCE Act of 2025は、2026年1月13日に上院を通過し、同日時点で下院に送られています。

法整備は重要ですが、被害発生後の救済だけでは足りません。生成物は保存され、再投稿され、被害者の生活や就労に長く影響します。AI企業、SNS、検索、ホスティング、決済、学校、職場が、削除対応だけでなく、生成段階・拡散段階・検索段階での抑止策を持つ必要があります。

さらに、偽物が増えるほど、本物の証拠も疑われます。これは「ライアーズディビデンド」と呼ばれる問題です。実際の音声や映像が出ても、当事者が「AIで作られた」と主張し、支持者がそれを信じれば、証拠の社会的効力は弱まります。ディープフェイクの怖さは、偽情報を信じさせることだけではありません。本物を本物として共有する能力を損なうことにあります。

C2PAと透かしが抱える実装上の弱点

検出の限界を補う仕組みとして期待されているのが、来歴情報の標準化です。C2PAは、デジタルコンテンツの出所や編集履歴を示すContent Credentialsのためのオープンな技術標準を提供しています。C2PA自身は、これをデジタルコンテンツの「栄養表示」のようなものと説明しています。画像や動画に、誰が作成し、どのように編集されたかを検証可能な形で付ける発想です。

Content Authenticity Initiativeも、C2PA準拠のオープンソースツールを通じて、ウェブサイトやアプリに来歴情報を組み込む取り組みを進めています。OpenAIも、ChatGPT、Codex、APIで生成された画像にC2PAメタデータとSynthID透かしを組み合わせると説明しています。C2PAは詳しい文脈を運び、透かしはメタデータが失われた場合にも信号を残す、という役割分担です。

しかし、ここにも限界があります。OpenAI自身の説明でも、検証ツールは画像がOpenAI由来かどうかを示すもので、画像が正確か、編集されていないか、法的に所有されているか、正しい文脈で提示されているかまでは保証しません。メタデータはSNSや編集ツールで削除されることもあります。透かしも、強い加工や再撮影で劣化します。

2026年のC2PAに関する独立研究は、現行仕様が主張する安全性目標を十分に達成していないとし、金融開示、報道、法的証拠のような高リスク用途では時期尚早に信頼すべきではないと警告しています。C2PAは有望な土台ですが、「署名があるから真実」とは言えません。むしろ、署名、透かし、鑑識、発信者確認、編集履歴、公開後の監査を組み合わせるための部品と見るべきです。

読者と組織が備える信頼確認の実務

AI時代の基本姿勢は、「疑え」ではなく「急がず確認する」です。読者は、強い怒りや恐怖を誘う動画ほど、共有前に出所、初出、複数媒体での確認、撮影者や機関の説明を待つべきです。短い音声や切り抜き映像は、特に判断を保留する価値があります。

組織側では、送金、採用、広報、危機対応の確認手順を更新する必要があります。ビデオ会議で顔が見えることを認証とみなさず、別経路での折り返し確認、事前登録済み連絡先、複数承認、会議ログ、緊急時の合言葉を組み合わせるべきです。音声クローン研究が示すように、短い通話ほど人間の判断は不安定です。相手を急がせる要求は、それ自体をリスク信号として扱う必要があります。

報道機関や公共機関には、より重い責任があります。C2PAのような来歴表示を採用しつつ、表示がない素材を一律に偽物扱いしない慎重さも必要です。現実を守る作業は、検出器の精度競争だけでは完結しません。公開前に立ち止まる編集判断、公開後に訂正する透明性、そして証拠の出所を読者に示す地道な実務が、共有現実を支える最後の防衛線になります。

参考資料:

• Hany Farid
• Researchers use facial quirks to unmask ‘deepfakes’ - Berkeley News
• Detecting Deepfake Talking Heads from Facial Biometric Anomalies
• Detecting Deep-Fake Videos from Appearance and Behavior
• Evading Deepfake-Image Detectors with White- and Black-Box Attacks
• People are poorly equipped to detect AI-powered voice clones
• C2PA | Verifying Media Content Sources
• Content Authenticity Initiative
• C2PA and SynthID in OpenAI-generated images
• Verifying Provenance of Digital Media: Why the C2PA Specifications Fall Short
• AI-generated voices in robocalls can deceive voters. The FCC just made them illegal
• Company worker in Hong Kong pays out £20m in deepfake video call scam
• EU launches inquiry into X over sexually explicit images made by Grok AI
• S.146 - TAKE IT DOWN Act
• S.1837 - DEFIANCE Act of 2025