ビッグ4の一角を占めるEY(Ernst & Young)が、カナダ法人の公開したサイバーセキュリティ報告書「Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems」を、2026年5月、自社ウェブサイトから撤回した。
AI生成テキストの検出を手がける企業GPTZeroの調査をきっかけに、レポートに含まれる引用の多くがハルシネーション(AIによる事実に基づかない出力)であり、GPTZeroのAI検出で文書全体の72%がAI生成と判定されたことが明らかになったためだ。会計業界メディアGoing Concernの報道によれば、27件の引用のうち16件がハルシネーションだったとされる。Forbes、McKinsey、Gartner、TechCrunch、WIREDを出典とする引用は、リンク切れか実在しないものだった。EYはレポートを通常の掲載ページから削除し、公開に至った経緯を検証中だと説明。当該調査はクライアント業務とは無関係だと付け加えた。Financial Timesも本件を報じている。
From: 
EY Gets Busted and Yeets Cybersecurity Report Littered With AI Hallucinations
【編集部解説】
まず押さえておきたいのは、これが「会計事務所のうっかりミス」という小さな話ではない、ということです。EYは150を超える国・地域に700以上の拠点を構える「ビッグ4」と呼ばれる巨大コンサルティングファームの一角であり、そのカナダ法人はカナダ政府に対して年間数百万ドル規模のサービスを提供しています。専門家による検証を看板にしてきた組織の成果物が、検証されないまま外に出た——ここに事案の重さがあります。
GPTZeroの調査では、もう少し踏み込んだ事実も判明しています。レポート冒頭の要約ではロイヤルティポイント市場の規模を「2000億ドル」とし、その30〜50%が未使用としていました。ところが10ページ目では、同じ「2000億ドル」が市場全体ではなく「未使用ポイントの総額」にすり替わっています。論理的に整合させるには市場規模が最低でも4000億ドル必要になる、矛盾した記述です。AIが生成した文章が陥りやすい「内部矛盾」の典型例といえます。
特に示唆的なのが、捏造されたMcKinsey引用の出どころです。GPTZeroが追跡したところ、実在しない「McKinsey社ロイヤルティ経済レポート(2022年)」という出典は、その半年前に公開された英国のマイナーなフィンテック系メディアFinancial ITのブログ記事の出典欄に、すでに同じ形で記載されていました。無名ブログにあった捏造引用が、一字一句そのままEYレポートの参照表に転載されていたのです。つまり、出どころの怪しい情報が、ビッグ4の名前を冠したレポートを経由することで「権威ある出典」へと格上げされてしまったわけです。GPTZeroはこれを「井戸に毒を盛る(poison the well)」と表現しています。
ここがinnovaTopiaとして強調したい論点です。AIハルシネーションの被害者は、レポートを読んだ人間だけではありません。誤情報を含む文書がネット上に公開されると、それは「インターネットという知識のプール」へのデータ注入になります。次にその領域を調べる研究者や、そして——AI自身が、その毒を飲んでしまうのです。
実際GPTZeroは、ChatGPT、Claude、PerplexityのいずれもがEYの欠陥レポートからの誤情報を回答に表示したことを確認しています。「ディープリサーチ」型のAIツールは、人間とは異なるシグナルで出典を選ぶため、こうしたデータ汚染にむしろ脆弱だと指摘されています。AIが生んだ嘘をAIが学習し再生産する——汚染の自己増殖ループが、すでに観測されているということです。
影響範囲も無視できません。レポート自体はカナダで大きな話題にはならなかったものの、GPTZeroによれば、オーストラリアではCanberra Timesの記事に引用され、60紙以上に配信されたといいます。社外に出ない顧客向け資料や社内デッキを通じて拡散した可能性もあります。一本の欠陥文書が、思わぬ経路で社会に染み出していくということです。
この事案は、AI規制の議論にも影響を与えるはずです。今回問題になったのは、AIモデルそのものの性能ではなく、専門家組織が成果物を検証しないまま公開した「ガバナンスの欠如」です。EYは「AIの責任ある利用に組織全体で取り組んでいる」と釈明しましたが、その建前と実態のギャップこそが問われています。Sullivan & Cromwellの法廷文書での誤引用、Deloitteのカナダ州政府向けレポートの修正など、専門職の世界で同種の事故が相次いでおり、「AIを使ったかどうか」ではなく「使った成果物をどう検証するか」を制度として求める流れが強まる可能性があります。
一方で、ポジティブに捉えるべき側面もあります。今回これを暴いたのもまた、GPTZeroの「Hallucination Check」というAIツールでした。同社によれば、このツールはすでにIJCAI、ICLR、ICSEといった一流の学術会議で投稿論文のスクリーニングに使われています。AIが生む問題を、AIが検出する。攻防のテクノロジーが両輪で進化している状況です。
長期的に見れば、この一件は「AIで何ができるか」というフェーズから、「AIの成果物をどう信頼するか」というフェーズへ、社会が移行する象徴的な事件として記憶されるかもしれません。便利さの代償として私たちが手放しかけているのは、出典を一つずつ確かめるという地味な手間です。その手間こそが知識の信頼性を支えてきたという事実を、EYの「2000億ドル」は静かに突きつけています。
なお、引用ハルシネーションの「27件中16件」という数値について補足します。これはGoing Concernの報道に基づくもので、GPTZeroの一次調査ページには多数の捏造・破損引用が列挙されている一方、ページ内のメーター表示には「0 of 27」と表示される箇所もあり、数値表記には不整合が見られます。「72%がAI生成」「44ページ」「2000億ドル/4000億ドル」は一次情報および複数報道で一貫しています。本記事の数値は、出典を明示したうえで採用しています。
【用語解説】
EY(Ernst & Young)/EYカナダ
150を超える国・地域に700以上の拠点を構える「ビッグ4」と呼ばれる巨大会計・コンサルティングファームの一つ。EYカナダはその加盟法人で、カナダ政府にも年間数百万ドル規模のサービスを提供している。今回問題のレポートを公開したのはこのカナダ法人である。
ハルシネーション(hallucination)
生成AIが、事実に基づかない情報をもっともらしく出力する現象。今回のように、実在しない出典やURL、誤った統計を「あるかのように」生成してしまうケースを指す。
vibe citing(雰囲気引用)/vibe citation
GPTZeroのエンジニアが考案した造語。AIに引用や出典の生成・整形を任せた結果、実在しない参照文献が紛れ込む状態を指す。出典を一つずつ確認する手間を省いた「ノリ」での引用、というニュアンスがある。
Hallucination Check
GPTZeroが提供する、文書中の引用が実在するか・捏造されていないかを検証するツール。今回のEYレポート調査でも使われ、同社によればIJCAI、ICLR、ICSEといった学術会議の論文スクリーニングにも導入されている。
ビッグ4
Deloitte、EY、KPMG、PwCの世界4大会計・コンサルティングファームの総称。
井戸に毒を盛る(poison the well/データ汚染)
誤情報を含む文書がネット上に公開されることで、それを参照する後続の研究者やAIが誤情報を取り込んでしまう現象を比喩的に表した表現。
ディープリサーチ(AI deep research)ツール
複数のウェブ情報を自律的に収集・統合してレポートを生成するAI機能。人間とは異なる基準で出典を選ぶため、データ汚染の影響を受けやすいとされる。
【参考リンク】
EY(Ernst & Young)グローバル公式サイト(外部)
150超の国・地域で事業を展開するビッグ4の一角、会計・コンサルティングファームの公式サイト。
EY Canada 公式サイト(外部)
今回問題となったレポートを公開したEYのカナダ法人の公式ページ。各種サービス情報を掲載している。
GPTZero(外部)
AI生成テキストの検出を手がける企業の公式サイト。今回のEYレポート調査を実施した主体である。
GPTZero「Chasing the Hallucinations」調査ページ(外部)
EYレポートの引用ハルシネーションを検証したGPTZeroの一次調査記事。捏造引用の事例を掲載している。
GPTZero Hallucination Check(外部)
文書内の引用が実在するかを検証するGPTZeroのツール紹介ページ。
【参考記事】
EY retracts study after researchers discover AI hallucinations(外部)
Financial Timesによる第一報。EYがレポートを削除し経緯を検証中であること、調査はクライアント業務と無関係であることを報じた(会員制ペイウォールあり)。
Chasing the Hallucinations(外部)
本件の一次情報。44ページのレポートについて捏造・破損引用、AI生成判定72%、2000億ドル/4000億ドルの数値矛盾を指摘。「27件中16件」はGoing Concern報道による。
EY Withdraws AI Report After Fake Citations Discovered as Corporate AI Oversight Comes Under Pressure(外部)
Lawyer Monthlyの解説。2000億ドルの数値矛盾を指摘し、専門職分野でAI由来の捏造が相次ぐ文脈に位置づけている。
EY pulls loyalty report after AI hallucinations and fake data(外部)
NewsBytesによるまとめ。レポートが営業目的で作成された経緯や、Deloitteの類似事例にも触れている。
Sullivan & Cromwell law firm apologizes for AI ‘hallucinations’ in court filing(外部)
Reutersの報道。大手法律事務所がAIハルシネーションによる誤った引用を法廷文書に含めたとして謝罪した事例。
【関連記事】
世界四大会計事務所Deloitte、GPT-4o使用の政府報告書で偽引用発覚し返金対応
EYと同じビッグ4のDeloitteが、AI生成の偽引用を含む政府委託レポートで契約金の一部を返金した事例。本記事と並べて読むと、専門職のAI利用問題の広がりが見えてくる。
Google Gemini・Westlaw PrecisionのAIリサーチ、架空判例引用で制裁金
AIが生成した架空の判例を法廷文書に引用し、法律事務所に制裁金が科された事例。「専門家がAI出力を検証しない」という今回と共通の構図を扱っている。
HallOumi:AIのハルシネーションを検出するオープンソースツールが企業AI導入の鍵に
AI生成テキストを文単位で検証するツールの記事。GPTZeroのHallucination Checkと同じ「AIでAIの誤りを検出する」アプローチを理解する補助になる。
【編集部後記】
私たち自身も日々、AIが返してくる答えに助けられています。だからこそ今回の一件は他人事に思えませんでした。みなさんは、AIが示した出典やデータを、最後にどれくらい自分の目で確かめているでしょうか。
便利さと引き換えに省きがちな「確認するひと手間」を、どんな場面なら残しておきたいか——よければ少し立ち止まって考えてみてください。AIの答えとどう付き合うかは、これからを生きる私たち全員のテーマだと感じています。一緒に考えていけたら嬉しいです。
