「アカウントに乗っ取りの危険がある」などの口実でパスワードを入力させてアカウントを乗っ取る手口が横行している
「社長から急な投資案件の連絡が来て、言われた口座に3000万円を振り込んだ。あとで偽物だと気づいた」
ビジネスチャット「Chatwork」を使った"社長なりすまし詐欺"の被害を訴えるX投稿が、342万インプレッションを超える拡散を見せた。経理担当者がニセの社長アカウントから接触され、別チャットルームで送金指示を受けるという、いまや典型化した手口だ。
他人事ではない。4月24日、「はてなブックマーク」を運営する株式会社はてなが、約11億円の資金流出を発表した。同社によれば、4月20日と21日、従業員のアカウントを使って同社の銀行口座から外部口座へ送金が実行されていた。社員は「悪意ある第三者からの虚偽の送金指示があった」と説明しており、銀行からの不審連絡で初めて発覚したという。中小・ベンチャーから上場企業まで、同じ構造の犯罪が無差別に襲いかかっている。
4月、不正送金指示により約11億円を詐取される被害にあった株式会社はてな
【CEO・経理を狙い撃つ「標的型攻撃」の恐怖】
これは、業界では古くから知られる手口だ。「BEC(ビジネスメール詐欺)」と呼ばれ、CEOや経理責任者になりすまし、緊急性を装って送金や情報を奪う。Chatwork、LINE、メール、Telegram――使われるインフラはさまざまだが、構造は同じだ。
|
|
|
|
実際、取材した都内の中小企業では、1年ほど前にこの手口で約1300万円を抜かれていた。社長が海外に移住しており、日本の経理担当者とは普段Telegramでやり取りしていたのが運の尽きだった。
「あなたのアカウントに乗っ取りの危険がある」
そんなニセの通知に従ってログインし直したころ、犯行グループはデスクトップ版から会話のすべてを盗み見ていた。数週間後、いつものTelegramで「社長」から振込指示が来る。文面はやや片言の日本語に変わっていたが、過去のやり取りを引き継いだ自然な流れで、経理担当者は送金してしまう。1300万円は抜かれ、警察に届けても形式的に話を聞かれただけで、被害回復の見込みはゼロだった。
「犯行グループは経理担当者や経営者に狙いをつけ、つけいる隙を伺っています。今やFacebookやリンクトインで経歴は簡単に把握できる。このように特定の組織を狙い撃ちにするサイバー攻撃は標的型攻撃と呼ばれ、昔から存在していました。ただ、AIが発展を遂げた今、これまで以上の脅威として猛威をふるっています」
はてなが公表した事案の経緯。取引先銀行からの問い合わせによって初めて被害が発覚した
そう解説するのは、セキュリティコンサルティングを手がけるLRM株式会社の藤居朋之氏だ。
|
|
|
|
「例えばChatworkの場合、規約違反であるものの、悪意のある攻撃者がターゲット企業の社長の名前で勝手にアカウントを作ることも不可能ではありません。登録可能なメールアドレスがあれば、誰かの『なりすましアカウント』を作成することも可能でしょう。私のもとにも、弊社の社長の名を騙るニセアカウントから、私宛にコンタクト依頼が来たことがあります」(藤居氏)
ニセの社長から接触を受けた経理担当者は、まず「他の社員には黙ってほしい」と口止めされる。続いて「急なプロジェクトが進んでいる」「LINEグループを別に作ってやり取りしよう」と誘導され、コンプライアンスの目が届かない「閉じた空間」に連れ込まれる。そして、決定打が来るーー。
「急な投資案件が入った。社内に知られるわけにいかないから、君の権限で送金してほしい」
【1日1万件――日本に降り注ぐ攻撃メール】
セキュリティ大手のトレンドマイクロ社が公表したレポートによれば、なりすましメールの検出件数は2025年12月時点で1日約1000件だったものが、2026年2〜3月には1日約1万件にまで急増した。わずか数か月で10倍だ。しかも、攻撃の8割近くが日本に向けて送られているとのデータもある。
「これまで日本は、日本語という壁で守られてきた部分があった」と藤居氏は説明する。
|
|
|
|
「生成AIの登場でその壁が突破され、ランダム送信のコストもほぼゼロになった。日本企業は他国に比べてIT投資への意欲が低く、セキュリティ意識が低いことも少なくありません。お金は持っているのに守りが弱い――これほど狙い目の市場はない」(藤居氏)
攻撃の発信元として多いのは中国とロシア。ウクライナ情勢が緊迫した時期にも、世界中で不審メールの通数が爆増した経緯がある。国家の動きと連動し、混乱に乗じた攻撃が増えていく構図だ。
恐ろしいのは、対策を講じている企業ほど、その対策を逆手に取られることだ。藤居氏が挙げたのは、ある顧客企業で起きた事例だ。社長を装った犯行グループが「いまなりすましメールが流行っている。引っかからないよう、このセキュリティツールを社内に入れてくれ」とリンクを送りつけてきた。リンクの先にあったのは、不正なマルウェアだった。
「啓蒙が進めば進むほど、それを逆手にとって悪用するサイバー攻撃の手口が出てくる。情報を知っている人ほど『自分は大丈夫』と思い込み、それ自体が隙になる」と藤居氏は警鐘を鳴らす。
【守るべき3つの鉄則】
なりすまし、巧みな誘導で資金を吸い上げたら、跡形もなく消える。まるで地面師のような手口を我々はどう防げばいいのか。藤居氏は「技術的な対策も重要だが、それ以上に日々の心がけこそが重要」と断言したうえで、3つの鉄則を挙げる。
「ひとつめは、別経路での確認を絶対のルールにすること。同じツール内で『これは本当ですか?』と聞いても、犯行グループは『本当だ』と返してくるだけです。Slack、内線電話、対面。必ず別のチャネルで本人に直接当てることが大事。
そしてふたつめは、「LINE誘導は詐欺」を社内の共通認識にすること。役員から突然、個人LINEへの誘導が来ること自体が異常事態です。事前の合意なしに起きるなら例外なく疑うという共通理解を、全社員に浸透させることが大事。
そしてみっつめは、社長や経営幹部が自ら先に、宣言すること。『私の名を騙って指示が来ても、社内ルールを優先してほしい』と。トップが平時に明言しておけば、組織として免疫ができます。これらを徹底することが肝要です」(藤居氏)
ひとたび被害に遭えば、警察に届けても、抜かれた金は戻らない。1日1万件のなりすましメールが日本に降り注ぐなか、最後の防波堤は社内ルールと、一人ひとりの「違和感」だけだ。
文/新田勝太郎 写真/株式会社はてな、Pixta.jp
IT・インターネット
