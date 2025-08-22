

「知らない電話番号からの着信は信用しない」は基本の対策の1つ（写真：Graphs / PIXTA）

【ビジネスメール詐欺の手口】取引先になりすまして送金を依頼する

ビジネスシーンにおいて、もはやインターネットバンキングはなくてはならないインフラとなっています。しかし、その利便性の裏側で、法人の資金を狙ったサイバー攻撃やネット詐欺が激化し、不正送金被害は重大な経営リスクとなっています。

法人の不正送金被害が過去最多

全国銀行協会が実施した2025年1月から3月の不正送金被害状況の調査によると、会員187行での不正送金被害は件数、被害額ともに過去最多を更新しました。



被害件数は44件、被害金額は14億2500万円で、前四半期の8件、1億6500万円と比較して、件数・金額ともに大幅に増加しています。とくに被害金額は、2024年度の法人顧客被害総額16億9600万円の大半を占めました。

以前は個人をターゲットにしたネット詐欺が多かったのですが、近年は企業もサイバー犯罪のターゲットになっています。個人よりも騙すのが難しい分、成功した時には大金が手に入れられる可能性が高く、多くのサイバー犯罪者が企業を狙っています。





大企業はもちろんですが、サイバーセキュリティ対策が遅れている中小企業も狙われています。今回は、法人の不正送金被害と対策について解説します。2024年度、とくに2025年1〜3月に大きな被害が発生しています。

銀行から自動音声で電話がかかってきたら要注意！

琉球銀行は企業の不正送金被害が発覚し、4月1日にネット送金を一時停止しました。同行の法人向けネットバンキングサービスの「りゅうぎんBizネット」を使っている企業ユーザーに偽の電話をかけてパスワードを聞き出すボイスフィッシング詐欺が仕掛けられたのです。

同様の被害は3月から急増しており、山形銀行や武蔵野銀行、筑波銀行、阿波銀行など多くの銀行が注意喚起を図り、ネットバンキングによる他行あて即時振り込みを停止するなどの対応策を取りました。

今回のサイバー攻撃はボイスフィッシングという手口で、犯人グループは琉球銀行を装った自動音声システムを構築し、「りゅうぎんBizネット」の利用企業に対して「セキュリティ設定が必要」や「2時間以内に口座停止」といった緊急性を演出して接触しました。

オペレーター役の犯人がメールアドレスなどの個人情報を聞き出した後、詐欺サイトのURLをメールで送信し、ログイン情報やパスワードの入力を要求したのです。そして、取得した認証情報を使って、犯人の銀行口座へ不正送金しました。最大で5000万円の被害を被った企業もあります。

企業側が、正式なIDとパスワード、認証コードなどを教えているので、銀行側としても気がつくことができません。自宅のカギを見知らぬ人に渡しているようなものといえます。フィッシング詐欺はユーザー側が自衛しなければならないのです。警視庁は3つの対策を推奨しています。



警察庁などは企業を狙ったボイスフィッシング詐欺の注意喚起PDFを公開している（資料：警察庁ホームページ）

1つ目が「知らない電話番号からの着信は信用しない」です。個人であればいいのですが、法人では守れないこともあるでしょう。2つ目が、「銀行の代表電話番号・問い合わせ窓口で確認する」というものです。電子証明書の更新手続きをせよ、という電話やメッセージを受け取ったら、自分から銀行に連絡し、確認してください。詐欺であれば、そこで気がつくことができます。

3つ目が、「メールに記載されているリンクからアクセスしない」です。フィッシングページに誘導したり、マルウェアをインストールさせようとしてきますが、自分で銀行のウェブサイトを検索して開けば被害に遭わずに済みます。

取引先から振込口座の変更を依頼されたら要注意！

法人を狙ったネット詐欺の定番はビジネスメール（BEC）詐欺です。2024年のFBIインターネット犯罪苦情センター（IC3）のレポートによると、苦情件数は2万1442件、被害総額は約27億7000万ドル（約4083億円）と、投資詐欺に次ぐ規模となっています。

日本でも多くの被害が出ており、例えば2024年には東証グロース市場に上場する医療製品メーカー「スリー・ディー・マトリックス」が、取引先になりすましたBEC詐欺により、約2億円の不正送金被害を受けたと公表しました。

BEC詐欺では実際の取引のやり取りに割り込み、「今回から振込先口座が変更になりました」といった偽の連絡をします。

攻撃者はマルウェア感染やメールサーバーへの不正アクセスなど、何らかの手段で事前に正規のメールのやり取りを盗み見ており、請求書番号や取引内容、担当者の文体まで模倣するため、経理担当者は偽の連絡であると気づかずに偽口座へ送金してしまうのです。

この事件でも、創業以来取引している取引先の担当者と社長のメールを偽装し、信じてしまったそうです。そして、約136万ドルの送金をしてしまいました。最終的に、ほかの取引先から支払い口座の変更依頼が来たので、電話で確認したところ、詐欺が発覚。すでに支払い済みの会社にも電話したところ、口座変更依頼などはしていない、と返答があったのです。

サイバー犯罪者は過去のメールをすべて不正に盗み見ており、さらには返信メールで詐欺メールを送ることができます。見抜くことができなくても仕方ありません。

対応策としては、まずマルウェア対策を万全にしてシステムへの不正アクセスを防ぐ必要があります。また、お金に関することで変更がある場合は、複数の連絡手段で確認してください。メールで依頼されたなら、電話で確認しましょう。





ウイルスに感染したと画面に表示されたら要注意！

ウェブを閲覧していると、突然、「あなたのPCはマルウェアに感染しています」と表示され、マウス操作を受け付けなくなることがあります。同時に、サポートするので電話をかけるように勧める音声ガイダンスが流れたり、けたたましいアラーム音が鳴ることもあります。

2023年、長野県上高井郡内の企業で、社員がPCで仕事をしていたところ、「ウイルスに感染しました」と警告が表示されました。信じてしまった男性が電話したところ、修理代金499円をネットバンキングで支払うように指示され、従いました。すると、その後9回に渡って、1690万円が不正送金されてしまいました。

ニュースでは触れられていませんでしたが、この手口では電話をかけると、まずサポート用のツールをインストールさせられます。この遠隔操作ツールは実際のサポートセンターでも利用されているものですが、犯人はこのツールを使って、ネットバンキングを不正操作したのです。

2024年2月には、山梨県笛吹市商工会の職員がPCを操作中、「トロイの木馬ウイルスに感染した」と偽の警告が表示されました。職員はマイクロソフトを騙る偽のサポート窓口に連絡し、ネットバンキングのIDやパスワードなどを伝えてしまいました。そして、1000万円が不正送金されてしまいました。

サポート詐欺被害を防ぐには、正しいデジタルリテラシーを身に付けることが大切です。OSやブラウザの挙動として、サポートが利用者へ直接電話をかけたり、画面に電話番号を表示することはありません。ブラウザを閉じても解決しないように見せる警告画面はすべてネット詐欺と考えましょう。

サポート詐欺の画面が出たら、ブラウザを閉じましょう。マウスの挙動を受け付けなくなった場合は、「Ctrl+Shift+Esc」キーを同時に押して「タスクマネージャー」を起動し、利用しているブラウザを選択して、右クリックから「タスクの終了」を選択すると強制終了できます。



サポート詐欺の画面。電話するように誘導する音声も再生される（写真：筆者提供）

ビデオ会議の相手は偽物？ディープフェイク詐欺

AIを使ったディープフェイクによる詐欺被害も出ています。2019年には英国のエネルギー企業が被害に遭いました。

サイバー犯罪者は英国企業の親会社のCEOに偽装し、22万ユーロの送金を指示。信じてしまった英国企業のCEOは送金してしまったのです。この時点では、音声クローン技術は広まっておらず、市販のAI音声合成ソフトを使ったものでした。

その後、2022年に生成AIが登場し、AI技術が急激に進化しました。そして、2024年1月に驚くべき事件が起きます。英国に本社を持つ香港の支社で、ある従業員がウェブ会議に参加しました。普段話している上司であるCFOと同僚が参加しており、もちろん顔も声も本人のものです。

そこで送金を指示され、約2億香港ドル（約37.5億円）を送金しました。実は、従業員以外の全員がAIで生成された人物のアバターで、音声もクローンで作成されたものだったのです。

日本でもAIによるディープフェイク詐欺が発生しています。2024年11月、日本の製造業企業の幹部に社長から電話がかかってきました。スマホに表示される発信者は本物の社長の携帯電話番号です。電話に出ると、緊急の買収案件があるので、今日中に送金するように指示されました。

この時、幹部は偽装に気がつかなかったそうです。この事例では、最終的に弁護士に電話で確認したところ、詐欺が判明して被害は発生しませんでした。

サイバー犯罪者が仕掛ける罠は、日々巧妙かつ悪質になっています。手口は多岐にわたりますが、共通して狙われるのは、われわれの慣れや思い込み、そして業務プロセスの隙です。わずかな油断が、大きな被害につながってしまいます。

最新のセキュリティツールを導入するといった技術的な対策をはじめ、「お金に関する連絡は、メール以外の手段で再確認する」といった、一見するとアナログな一手間を組織全体で徹底できるかが重要です。経営者だけでなく、すべての従業員が当事者意識を持ち、自社のセキュリティ体制と業務フローに潜む脆弱性について、今一度見直してみましょう。

（柳谷 智宣 ： ITライター）