メインコンテンツへスキップ
補助金さがすAI

CEO詐欺が11億円奪った—中小企業が今すぐ講じるべき対策

CEO詐欺が11億円奪った—中小企業が今すぐ講じるべき対策 - ニュース - 補助金さがすAI

2026年4月、インターネット関連企業のはてなが約11億円の資金流出被害を公表しました。CEO詐欺(ビジネスメール詐欺)による被害です。全国では6,000以上の法人組織が標的となっており、中小企業も決して無関係ではありません。本記事では、被害の実態、新しい手口、そして経営者が今すぐ実装できる対策を解説します。

業界大手を襲ったCEO詐欺—はてなの被害実態

株式会社はてな(京都市中京区)は2026年4月24日、不正な送金指示により約11億円の資金が銀行口座から流出したと公表しました。第三者になりすました人物から虚偽の送金指示を受け、従業員のアカウントから外部口座へ資金が移動されたのです。

同社の2026年7月期通期営業利益予想が1億3,600万円である点を考えると、約11億円という被害額は営業利益予想の**約8.1倍**に相当します。業界大手でも一度の詐欺で経営に大きな打撃を受ける可能性があることを示す事例となりました。

全国で猛威:6,000社以上が標的に

セキュリティ企業トレンドマイクロの調査では、CEO詐欺メールが日本国内で少なくとも**6,000以上の法人組織**に送付されていることが判明しました。被害規模は以下の通りです。

項目 数値
標的となった法人組織数 6,000以上
東京都内の被害企業数(1月19日時点) 43社
そのうち実際に金銭被害を受けた企業 14社
被害総額(東京都内) 6億7,000万円

メール検出数は12月7日以降、劇的に増加しました。12月15日には1日1,000件程度まで増加し、2026年1月5日には**1日で10,000件以上**の検出がありました。その後も週末以外は高い検出レベルが続いています。

具体的な被害事例として、長野県飯田市の企業では経理担当者が約2,950万円を、千葉県船橋市の企業では約5,000万円を詐欺師に送金させられています。

塾の1/20の費用で、塾以上の学習効果

ハーバード大の研究で実証済み。AIが1対1で「考える力」を引き出すソクラテス式学習法。

AI家庭教師を見てみる →

新しい手口:メッセージングアプリの悪用

CEO詐欺の手口は急速に巧妙化しています。攻撃者の新しい戦略は以下の通りです。

  • 段階的なアプローチ: 最初はメール(社長になりすまし)でコンタクト→その後LINEやMicrosoft Teamsなどのメッセージングアプリに誘導
  • メッセージング上での隠密性: 「社員に知られたくない内緒の取引」という設定を作り、被害者が疑念を持ちにくい環境を整備
  • IT監視の回避: メッセージングアプリ上のやり取りはメールシステムのセキュリティフィルタを通過しないため、企業IT部門による監視をすり抜けやすい
  • 自然な日本語: 生成AI技術により、従来の詐欺メールのような不自然な日本語が減少。誰でも「本物らしい」メールを作成可能に

また、複数の事例で中国製メールソフト「Supmailer」が使用されており、メールの表示名に簡体字中国語で「代表者が見つかりません」と記載されるケースもあります。これはAIによる自動化の痕跡と考えられます。

中小企業が狙われやすい理由

「自社は対象外」という思い込みは最大の危険です。中小企業が標的となりやすい理由は以下の通りです。

  • セキュリティ体制の脆弱性: 大企業に比べてセキュリティ対策や社内ルールが整っていないケースが多い
  • 意思決定の少人数化: 経営層の指示が絶対的で、「社長の命令」に疑いを持ちにくい組織構造
  • 運用コストの低下: AI活用により攻撃者の事前調査・文面作成・自動化が進み、小規模企業も効率的に標的化可能
  • 踏み台化のリスク: 大企業のサプライチェーン下流にある中小企業を踏み台にして、最終的に大企業への被害拡大を狙うケースも増加

経営者が今すぐ講じるべき3つの対策

警察庁やIPA(独立行政法人情報処理推進機構)が推奨する対策をまとめました。費用対効果が高い順に並べています。

①即座に実装可能:電話による本人確認の徹底

最も効果的で、最も簡単な対策です。

  • 振込・送金指示が来たら、メールやLINEだけで判断しない
  • 必ず社長本人に電話で確認することをルール化
  • 「直接確認が面倒」という空気を排除(これが被害の入口)

このルール一つで、大半のCEO詐欺被害は防ぐことができます。

②組織的対策:承認プロセスの多層化

  • 送金などの重要業務実行時は、通常の担当者以外の承認を必須化
  • 第三者チェック(例:経営者→経理担当者→別の役員など複数段階)のプロセス導入
  • 従業員研修でCEO詐欺の手口と心構えを共有し、組織全体のセキュリティリテラシーを向上

③技術的対策:メール認証とフィルタリング

  • DMARC(Domain-Based Message Authentication, Reporting, and Conformance)導入による送信者認証
  • 既存の不正添付ファイル・URL・スパムメール検出ツールの活用
  • メールアドレスの「表示名」だけで判断しないよう従業員教育

注意:銀行も詐欺に気付かないことがある

はてなの事件では、不正送金が2日間で進行し、銀行から連絡があるまで企業側が気付きませんでした。銀行のチェックを信頼するのではなく、企業側の事前ルール整備が最後の砦です。

セキュリティ対策に使える補助金・助成金

メール認証やセキュリティツールの導入には費用がかかりますが、中小企業向けには対策費用を支援する制度があります。代表的なものを紹介します。

サイバーセキュリティ対策促進助成金(東京都)

東京都中小企業振興公社が、都内中小企業のセキュリティ対策経費を助成する制度です。助成率は1/2以内・上限500万円(申請下限額10万円)。UTM(統合型アプライアンス)やウイルス対策ソフト、アクセス管理製品に加え、CEO詐欺対策と直結する標的型メール訓練も対象経費に含まれます。申請にはIPAの「SECURITY ACTION ★★二つ星」宣言が要件で、令和8年度の次回受付は第2回(9月9日〜15日)です。

IT導入補助金(セキュリティ対策推進枠)

全国の中小企業が使える国の制度です。セキュリティ対策推進枠では、事務局に登録されたセキュリティサービスの導入費用を上限150万円・補助率1/2以内(小規模事業者は2/3以内)で補助します。制度の全体像はIT導入補助金とは?対象・補助額と申請の流れで解説しています。

また、CEO詐欺のような緊急事態への備えを事業継続計画(BCP)として整備すれば、設備導入にBCP実践促進助成金(東京都・上限500万円)を活用する道もあります。そのほかの制度はセキュリティ関連の補助金を検索から確認できます。

経営者が今日から実行すべきポイント

  • 本日: 経理部門に「社長からの送金指示は必ず電話で確認する」というルール通知
  • 今週中: 従業員(特に経理・秘書)にCEO詐欺の事例と手口を共有
  • 来月: メール認証(DMARC)やセキュリティツールの導入検討(補助金・助成金の活用も視野に)
  • 継続: 四半期ごとのセキュリティ研修で組織全体の意識向上

関連コンテンツ

観光業・インバウンド向けの補助金・助成金

観光業・インバウンド対応向け補助金・助成金|施設改装・多言語対応ガイド2025について詳しく解説します。

詳しく見る →

家族従業員がいる個人事業主の助成金活用法

家族従業員の給与・労務管理と助成金|個人事業主の人件費最適化ガイドについて詳しく解説します。

詳しく見る →

設備投資したいけどお金がない|補助金・融資・リースの選び方完全ガイド

設備投資の資金が足りないと感じたら。返済不要の補助金、公庫融資、リースの使い分けと「自社に合う補助金」の見つけ方を経営者向けに整理したガイドです。

詳しく見る →

飲食店の経営で使える助成金・補助金まとめ

飲食店経営で使える助成金・補助金2025年度版|賃金助成から設備投資まで全網羅について詳しく解説します。

詳しく見る →

この記事を書いた人

松田信介
松田 信介 Shinsuke Matsuda

X-HACK Inc. 代表取締役 / PARKLoT CTO

Microsoft for Startups Founders Hub 採択

X-HACK Inc. 代表取締役。システムコンサルタントとして中小企業の基幹システム構築・業務設計に携わったのち、自ら起業。小規模ビジネスの立ち上げから黒字化までを複数回経験し、採用・資金調達・補助金申請の実務にも精通。「補助金さがすAI」の開発・運営を通じて、経営者が本当に必要とする情報を現場目線で発信しています。

LinkedIn

あなたに合った補助金を探してみましょう

補助金を検索する

無料会員登録でAI検索が使えます

無料会員登録

この記事をシェア

X(旧Twitter) LINE Facebook