CEO詐欺が11億円奪った—中小企業が今すぐ講じるべき対策

業界大手を襲ったCEO詐欺—はてなの被害実態

株式会社はてな（京都市中京区）は2026年4月24日、不正な送金指示により約11億円の資金が銀行口座から流出したと公表しました。第三者になりすました人物から虚偽の送金指示を受け、従業員のアカウントから外部口座へ資金が移動されたのです。

同社の2026年7月期通期営業利益予想が1億3,600万円である点を考えると、約11億円という被害額は営業利益予想の**約8.1倍**に相当します。業界大手でも一度の詐欺で経営に大きな打撃を受ける可能性があることを示す事例となりました。

全国で猛威：6,000社以上が標的に

セキュリティ企業トレンドマイクロの調査では、CEO詐欺メールが日本国内で少なくとも**6,000以上の法人組織**に送付されていることが判明しました。被害規模は以下の通りです。

メール検出数は12月7日以降、劇的に増加しました。12月15日には1日1,000件程度まで増加し、2026年1月5日には**1日で10,000件以上**の検出がありました。その後も週末以外は高い検出レベルが続いています。

具体的な被害事例として、長野県飯田市の企業では経理担当者が約2,950万円を、千葉県船橋市の企業では約5,000万円を詐欺師に送金させられています。

新しい手口：メッセージングアプリの悪用

CEO詐欺の手口は急速に巧妙化しています。攻撃者の新しい戦略は以下の通りです。

• 段階的なアプローチ： 最初はメール（社長になりすまし）でコンタクト→その後LINEやMicrosoft Teamsなどのメッセージングアプリに誘導
• メッセージング上での隠密性： 「社員に知られたくない内緒の取引」という設定を作り、被害者が疑念を持ちにくい環境を整備
• IT監視の回避： メッセージングアプリ上のやり取りはメールシステムのセキュリティフィルタを通過しないため、企業IT部門による監視をすり抜けやすい
• 自然な日本語： 生成AI技術により、従来の詐欺メールのような不自然な日本語が減少。誰でも「本物らしい」メールを作成可能に

また、複数の事例で中国製メールソフト「Supmailer」が使用されており、メールの表示名に簡体字中国語で「代表者が見つかりません」と記載されるケースもあります。これはAIによる自動化の痕跡と考えられます。

中小企業が狙われやすい理由

「自社は対象外」という思い込みは最大の危険です。中小企業が標的となりやすい理由は以下の通りです。

• セキュリティ体制の脆弱性： 大企業に比べてセキュリティ対策や社内ルールが整っていないケースが多い
• 意思決定の少人数化： 経営層の指示が絶対的で、「社長の命令」に疑いを持ちにくい組織構造
• 運用コストの低下： AI活用により攻撃者の事前調査・文面作成・自動化が進み、小規模企業も効率的に標的化可能
• 踏み台化のリスク： 大企業のサプライチェーン下流にある中小企業を踏み台にして、最終的に大企業への被害拡大を狙うケースも増加

経営者が今すぐ講じるべき3つの対策

警察庁やIPA（独立行政法人情報処理推進機構）が推奨する対策をまとめました。費用対効果が高い順に並べています。

①即座に実装可能：電話による本人確認の徹底

最も効果的で、最も簡単な対策です。

• 振込・送金指示が来たら、メールやLINEだけで判断しない
• 必ず社長本人に電話で確認することをルール化
• 「直接確認が面倒」という空気を排除（これが被害の入口）

このルール一つで、大半のCEO詐欺被害は防ぐことができます。

②組織的対策：承認プロセスの多層化

• 送金などの重要業務実行時は、通常の担当者以外の承認を必須化
• 第三者チェック（例：経営者→経理担当者→別の役員など複数段階）のプロセス導入
• 従業員研修でCEO詐欺の手口と心構えを共有し、組織全体のセキュリティリテラシーを向上

③技術的対策：メール認証とフィルタリング

• DMARC（Domain-Based Message Authentication, Reporting, and Conformance）導入による送信者認証
• 既存の不正添付ファイル・URL・スパムメール検出ツールの活用
• メールアドレスの「表示名」だけで判断しないよう従業員教育