被害額は1件あたり数千万円に及ぶケースもあるそうです。本記事では、巧妙化する手口の実態から具体的な対策、そして根本的な防御策までを解説します。
| 監修|株式会社シンクスマイルCTO 川原 創 |

いま、企業を狙った「ビジネスメール詐欺(BEC:Business Email Compromise)」が深刻な脅威となっています。2025年末からは、従来のメールだけでなくLINEやChatworkといったチャットツールを悪用し、社長を騙って連絡をする「CEO詐欺」が急増。私たちの身近なコミュニケーションツールが攻撃の舞台となっており、警視庁も注意喚起を行っています。

CEO詐欺の典型的な流れを見てみましょう。
ある日、自社の代表取締役の実名で「業務連絡」「緊急」「重要なお知らせ」といった件名のメールが届きます。この時点では金銭の要求は一切ありません。
メールの内容は「業務連絡を円滑にするため、社内専用のLINEグループを作成してほしい」というもの。しかも「他のメンバーは招待しないでください」「作成後、QRコードをメールで返信してください」と、具体的かつ細かい指示が書かれています。
指示通りにQRコードを送ると、詐欺師が社長になりすましてグループに参加。「極秘のM&A案件が進行中」「緊急の財務処理が必要」などと機密事項を装い、言葉巧みに送金へと誘導します。
この手口の恐ろしいところは、メールからLINEにプラットフォームを移すことで被害者の警戒心を下げ、同時に「他の人には話さないように」と指示することで周囲への相談を封じ込める点にあります。
私たち株式会社シンクスマイルにも、社長の新子を騙ったメールが届いています。

また、チャットツールを経由したコンタクトも図ってきています。

弊社では社内で情報共有し、メールの返信をしないこと、コンタクトの追加をしないこと、URLをクリックしないことを徹底していますが、自分の会社の社長や役員から連絡がきたら疑わずに対応してしまう人もいるだろうと感じています。

ビジネスメール詐欺の被害規模は、私たちの想像をはるかに超えています。
FBIの報告によると、BEC詐欺の世界全体の被害総額は約550億米ドル(約8兆円超)にのぼっています。これはランサムウェア被害の数十倍に相当する金額です。
出典:FBI IC3 Internet Crime Report
日本国内でも、大手航空会社が約3.8億円を騙し取られた事例をはじめ、数千万〜数億円規模の被害が複数確認されています。
トレンドマイクロの調査では、国内の平均被害額は1件あたり5,000万円以上とされており、中小企業にとっては経営を揺るがしかねない金額です。
また、IPAの「情報セキュリティ10大脅威 2025」でもBECは9位にランクインしており、年々手口が巧妙化する中で、引き続き警戒が必要な脅威として位置づけられています。
巧妙化しているビジネスメール詐欺に、私たちはどのように対策をすべきなのでしょうか。具体的な対策をお伝えします。
送金に関するメールを受け取ったら、メールに記載された連絡先ではなく、名刺やアドレス帳に登録している電話番号を使って、本人に直接確認しましょう。これだけで多くの被害を防ぐことができます。
「至急対応してほしい」「他の人には言わないで」といった指示は、詐欺師が被害者を孤立させるための常套手段です。急かされるほど、一度立ち止まる習慣を社内に根付かせましょう。
送金や振込先の変更には、必ず担当者以外の第三者による承認プロセスを設けましょう。実際に、メール受信者以外の人物がきっかけで詐欺に気づいたケースも報告されています。
攻撃者は本物に酷似したメールアドレスを使います。「l(エル)」と「1(いち)」、「o(オー)」と「0(ゼロ)」の違いなど、パッと見では気づきにくい偽装が行われます。不審なメールはヘッダ情報まで確認しましょう。
一人が詐欺に気づいても、攻撃者は別の社員を狙ってきます。詐欺の手口や事例を社内で定期的に共有し、組織全体でセキュリティ意識を高めることが不可欠です。

上記の対策に加えて、そもそもの問題に目を向ける必要があります。
今回の新型CEO詐欺が成立する最大の原因は、LINEやChatworkといった個人でもアカウントが取得できるオープンなツールを業務連絡に使っていることにあります。誰でもアカウントを作れるツールでは、なりすましを完全に防げません。
本当に必要なのは、会社がアカウントを一元管理できるクローズドなコミュニケーション環境です。会社の管理下にあるアカウントでしかやり取りができなければ、外部の詐欺師がなりすまして連絡してくること自体を防げるのです。

こうしたクローズドな社内コミュニケーション環境の構築におすすめなのが、チームワークアプリ「RECOG(レコグ)」です。RECOGは1,600社以上に導入されている社内コミュニケーションアプリで、以下の点でビジネス詐欺対策としても優れています。
▶会社管理のアカウントで安全な環境を実現
RECOGのアカウントは会社が管理・発行するため、外部の第三者が勝手にアカウントを作成してなりすますことができません。「社長からのLINE」に騙されるリスクそのものをなくせます
▶クローズドなトーク機能
個人間やグループでのクローズドな会話が可能で、社内の情報が外部に漏れるリスクを低減できます。
▶万全のセキュリティ体制
ISO27001(ISMS)認証を取得し、機密情報の暗号化保管、IPアドレスによるアクセス制限、端末紛失時の遠隔ログアウトなど、企業が安心して使える堅牢なセキュリティを備えています。
▶コミュニケーション活性化で「相談しやすい風土」をつくる
RECOGのメイン機能である「レター」(感謝・称賛を贈り合う機能)は、社内の心理的安全性を高めます。日頃から気軽にコミュニケーションが取れる環境があれば、「このメール、何かおかしいかも」と感じたときにすぐ周囲に相談でき、詐欺の早期発見にもつながります。
RECOGの詳細は以下の資料で紹介しているので、ぜひダウンロードしてみてください。
ビジネスメール詐欺は、高度な技術がなくても人の心理を突くだけで成立する、きわめて巧妙な犯罪です。特にCEO詐欺は、LINEやChatworkという私たちに身近なツールを悪用するため、「まさか自分が騙されるとは」と油断しがちです。
「送金指示は必ず別手段で確認する」「緊急・秘密の指示こそ疑う」といった基本的な対策に加え、そもそも外部からなりすましができない、会社管理のクローズドなコミュニケーション環境を整備することが、最も効果的な防御策です。
自社の連絡手段を見直し、ビジネス詐欺に強い組織づくりを始めてみませんか。
<参考>