2025年末以降、日本企業を標的とした新たなビジネスメール詐欺(BEC)が猛威を振るっている。実在の経営者を装ったメールで「緊急のLINEグループ」に誘導した上で送金を指示する巧妙な手口で、“ニセ社長詐欺”とも呼ばれている。2月になっても詐欺メールはやまず、2026年2月13日には警察庁も「法人を対象とした詐欺(ニセ社長詐欺)に注意!」と題するWEBページを公開し、啓蒙に乗り出した。
BEC : Business Email Compromise の略称
ネットニュースや各社のセキュリティ部門による注意喚起により、その存在自体は認知されつつある。しかし、組織の「隙」を突く攻撃の手は緩んでいない。直近では、旅行予約サイト「VELTRA」を運営するベルトラ(東証グロース)の子会社であるリンクティビティ社において、約5,000万円という巨額の詐欺被害が発生していたことが明らかになった(ベルトラのリリースはこちら)。
発端は、2026年1月上旬にリンクティビティ社の従業員に届いた「社長」を装った偽メールだ。従業員はメールの指示に従って外部のSNSアカウントへと誘導され、そのSNS上で犯人側から同社の経理担当者に対し「虚偽の送金指示」が出された。これを「社長からの指示」と信じた経理担当者は会社の銀行届出印を持参し、銀行窓口で振込手続を実行。その結果、リンクティビティの口座から、悪意ある第三者が指定する口座に約5,000万円が送金された。
送金完了後、社内で事実関係を確認したところ、当該指示が虚偽であること、犯罪に巻き込まれた可能性が高いことが判明。ベルトラは管轄警察署に被害を届け出るとともに、金融機関にも事故報告を行ったうえで、振込先口座の凍結を依頼した。
最終的な損失額は、被害資金の回収可能性や保険適用の可否を含め現在精査中としているが、ベルトラは2025年12月期決算において、本件を重要な後発事象として注記する予定。また、事実関係が確定した段階で損失として計上する方針を示している。
後発事象 : 決算日後に発生した会社の財政状態、経営成績及びキャッシュ・フローの状況に影響を及ぼす会計事象
ベルトラの2025年12月期の連結営業利益は約1億円であり、ようやく5期ぶりの通期黒字化を果たした矢先の出来事だった。仮に約5,000万円の損失を取り戻すことができなければ、たった一通のメールを発端に、前期利益の約半分が失われる計算となる。
では、なぜ今回の事態を防げなかったのだろうか。
ベルトラはその理由として、同社グループにおける支払業務は電子決済(ネットバンキング)を原則としているため、「銀行窓口での振込み」や「銀行届出印の管理」という例外的な対応に関する詳細な規程・承認プロセスが未整備だったことを挙げている。
ベルトラが示した再発防止策は下記のとおり。③の従業員の訓練は他企業にとっても必須となる。詐欺の手口が高度化する中、最後の防波堤は個々の従業員のリテラシーである。具体策としては、IT部門が模擬詐欺メールを送信し、各従業員の対応状況を個別にモニタリングする方法がある。これにより、社内のリスク感度(各従業員の詐欺メールへのリテラシー)を可視化することができる。
また、特に上下関係の強い企業は「心理的安全性の確保」にも取り組む必要がある。「役員の指示だから」という上下関係の力学を利用するのが詐欺師の常套手段だからだ。
| ① 通信手段及び本人確認の厳格化 業務用通信ツールの認証強化(パスワード管理、二段階認証)に加え、メールや SNS 等の非対面ツールによる送金指示に対しては、電話など異なる通信手段による本人確認(コールバック)を義務化し、なりすましの排除を徹底いたします。 ② 決済承認プロセスの明確化と規程の改定 「銀行窓口での振込手続」及び「銀行届出印の管理」について、代表者または正規権限者による直接承認のための手続きを明確にするため、速やかに関連する社内規程及び業務フローを改定いたします。 ③ 従業員に対する不正検知・防犯教育の徹底 当社グループ全役職員を対象に、ビジネスメール詐欺(BEC)等の最新手口に関する教育・訓練を定期化いたします。組織全体のリスク感度を高め、不測の事態にも個々人が自律的に防御できる体制を整備いたします。 ④ 金融機関との連携強化 取引金融機関とは不正送金対策に関する情報共有を継続し、万が一の事態における早期検知及び即時対応が可能な協力体制を構築してまいります。 ⑤ 心理的安全性の確保と報告・相談文化の定着 「役員からの指示であっても、不審点は即座に確認・相談することが正当な業務遂行である」という認識を全社に浸透させてまいります。心理的圧力を悪用した犯罪に対抗しうる、健全な牽制機能を組織風土として定着させてまいります。 |
既報のとおり、ベルトラの事案が発生する前の2025年11月には、信和(東証スタンダード)でも、子会社が「サポート詐欺」の被害に遭い、最大約2億5,000万円の損失が発生している(信和子会社のサポート詐欺被害の詳細については2025年12月15日のニュース「上場企業も被害に 巧妙化するサポート詐欺の脅威」を参照)。ベルトラではビジネスメール詐欺、信和ではサポート詐欺と手口こそ異なるが、「被害が子会社で発生した」という点は共通している。子会社は管理部門の人材が少なく、親会社と比べて内部牽制が十分機能していない傾向にある。両事例とも、子会社における内部統制の脆弱な部分を突かれた格好だ。
サポート詐欺 : PCでインターネット閲覧中に、突然ウイルスに感染したかのような偽の警告画面を表示したり、警告音を鳴らしたりして閲覧者の不安を煽り、画面に記載されたサポート窓口へ電話をかけさせ、サポートの名目で金銭をだまし取ったり、遠隔操作ソフトをインストールさせて情報を盗み取ったりする詐欺の手口
信和が2026年2月9日に公表したリリースによると、同社の子会社では遠隔操作ソフト(LogMeIn Rescue、Ultraviewer、Splashtop)が3種類もインストールされ、ネットバンキングを通じて不正送金が行われたという。2億5,000万円は既に同社の2026年3月期第3四半期決算において「その他の費用」として計上済みであることが示すように、その回収可能性は相当低いとみられる。
信和が示した再発防止策は以下のとおり。
| (1)業務プロセスの管理強化 ・資金決済における管理プロセスの見直し ・インターネットバンキング利用におけるセキュリティ設定の再確認と強化 (2)システムセキュリティ対策の強化 ・遠隔操作ソフト等の不正なアプリケーションのインストール制限および監視体制の強化 ・不審なWebサイトへのアクセス制限の強化 (3)社内教育の徹底 ・全役職員に対し、「サポート詐欺」の手口や対応方法を含むセキュリティ教育を再度実施。 (4)子会社監査の強化 ・再発防止策の厳格な運用のモニタリング、チェックを監査項目に追加 |
信和もベルトラと同様、「教育の徹底」を再発防止策の柱に据えている。ただ、詐欺の手口は常にアップデートされているため、もはや「定期的」な教育だけでは追いつかなくなっているのが現状だ。信和の事案発覚後、あるいはベルトラが被害に遭った「緊急LINEグループ」型詐欺が流行し始めた段階で、自社のセキュリティ担当取締役(CISO)等が子会社と連携して即座に注意喚起を行っていたかを点検するとともに、グループ全体に適時にアラートを出せる体制の構築に努めたい。
CISO : Chief Information Security Officerの略称
Facebook公式ページ
Twitter公式ページ