近年、上場企業やその子会社を狙った「ビジネスメール詐欺(BEC:Business Email Compromise)」や、経営者・役職員になりすました送金詐欺の被害が相次いで公表され、ビジネス界に大きな衝撃を与えています。
従来のBECは、取引先になりすました偽メールや、請求書の振込先変更依頼が典型でした。しかし最近では、メールだけでなく、ビジネスチャットやSNSへ誘導して送金を指示する手口も確認されています。
今回は、最近の具体的な被害事例を振り返りながら、なぜ騙されてしまうのか、そして会社を守るために導入すべき「5つの防衛策」を整理します。
1. 近年発生した上場企業の詐欺被害事例
「はてな」や「ローランド」をはじめ、ここ1〜2年で多くの著名企業やその子会社が被害を公表しています。
| 企業名 | 被害額 | 主な手口・特徴 | 発生月 |
|---|---|---|---|
| 株式会社はてな | 最大 約 11.0億円 | 悪意ある第三者からの虚偽の送金指示により、従業員のアカウントから外部口座へ送金。 | 2026年4月 |
| ローランド株式会社(海外子会社) | 約 1.3億円 | メキシコ子会社の代表者に対し、親会社の代表取締役社長を装った第三者が送金を指示。 | 2026年4月 |
| 株式会社ZUU | 約 96百万円 | ビジネスチャット上で役職員を装った第三者が不正な送金指示。 | 2026年3月 |
| ベルトラ株式会社 (子会社) | 約 50百万円 | 子会社代表者を装った第三者がメールでSNSへ誘導し、SNS上で送金を指示。 | 2026年1月 |
| 三信電気 (海外子会社) | 約2.5億円 | 香港子会社の担当者に対し、悪意のある第三者が送金指示。 | 2025年7月 |
| スリー・ディー・マトリックス | 約 2.0億円 | 長年取引のある本物の取引先を装った口座変更依頼。 | 2024年1月 |
なぜ、プロの財務担当者が騙されるのか?
これらの詐欺は、システムの隙を突くハッキングではなく、人間の心理を巧みに操る「ソーシャルエンジニアリング」という手法が使われています。典型的には次の要素が組み合わされています。
- 「極秘・至急」で思考を奪う: 「社長直命の極秘M&A(買収)案件だ」「今すぐ振り込まないと契約が破談になる」と急かし、周囲に相談させない。
- 事前の徹底的なリサーチ: ターゲット企業の組織図や役職名、実際の取引時期を調べ上げた上で、違和感のないタイミングで連絡してくる。
- DXツールの盲点を突く: メールに加え、ビジネスチャットやSNSが悪用される。
2. 会社と子会社を守る「5つの即効防止策」
どれほどデジタル技術が進化しても、最後の防衛線は「運用のルール(アナログな確認)」です。管理部門や経営層が今すぐ徹底すべき5つの対策がこちら。
① 振込先変更には「既知の連絡先へ電話でダブルチェック」
取引先から「口座が変わった」という連絡(メールやPDF)が来たら、絶対にその連絡に記載されている番号にはかけず、以前から知っている担当者の電話番号に直接かけ直して事実確認を行う。
② 「例外なし」、多段階承認フローの徹底
「社長の特命だから」という理由で、正規の手続きをスキップはしない。送金の指示者と、最終的な実行承認者を明確に分ける「職務分掌」を厳格に守る。
③ ビジネスチャットやSNS経由の送金指示を禁止
Slack、Teams、LINEなどのメッセージだけで資金移動を完結させないルールを作る。チャットでの指示には必ず社内の正式な稟議システムや、音声・対面でのダブルチェックを必須とする。
④ 外部メールへの「警告ラベル」とドメイン監視
システム面では、組織外から届いたメールに「【外部】」というタグを自動付与。また、example.co.jp に対して examp1e.co.jp(「l」が「1」になっている)といった、視覚的に見落としやすい「酷似ドメイン」からのメールを検知・ブロックする仕組みも有効。
⑤ 「最新事例の共有」と「心理的安全性」の確保
財務・経理担当者や、ガバナンスが届きにくい海外子会社へ定期的に最新の詐欺手口を共有する。また、上司や社長の指示であっても、「上司の指示に違和感があれば疑問を呈しても良い、送金ストップして良い」という組織文化(心理的安全性)を醸成することが最大の防御となる。
まとめ:送金フローは、グループ全体で再点検を
上場企業であっても、億単位の資金が一瞬で流出する時代です。特に海外子会社やリモートワーク環境では、本社の目が届きにくく、承認・確認のプロセスが属人的になりがちです。
「うちは大丈夫」と思わず、リモートワークや海外拠点のコミュニケーションに隙が生まれていないか、今一度社内の送金フローを見直してみてはいかがでしょうか。
- 振込先変更時に、既知の連絡先で電話確認しているか。
- 経営者名義の指示でも、例外なく承認フローを通しているか。
- チャットやSNS経由の送金指示を禁止しているか。
BEC対策の本質は最新システムの導入ではありません。むしろ最後は「アナログな確認」が会社の資金を守ります。
代表社員 西村 強