• 電話で奪われる1億円──今、企業が直面する新たな脅威
• ボイスフィッシングとは何か──メールより恐ろしい「声の罠」
• 金融機関を装う犯罪の連鎖──2025年日本で何が起きているか
• 今日から始める防衛策──電話詐欺に負けない組織作り
• まとめ

電話で奪われる1億円──今、企業が直面する新たな脅威

あなたの会社に銀行から電話がかかってきたら、どう対応しますか? 自動音声が「セキュリティ上の理由で確認が必要です」と告げ、続けて担当者が電話口に出てきたら──多くの人は疑いなく指示に従ってしまうのではないでしょうか。

2025年、日本国内でボイスフィッシング(ビッシング)と呼ばれる攻撃手法による被害が相次いでいます。新潟県内のある企業では、わずか一度の電話をきっかけに約1億9,000万円が奪われました。山形鉄道では約1億円、香川県の企業では5,000万円──これらはすべて、電話を起点とした巧妙な詐欺によるものです。

私たちはメールによるフィッシング詐欺には慣れてきました。怪しいリンクをクリックしない、送信元を確認する──こうした対策は常識になりつつあります。しかし、「声」を使った攻撃に対しては、まだ多くの企業が無防備なのが現状です。

ボイスフィッシングとは何か──メールより恐ろしい「声の罠」

ボイスフィッシングは、電話という古典的な手段を使いながら、極めて現代的な攻撃を仕掛けてきます。攻撃の流れはこうです。

まず、あなたの会社に自動音声の電話がかかってきます。「こちらは○○銀行です。セキュリティ強化のため、お客様の情報更新が必要です」──機械音声による案内は、まるで本物の銀行システムのよう。指示に従ってボタンを押すと、今度は"担当者"を名乗る人物が登場します。

この担当者は非常に丁寧で、詳しい手順を説明してくれます。「メールをお送りしますので、そちらから必要事項をご入力ください」。**届いたメールには本物そっくりの銀行サイトへのリンクがあります。そこでインターネットバンキングのIDやパスワード、そしてワンタイムパスワードまで入力してしまえば、攻撃者の思うつぼです。

従来のメール詐欺との最大の違いは、「リアルタイム性」にあります。メールなら受信してから考える時間がありますが、電話は即座の対応を求めてきます。相手の声、言葉遣い、説明の丁寧さ──これらすべてが「本物だ」という錯覚を生み出すのです。

しかも攻撃者は、発信者番号の偽装技術まで使います。あなたの携帯電話に表示される番号は、実際に取引している銀行の番号そのもの。疑う理由が見当たりません。

金融機関を装う犯罪の連鎖──2025年日本で何が起きているか

2025年は地方銀行を中心に「銀行を装う自動音声」による被害が連鎖的に発生しました。

新潟県内の企業では、取引先金融機関を名乗る自動音声から「会社情報が未更新のため、取引を停止する可能性があります」という警告を受けました。担当者が指示に従って操作すると、後日届いたメールのサイトでネットバンキングの認証情報を入力。その結果、2回に分けて合計約1億9,000万円が別口座へ送金されていたのです。

琉球銀行では法人向けインターネットバンキングで約1億円の不正送金が発生。被害を受けて同行は即時振込を停止し、翌日扱いの予約振込は行員による審査を経て実行する体制に変更しました。

北陸銀行と北國銀行も相次いで法人向けインターネットバンキングの一部機能を一時停止。金融機関側がシステムを止めざるを得ないほど、被害が広がっているのが現状です。

これらの事件には共通点があります。最初は自動音声、次に"親切な担当者"、そしてメールによる偽サイトへの誘導──段階的に信頼を積み重ねていく手法です。一つひとつの要素は不自然ではないため、被害者は最後まで詐欺だと気づかないのです。

今日から始める防衛策──電話詐欺に負けない組織作り

では、どうすれば企業はボイスフィッシングから身を守れるのでしょうか。技術的な対策と人的な対策、両方が必要です。

まず大前提として覚えておいてください。銀行や公的機関は、電話や自動音声でパスワードやワンタイムパスワードを要求することは絶対にありません。これは金融機関が長年守り続けているルールです。

組織として最初にすべきは、明文化された方針の策定です。「電話で認証情報は渡さない」という原則を経理・資金担当者全員に周知し、マニュアル化します。そして定期的に訓練を実施しましょう。メール型だけでなく、電話型の疑似演習も効果的です。

技術面では、法人口座の利用端末を固定し、アクセス元IPの制限をかけることが有効です。さらに端末証明書の利用、承認ワークフローの二重化(別端末・別経路での承認)、即時振込の上限引き下げやホワイトリスト化も検討すべきでしょう。

CRMや外部連携サービスを使っている企業は、特に注意が必要です。本体システムが安全でも外部連携の認証情報が弱点になります。定期的なアクセストークンの見直し、不要な連携の削除、アクセスログの監視──これらを怠らないことが重要です。

もし万が一、認証情報を入力・共有してしまった場合はどうするか。緊急対応手順をあらかじめ定めておきましょう。ただちに金融機関へ連絡して口座凍結やトークン失効を依頼し、併せて社内のパスワード変更、セッション失効、アクセスログ確認を行います。初動の早さが被害の大きさを左右します。

まとめ

私が強調したいのは、「おかしい」と思ったら立ち止まる文化を組織に根付かせることです。どれほど相手が丁寧でも、どれほど緊急を要すると言われても、一度電話を切って正規の窓口に確認する──この当たり前の行動が、何億円もの損失を防ぐのです。

電話という古くからあるツールが、最新のサイバー攻撃の武器になっている現実。私たちはこの新しい脅威に、技術と意識の両面から立ち向かわなければなりません。あなたの会社にかかってくる次の電話が、攻撃の始まりかもしれないのですから。