サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

はてなが11億円を詐取された手口とは? 急増する「ニセ社長詐欺」から会社を守る5つの対策

セキュリティニュース フィッシング サイバー攻撃 セキュリティ意識向上 セキュリティ対策 インシデント対応

一通のメールで、11億円が消えた

2026年4月24日、インターネット関連事業を手がける株式会社はてなが、驚くべき事実を公表しました。約11億円もの資金が、同社の銀行口座から外部の口座へと流出したのです。
発端は、4月21日に取引先銀行から寄せられた「不審な送金が行われている」という一報でした。社内で確認したところ、ある従業員のアカウントから、4月20日と21日にかけて外部口座への送金が実行されていたことが判明します。

本人に事情を聞くと、「悪意ある第三者から虚偽の送金指示があった」というのです。つまり、何者かが巧妙に従業員をだまし、正規の手続きを通じて11億円を引き出させたということになります。
幸い、個人情報や顧客情報の流出は確認されておらず、運転資金にも影響はないとのこと。ですが、ひとりの従業員が受け取った指示ひとつで、これだけの金額が一瞬で失われた事実は、規模や業種を問わず他人事とは言えません。

「うちは狙われない」という油断が、いちばん危ない

実は、この種の詐欺は今まさに急増しています。
情報処理推進機構(IPA)は2026年3月12日、「ニセ社長詐欺」と呼ばれる手口について緊急の注意喚起を行いました。相談件数は2025年12月半ばから急増し、12月16日から2026年3月10日までのわずか3か月で106件もの相談が寄せられたといいます。

警察庁も2026年2月13日、「法人を対象とした詐欺(ニセ社長詐欺)」として独立した注意喚起を出しました。これは国際的に「ビジネスメール詐欺(BEC:経営層などになりすまして送金を指示するメール詐欺)」と呼ばれる攻撃の一種です。
単発のいたずらではなく、国の機関が繰り返し警鐘を鳴らすほど組織的かつ継続的に日本企業を狙った攻撃として展開されているのです。

なぜ、人は「社長からの指示」に逆らえないのか

IPAが示した典型的な手口は、次のような流れです。

  • 社長や役員の名前でメールが届く(差出人はoutlook.comやhotmail.comなどのフリーメール)
  • 件名には自社名、宛先は社内のメーリングリスト
  • 本文で「LINEグループを作ってQRコードを返信してほしい」と指示される
  • LINEに誘導されると、あとは取引や送金の話が自然に進められる

巧妙なのは、ここから先の会話がメールではなくLINE上で展開される点です。普段から経営層とLINEでやり取りしている会社であれば、従業員は「本物の社長とのやり取り」だと信じ切ってしまいます。
さらに、攻撃者は事前に会社の組織構造や取引先、役員名を下調べしています。公開されている会社案内やプレスリリース、過去の情報漏洩で流出した社員名簿などから、驚くほど詳細な情報を集めているのです。

そのうえで「社長直々の極秘案件」「今日中に送金が必要」と畳みかけられれば、担当者が冷静な判断を失うのも無理はありません。ここに、この詐欺の怖さがあります。

情シスが今すぐ打つべき5つの対策

ではどうすれば防げるのか。情報システム部門が主導すべき対策を5つに絞ってお伝えします。

対策1:送金前に「別経路での本人確認」を必須化する
メールやチャットで送金指示が来た場合、必ず電話や対面など別の手段で本人に確認するルールを設けましょう。同じメールに返信して確認するのは意味がありません。攻撃者がその返信も受け取ってしまうからです。

対策2:なりすましメールを検知する仕組みを整える
フリーメール(outlook.com・hotmail.com等)から役員名を差出人に立てたメールが届いた場合に警告を出す、メールゲートウェイのルール整備が有効です。併せて、自社ドメインのDMARC・SPF・DKIM(メール送信元の正当性を検証する仕組み)が正しく設定されているか点検しましょう。

対策3:役員情報の公開範囲を見直す
攻撃者は偵察段階で、公開情報から役員名やメールアドレス、社内メーリングリストを集めます。ホームページに必要以上の役員個人情報を掲載していないか、この機会に棚卸ししてください。

対策4:経理・総務への教育訓練を継続する
送金権限を持つ部門への標的型メール訓練は、年1回では不十分です。手口は日々変化しています。少なくとも四半期に一度、最新事例を共有する場を設けましょう。

対策5:送金は必ず複数名承認に
一人で完結できる送金フローは、それ自体がリスクです。金額に応じた複数名承認と、一定額以上は経理責任者による最終確認を制度化してください。

もし被害に遭ってしまったら

万が一送金してしまった場合、最初の数時間が勝負です。
ただちに取引銀行に連絡し、「組戻し」の手続きを依頼してください。資金が着金先の口座からさらに移動する前であれば、回収できる可能性があります。並行して警察への相談(#9110)、IPAへの情報提供、社内対策本部の設置を進めましょう。

最後に強調しておきたいのは、「うちは大丈夫」がいちばん危ないということです。
11億円を失ったはてなも、決してセキュリティに無頓着な会社ではありません。それでも一人の従業員が一度だまされれば、これだけの被害が生じてしまう時代なのです。
今日これから、送金フローと役員なりすましへの備えを、ぜひ社内で点検してみてください。その一歩が、明日の11億円を守ります。

Japan Cyber Security Inc. All Rights Reserved.