「社長から急ぎの送金依頼」メール、本物か偽物か見分け方は?
社長を装う詐欺メールは2026年に急増。送金は必ず電話で本人確認、内線で本人に直接、送金ルールの社内整備、メール上のリンクは絶対クリックしない。
目次(22項目)
結論から先に
社長・経営者を装った「至急送金依頼」「重要書類確認」などのメールは、ビジネスメール詐欺(BEC:Business Email Compromise)の典型的な手口です。2026年は生成AIによる自然な日本語、本物そっくりのメールアドレス、AIによる音声合成までを駆使した詐欺が急増しています。対策は①必ず別ルート(電話・対面・社内チャット)で本人確認、②送金ルールの社内整備(複数人承認、口座変更時の検証)、③多要素認証(MFA)とドメイン認証(DMARC/SPF/DKIM)の導入の3点。送金してしまうと取り戻すことはほぼ不可能なので、「至急」と言われても確認時間を必ず取ることが鉄則です。2026年2月にはベルトラ子会社が約5,000万円の被害を出すなど、実害が継続しています。
どんな場合に当てはまるか
経営者・役員の偽装メール
最も多いパターン。社長や役員のメール署名・文体を真似て、経理担当者に送金を指示します。「個人的な投資のため口座から〇〇銀行に振り込んでほしい」「秘密のM&A案件で前金を急ぐ」など、緊急性と機密性を強調するのが特徴。
取引先からの請求書差し替え
既存取引先からの正規請求書のあとに、「銀行口座を変更したので新しい口座に振り込んでほしい」というメールを送る手口。実際は攻撃者が事前に取引先のメールサーバを侵害して既存の通信を読んでおき、絶妙なタイミングで偽メールを送ります。
経理部長・CFO への直接指示
社外からの侵入だけでなく、社内アカウントが乗っ取られて内部から送られるケースもあります。同僚からのメールでも油断は禁物。
弁護士・税理士からの偽メール
「重要書類を添付した、確認後すぐに署名捺印して送り返してほしい」「税務調査の対応に必要なため口座情報を教えてほしい」など、専門家を装う手口。リンクをクリックすると認証情報が盗まれます。
取引銀行・カード会社からの偽通知
「不正利用が疑われるためログイン情報を確認してほしい」「カード再発行のため住所変更をお願いします」など、緊急性を強調するメッセージ。
Apple・Google・Microsoft からの偽通知
「Apple IDがロックされた」「Google アカウントの認証が必要」「Microsoft 365のサブスクリプションが期限切れ」など、誰もが使うサービスを装う。
例外状況
安全に判断できる「本物」のサイン
- 送信者ドメインが正確に一致(@yourcompany.co.jp など)
- DMARC/SPF/DKIM 認証パス(メールヘッダで確認)
- 普段の表現・連絡パターンと一致
- 急ぎではない、確認時間を許容してくれる
- 送金先口座が過去と同じ
- 複数人がCCに入った正規ルート
即座に詐欺と分かるサイン
- 送信者表示と実際のアドレスが不一致
- ドメインのスペルが微妙に違う(cornpany、g00gle 等)
- 「至急・他言無用・通常ルートを使わないで」と強調
- 日本語が微妙に不自然(敬語の使い方、漢字の混在)
- 添付ファイルが拡張子なし、または .exe / .scr / .zip パスワード付き
- リンクが短縮URL(bit.ly、t.co等)またはランダムな英数字
費用・リスク・注意点
個人・組織での実害事例
- 2026年2月:ベルトラ子会社、約5,000万円の流出
- 2025年12月:地方自治体職員、税務関係を装われ個人情報流出
- 2025年継続:国内フィッシング報告件数 約245万件(過去最多)
- 2025年6月〜:Google Cloud のアプリケーション統合機能を悪用、3,000超の組織が標的
被害発生時の流れ
- メール受信
- 偽の指示通り送金実行
- 数時間〜数日後に正規ルートで本物の社長・取引先と話し違和感
- 銀行に連絡して送金停止依頼(成功率は数時間以内なら数十%、24時間超でほぼ困難)
- 警察に被害届
- 取引銀行・JPCERT/CCに報告
- 多くは資金回収不可
組織での対策フロー
- 送金ルールの社内整備(一定額以上は複数人承認、口座変更時の電話確認義務)
- 経理担当者向けの定期セキュリティ研修(年2回以上)
- 訓練フィッシングメールの社内配信(年4回程度)
- メールサーバの DMARC/SPF/DKIM 設定(なりすまし防止)
- 全社員のMFA有効化
- 異常な送金パターンの検知(銀行・会計システム)
個人での対策チェックリスト
- 全てのメールアカウントで MFA 有効化
- メールアドレスとパスワードを使い回さない
- 不審メールはリンク・添付ファイルを開かず、直接公式サイト・公式アプリで確認
- 「至急」「秘密」「特別」のキーワードに警戒
- 振込指示は必ず別ルートで本人確認
振込前のチェック
- 送金先口座は過去の取引と一致するか
- 送金額は通常の取引範囲か
- メールアドレスのフルアドレスを目視確認
- 関連する他のメンバーにも確認
- 本人に電話で確認(メール記載の電話番号ではなく社内連絡網)
- 不安なら一晩待って翌日に判断
被害に遭った場合の対応
- 即座に振込先銀行に連絡し送金停止依頼
- 自社の取引銀行にも連絡
- 警察に被害届(サイバー犯罪対策課)
- JPCERT/CC(インシデント報告)
- 関係取引先・社内に注意喚起
- 弁護士に相談(民事的回収の可能性検討)
法的責任
業務上の重大な過失により会社に損害を与えた場合、担当者個人の責任を問われることもあります。組織全体の責任分担・承認フロー整備が個人保護にもつながります。
AI 時代の新しい脅威
- 音声合成(ディープフェイク音声)で本人そっくりの電話
- 動画合成(ディープフェイクビデオ)でビデオ会議に偽参加
- AI による標的の SNS・ネット情報の自動収集とパーソナライズ攻撃
- 多言語自動翻訳で違和感のないメール文
これらに対する「人間側の最終確認」が一層重要に。
よくある質問
Q. メールに記載されているリンクは絶対クリックしてはダメですか?
少しでも不審な点があればクリックしない。クリック時点でフィッシングサイトに個人情報を抜かれる、マルウェアが自動ダウンロードされる、メールアドレスの有効性が攻撃者に伝わる(さらなる攻撃のターゲット化)などのリスクがあります。直接アプリ・ブックマークから公式サイトにアクセスする習慣を。
Q. うっかりリンクをクリックしてしまいました。何をすべきですか?
①URLを確認(ブラウザのアドレスバーで正規ドメインか)、②認証情報を入力していたら即パスワード変更+MFA再設定、③不審な動作(端末が重い、ポップアップが多い)があったらウイルススキャン、④メーカー・会社のIT部門に報告、⑤クレジットカード情報を入力していたらカード会社に連絡。
Q. 自分が標的になっているかどうかを知る方法は?
「Have I Been Pwned」(haveibeenpwned.com)で自分のメールアドレスが過去の流出データに含まれていないかチェック。含まれていれば、関連するアカウントすべてのパスワードを変更+MFA有効化。今後も継続的にチェック。
Q. 個人事業主・フリーランスの対策は会社員と違いますか?
基本は同じですが、社内承認プロセスがないため自分一人で慎重に判断する必要があります。取引先からの「口座変更」連絡は必ず電話で本人確認。仕事用と個人用のメールアカウントを分け、仕事用は信頼できる相手のみとやり取り、を徹底すると被害を減らせます。
参考資料
- IPA「情報セキュリティ10大脅威 2026」— 最新の脅威と対策
- 警察庁「サイバー犯罪対策」— 被害届と相談窓口
- JPCERT/CC — インシデント報告窓口
広告
参考資料
掲載時点で確認した資料です。制度やガイドラインは変わることがあるため、手続き前には各機関の最新情報も確認してください。
関連記事
マイナポータルで健康保険証を使う設定、2026年の手順は?
IT・スマホ どうする?マイナポータルで健康保険証を使う設定、2026年の手順は?
結論マイナポータルアプリで「健康保険証としての利用申込」、5分で完了。顔認証対応の医療機関で即利用可。
Gmailが突然受信できなくなった、何が原因?
IT・スマホ どうする?Gmailが突然受信できなくなった、何が原因?
結論まず別端末・ブラウザでGmail.comを直接確認。ストレージ容量・迷惑メール・フィルタを順にチェック。ほとんどは設定起因で解決可能。
Wi-Fiの5GHzと2.4GHzはどっちを使うべき?
IT・スマホ どうする?Wi-Fiの5GHzと2.4GHzはどっちを使うべき?
結論近距離は5GHz(速いが壁に弱い)、遠距離・壁越しは2.4GHz(遅いが届きやすい)が原則。
Google Driveの同期が急に止まる。原因と直し方は?
IT・スマホ どうする?Google Driveの同期が急に止まる。原因と直し方は?
結論アプリ再起動→ログアウト→空き容量とフォルダパス確認の順で多くは復旧。ファイル名に特殊文字や長すぎるパスがあると個別に止まる。
同じテーマの記事
タグ #フィッシング #BEC #詐欺メール を含む他のカテゴリの記事も見る
