「オレオレ詐欺」と聞くと、多くの方は高齢者を狙った電話詐欺を思い浮かべるでしょう。
しかし、いま企業を狙う「法人版オレオレ詐欺」が目立っています。
社長や経営者、役員になりすまし、経理担当者や管理部門にメールを送り、業務を装って送金させる手口です。
一般には「ビジネスメール詐欺」、最近の注意喚起では「ニセ社長詐欺」と呼ばれています。
警察庁も2026年2月、法人の経営者等になりすまして、公開されている法人メールアドレス宛てに連絡し、業務を装って指定口座へ送金させる詐欺が発生していると注意喚起しています。
怖いのは、これが「いかにも怪しいメール」ではないことです。
むしろ逆です。
「社長です」
「新しいプロジェクトの件です」
「LINEグループを作ってください」
「取引先への支払いを代行してください」
「急ぎなので、社内にはまだ共有しないでください」
このように、業務らしい言葉で始まります。
警察庁の注意喚起でも、犯人はまずSNSグループの作成や招待用QRコードの返信を指示し、その後、口座残高の確認や「事業資金が至急必要だ」「取引先への支払いを代行してほしい」といった送金指示に進む流れが示されています。
つまり、これは単なるメール詐欺ではありません。
会社の意思決定、社長への遠慮、経理担当者の責任感、管理部門の少人数体制。
そうした「会社の構造」を狙った詐欺なのです。
経営者の方、管理部責任者の方、経理担当者の方
この記事は、あなたの会社が「次のはてな」にならないために書きました。
きれいごとは抜きにして、なぜ騙されるのか、どう防ぐのか、本質に切り込んでいきます。
はてなの資金流出事案
2026年4月、株式会社はてなは「不正な送金指示に起因する資金流出事案」が発生したと公表しました。
同社の開示によると、2026年4月20日および21日に、従業員のアカウントから同社の銀行預金口座を通じて外部口座への送金が実行され、被害対象額は4月24日時点で最大約11億円とされています(出典:株式会社はてな適時開示, 2026年)。
同社の2026年7月期通期営業利益予想は1億3600万円。
被害対象額の最大約11億円は、その約8.1倍に相当する規模です。
1年間必死で稼ぐ利益の8年分が、たった2日で消えたことになります。
さらに同社の現預金残高は約17億円程度。
現預金残高の65%近くがいきなりなくなってしまった格好です。
資金繰りも一気に心配になってきますね。
しかも、原因はサイバー攻撃ではありません。
社員が「正規の業務指示だと信じて」自ら送金ボタンを押した結果です。
私も企業勤めのころは、管理・経理部門の責任者だったので、今回振込を実行してしまった社員のことを考えると背筋が凍ります・・・
なぜ今、企業のオレオレ詐欺なのか
まず、状況を正確に把握しましょう。
警察庁が2026年2月13日付で異例の注意喚起を発出しました。
タイトルは「法人を対象とした詐欺(ニセ社長詐欺)に注意!」。
の発表によれば、法人の経営者等になりすまして電子メールを送り、業務をよそおって指定した口座に送金させる「ビジネスメール詐欺」が発生しています。
さらに衝撃的なのは、この被害がすでに数字となって表れていることです。
詐欺ジャーナリストの多田文明氏によれば、全国で39件の相談が寄せられ、うち16件で実際に金銭を詐取され、被害総額は計約5億4000万円に上るとのこと。
これはわずか年初から1月19日時点までの数字です。
1日あたり約2900万円が、企業の口座から消えている計算になります。
ここで一つ、問いを立ててみたいのです。
なぜ、犯罪者たちは今、個人から企業へ標的を移したのでしょうか。
個人から企業へ標的を移した
答えは「効率」です。
警察庁の統計によれば、2025年上半期の特殊詐欺被害額は約597億3,000万円(前年同期比162.1%増)と、過去最悪となった2024年の被害額を上回るペースで推移しています。
個人向けの「ニセ警察詐欺」が大流行し、社会的注目が集まったことで、消費者の警戒心が高まりました。
そこで犯罪者は気づいたのです。「個人より企業のほうが、桁違いに儲かる」と。
実際、JALの事例(2017年、約3億6000万円被害)から、はてなの事例(2026年、最大11億円被害)まで、被害額の桁が全く違います。
警察にとっては「件数1件」でも、犯罪者にとっては「年収の何十倍」が一回で手に入る。
これがビジネスとして成立してしまっているのです。
中小企業が狙われやすい
「うちは小さい会社だから狙われない」と考える経営者もみえるかもしれません。
しかし、それは逆です。
「うちは小さい会社だから、承認フローが薄く、狙われやすいかもしれない」と考えるべきです。
中小企業には、大企業とは違う弱点があります。
社長との距離が近い。
経理担当者が少ない。
資金繰りを知っている人が限られている。
急な支払いを柔軟に処理してきた。
社長の口頭指示で物事が動く。
ワークフローよりも「いつもの感じ」が優先される。
これは中小企業の強みでもあります。
しかし、詐欺師にとっては、そこが攻撃ポイントになります。
実際に岐阜県多治見市の企業でも被害もでています。
令和8年1月14日、被害者が経営する会社のメールアドレス宛に、「被害者」を差出人とした、「今後のプロジェクトに対応するための、SNSのグループを作ってください。」「入金予定の資金があるので、グループには経理担当者を招待してください。」などのメールが届いた。
出典:多治見警察署:詐欺被害の発生
メールを確認した従業員が、被害者からの指示と誤信し、SNSグループを作成すると、以後はSNS上でやり取りが行われ、被疑者から従業員に対し、「取引先の口座情報を送るので、直ちに1億円の振込をしてください。」との指示が届くと、翌15日、指示を受けた従業員が被疑者の指定口座に1億円を送金し、だまし取られる詐欺被害が発生しました。
AIの進展により怪しさが減ってきた
少し前の詐欺メールはいかにも怪しいってのがほとんどでした。
しかし、昨今はAIを使ってその怪しさを極限まで無くしてきているので判断が難しくなってきているんですよ。
そのため、今まで露呈しなかった社長なりすまし詐欺がでてきたということなのでしょう。
手口の全貌:なぜ社員は「自ら」送金してしまうのか
ここからは、実際の手口を分解していきます。
多くの解説記事は「メールに気をつけよう」で終わりますが、それでは何も解決しません。
なぜ「気をつけて」も騙されるのか、その心理メカニズムまで踏み込まなければ、対策は機能しないのです。
実在する社長名で「業務メール」が届く
警察庁の発表によると、経営者などになりすました者から、インターネット等で公開されている法人のメールアドレスに電子メールが届きます。
実在する社長名や会社名が使われるため、気がつきにくいのが特徴です。
ここで重要なのは、「いきなり送金を求めない」という点です。
LINEグループの作成を指示される
ここが従来の手口との決定的な違いです。
「新しいプロジェクトのため」などと業務をよそおい、SNSグループの作成、作成したSNSグループの招待用QRコードの返信などを指示されます。
相手からグループのQRコードが送られてくれば、怪しいと気づけるかもしれませんが、社員本人に作らせるので、他の社員も呼び寄せやすく、疑いづらくさせる狙いがあるのです。
これは行動経済学でいう「コミットメント効果」を悪用した手法です。
一度「LINEグループを作る」という小さな行動を取らせることで、その後の指示も「業務の流れ」として受け入れやすくなる。
さらにグループに振込権限者まで巻き込まれれば、もはや「社長案件のプロジェクト」として疑問視できなくなります。
絶妙なタイミングで送金指示
そして最後に、本丸の送金指示が来ます。
SNSグループ内でやりとりし、法人の口座残高を回答させるなどした上、「事業資金が至急必要だ」「取引先への支払いを代行してほしい」などと、指定した口座に送金させるのです。
CEO Fraud(CEO詐欺)と呼ばれるタイプで、企業の幹部になりすましたアカウントで、担当者に資金の緊急送金を指示して、偽口座に送金させます。
「緊急」
「秘密」
「上司の指示」
この3つが揃えば、経理担当者が「いやちょっと待ってください」と言える組織は極めて稀です。
「ニセ警察」と「ニセ社長」は双子の手口
ここで、私が今回の件で最も腹落ちした視点をお伝えします。
巷の解説記事の多くは、「ニセ社長詐欺」と「ニセ警察詐欺」を別々の犯罪として扱っています。
しかし、両者の手口を分解すると、骨格が全く同じであることが見えてきます。
| 要素 | ニセ警察詐欺(個人向け) | ニセ社長詐欺(企業向け) |
|---|---|---|
| 権威 | 警察官 | 社長・役員 |
| 緊急性 | 「捜査中」「あなたの口座が」 | 「至急の送金」「秘密案件」 |
| 隔離 | 「家族にも言うな」 | 「社内で口外無用」 |
| 誘導先 | LINE通話・テレビ電話 | LINEグループ |
| 最終目的 | 口座送金 | 口座送金 |
骨組みは「権威 × 緊急性 × 隔離」という同じ三点セットです。
これが意味するのは何か。
ニセ社長詐欺の対策を考えるには、ニセ警察詐欺で個人がなぜ騙されたのかを分析すれば、答えの大半が見えてくるということです。
警察庁の統計によれば、2025年9月末時点でニセ警察詐欺による被害は7,608件、被害額は661.2億円と、特殊詐欺全体の約68.5% を占めるまでに至っています。
これだけ社会的注目を集めたにもかかわらず、被害が止まらない。
理由は「権威 × 緊急性 × 隔離」の三点セットが、人間の認知の急所を突いているからです。
そして同じ急所を、犯罪者は今、企業に向けて突き始めているのです。
ちなみに私の元にもニセ警察詐欺電話は2度ほど掛かってきていますね・・・
実例:寸前で気づいた話
ここで、私が実際に経験した話をさせてください。
ある中小企業の経理担当者に、社長を名乗るメールが届きました。
「M&A案件で至急の手付金が必要。極秘で進めているため、社内では絶対に話さないように」という内容でした。
実は社長は本当に事業承継を検討中で、外部のM&A仲介業者と接触していました。
だから経理担当者は「あ、あの話か」と一瞬、納得しかけたのです。
寸前で踏みとどまった理由は、たった一つ。
「電話で確認するルール」を半年前に整備していたからでした。
経理担当者は社長に直接電話。
「すみません、M&Aの手付金の件ですが」と切り出した瞬間、社長の声が裏返りました。「そんなメール送ってない!」
調べてみると、メールアドレスは社長の正規アドレスから1文字だけ違っていました。「o」と「0」の違い。
並べて見れば一目瞭然ですが、メールソフトの一覧表示では絶対に気づかない違いです。
危なかったのは、犯罪者が「実在する案件」を知っていたことです。
社長のSNSや業界の噂話から、M&A検討中という情報を得ていた可能性が高い。
最近は生成AIの進化とともに、その精度はさらに上がっています。
SNSの公開情報を集めるだけで、社長の口調や業界用語を完璧に模倣したメールが量産できる時代なのです。
騙されないための防衛策
ここからが本論です。
明日から実装できる対策をお伝えします。
「電話で確認」を絶対ルール化する
最も低コストで最も効果の高い対策が電話で確認するルールを作ることです。
送金指示メールが来たら、メールに記載された連絡先ではなく、社内に登録された正規の番号で本人確認をする。
これを社内ルールとして明文化してください。
送金処理に関する承認と処理のプロセスを明文化する。
一定金額以上の送金には、多階層の承認を必要とする稟議制度を設けることが重要です。
後述するように犯人は「秘密にしろ」と言ってくるでしょう。
しかし、そのような場合も一定額を超える場合は独断で動けないルール作りをしておくことが大事です。
メールはすべて疑う
まず、会社のドメインでなく、フリーアドレスからのものであった場合、詐欺を疑ってください。
Gmail、Yahooメール、outlookなどから来た「社長メール」は、まず疑いましょう。
前述したように詐欺メールは巧みになってきています。
従業員に手口を知ってもらった上で送信元を確認するということが最低限必要でしょう。
また、フリーメールでなくても「o」と「0」、「l(エル)」と「1」、「rn」と「m」など、似た文字を使った偽ドメインは肉眼では識別困難なケースも多いです。
SPF・DKIM・DMARCといったメール認証技術を社内のメールサーバーに設定しましょう。
費用は月数千円から導入できます。
Google Workspaceなどでドメイン、メール管理するのもおすすめです。
SNSグループへの誘導は詐欺前提
最近のニセ社長詐欺で特に注意すべき点は、途中で連絡手段が変わることです。
最初はメールです。
しかし、その後にLINE、Chatwork、WhatsApp、Teams、SMSなど、別のコミュニケーション手段に誘導されることがあります。
SNSグループの作成を指示されるケースや、振込権限を持った担当者をSNSグループに含めるよう指示されるケースが多いようです。
この流れは非常に巧妙です。
なぜなら、会社のメールシステムで不審メール対策をしていても、LINEや個人スマホに移ってしまえば、会社の監視や承認フローから外れるからです。
つまり、犯人の狙いは「メールで最後までだますこと」ではありません。
会社の公式ルートから、非公式ルートへ担当者を連れ出すことです。
一度、社内ルールの外に出てしまえば、あとは心理戦です。
「急ぎです」
「社長判断です」
「まだ誰にも言わないでください」
「この件を任せられるのはあなたしかいません」
「支払いが遅れると大きな損害になります」
こう言われた担当者は、疑いながらも動いてしまいます。
ここで必要なのは、精神論ではありません。
といったルールをあらかじめ作っておくことです。
「秘密にしろ」は最大の警告サイン
「社内で口外するな」「他言無用」というキーワードが出てきた瞬間、警報を鳴らしてください。
正当なM&A案件であれば、最初に接触するのは経理担当者ではなく、必ず複数の役員等でしょう。
経理担当者だけに「秘密」を強要する案件は、構造的に存在しえないと考えるのが無難です。
「秘密に動け」と言われてもルールで動けないようにする仕組みも必要ですね。
多層防御の考え方
最近の手口は「怪しさ」を消す方向に進化しています。
ですから一つの対策だけでなく多層防御の考え方に基づいて対策を実施する必要があります。
詐欺メールを迷惑メールフォルダに自動振り分け
詐欺メールを見破る。
送信元を確認する。
電話で確認する。
社内で相談する。
送金ルールを整える。
多要素認証を入れる。
取引先への確認経路を決める。
銀行側の限度額や承認フローも見直す。
どれか一つでは不十分です。
たとえば、犯人が本物の社長名を使っていたらどうでしょう。
文面が自然な日本語だったらどうでしょう。
過去のメールを盗み見られ、社内の言い回しに似せていたらどうでしょう。
繁忙期、決算期、月末、連休前だったらどうでしょう。
「電話で確認」というルールも、社長の声まで偽造されていたらどうでしょう。
そのとき、担当者個人の注意力だけで止められるでしょうか。
私は、止められない前提で考えるべきだと思います。
人はミスをします。
焦れば判断力は落ちます。
社長からの指示には逆らいにくい。
経理担当者ほど「自分が止めたら迷惑がかかる」と考えがちです。
だからこそ、対策の中心は「だまされない社員を育てること」ではありません。
「だまされても送金できない会社にすること」です。
具体的には以下のように送金ルールの再設計をしましょう。
| 場面 | 原則 | 実務対応 |
|---|---|---|
| 社長から急な送金指示 | メールやチャットだけでは送金しない | 登録済み電話番号または対面で確認 |
| 新規口座への振込 | 即日送金しない | 取引先の既知番号へ折り返し確認 |
| 振込先変更 | メール返信で確認しない | 過去に登録した連絡先へ確認 |
| LINEやSNSへの誘導 | 送金業務では無効 | 経理責任者と上長へ共有 |
| 高額送金 | 単独処理禁止 | 申請者、承認者、実行者を分ける |
| 極秘案件 | 送金例外にしない | 監査役、管理本部長など限定ルートで確認 |
| 休日、夜間、終業前の依頼 | 原則翌営業日扱い | 緊急時は複数役員の承認必須 |
限界と注意点:完璧な対策は存在しない
上記の5つの対策を全て実装しても、被害ゼロは保証できません。
だからこそ、最後の砦は「組織文化」です。
「上司に言われた通りにやるのが正しい」という文化の会社は、この手の詐欺に騙されやすくなります。
「おかしいと思ったら、いったん止めて確認できる」文化がある会社だけが、生き残れます。
経理担当者が役員に電話確認するときに、「忙しいのに何度も確認するな」と叱責される組織は、この瞬間に詐欺のターゲットになった場合に被害に合いかねないのです。
そういった文化から変化させていく時代にきているのでしょう。
まとめ
最後までお読みいただき、ありがとうございます。
5つの対策を全部やるのは大変です。
でも、たった1つやるだけでも違います。
とくに「送金指示は必ず電話で本人確認する」というルールはぜひ導入したいところ。
ここを徹底した会社は、寸前で踏みとどまっています。
たった1本の電話が、11億円を守るのです。
