member-blog メンバーブログ

 
2026.01.16

【注意喚起】年明けから増加する「社長なりすましメール」について

セキュリティ

年明け以降、「社長を名乗る不審なメールが届いた」「急ぎの送金を指示された」「LINEに誘導された」といったご相談が増えています。
これらは単なる迷惑メールではなく、企業を狙ったビジネスメール詐欺(BEC:Business Email Compromise)の可能性が高い手口です。

特に中堅・中小企業では、少人数で経理・総務を回しているケースも多く、“急ぎの指示”に対応しやすい環境が狙われる傾向があります。
被害に遭うと金銭的な損失だけでなく、取引先や社内への影響が大きくなるため、早めの対策が重要です。

「社長なりすましメール(BEC)」とは?

社長や役員、取引先などになりすまし、送金や情報提供を誘導する詐欺です。
メールの文面が自然で、実在する社長名や役職名が使われるため、受信者が“本物”だと判断してしまうことがあります。

また最近は、メールだけで完結させずにLINEなどのチャットへ誘導し、やり取りを続けるケースも確認されています。

最近特に多い「社長なりすまし」パターン

1)「至急、送金対応してほしい」型(緊急・内密)

よくある特徴:

  • 「今日中」「今すぐ」など、短い期限を強調
  • 「外には言わないで」など、相談させない雰囲気を作る
  • いつもと違う振込先・金額・対応フローを要求

2)「LINEグループを作って」型(チャット誘導)

近年増えている手口のひとつです。
普段の社内連絡に近い形で進むため、疑いづらい点が特徴です。

  • 「社長です。今すぐLINEを作って」
  • 「経理も入れて進めて」
  • (チャット内で)振込指示や口座情報を提示

3)「取引先の振込口座が変わった」型(請求書改ざん)

「監査対応」「手続き変更」など、もっともらしい理由で口座変更を依頼し、振込先をすり替える手口です。
請求書自体が“それらしく整っている”ことも多く、目視だけでは判別が難しいケースがあります。

受信者が判断しやすい「注意すべきサイン」

メールの見た目より、内容や指示の特徴に注目してください。
次のような条件が重なる場合、注意が必要です。

  • 「至急」「今日中」など、時間を迫る指示
  • 「極秘」「誰にも相談しないで」など、孤立させる誘導
  • いつもと異なる振込先/口座変更
  • 手続きの省略(稟議不要、承認不要)を求める
  • メールから別の連絡手段(LINEなど)へ移動させようとする

一番効果が高い対策は「確認をルール化すること」

詐欺は、確認を省略した瞬間に成立してしまいます。
逆に言えば、「確認する仕組み」を作っておけば被害は大きく減らせます。

ポイントはシンプルです。

送金・口座変更・緊急依頼は、メールだけで判断しない
必ず別の連絡手段(電話・対面・社内チャットなど)で、本人確認を行いましょう。

情報セキュリティ担当者の視点でおすすめする対策(実務向け)

ここからは、現場で導入しやすく、効果が出やすい対策を優先してまとめます。
全てを一度に行う必要はありません。実施できるところから取り入れることが重要です。

1)送金は「二重承認」を必須にする(最優先)

  • 経理担当が作成 → 別の責任者が承認
  • 一定額以上は必ず複数人チェック
  • 緊急対応でもルールは例外にしない

これだけで、被害の多くは防止できます。

2)「口座変更」は特別ルールで取り扱う

口座変更は詐欺に悪用されやすいため、通常の請求処理と分けて扱うことをおすすめします。

  • 変更依頼が来たら、必ず取引先へ電話確認
  • 電話番号はメール本文ではなく、名刺・Webサイトなど“信頼できる情報”から確認
  • 確認した記録(日時・担当者名)を残す

3)社長・役員依頼は「合言葉」や「固定の確認手順」を決める

例:

  • 送金依頼は「電話折り返し確認」が必須
  • 合言葉で本人確認(社内だけの簡単な質問)を行う

ITが得意でなくても、運用に乗せやすい対策です。

4)社内連絡はチャットツールに統一し、社内メールを使わない

なりすましメール対策として有効なのが、社内の連絡経路を一本化することです。
社内のやり取りをチャットツール(Teams/Slack/LINE WORKS など)に統一しておくと、次のメリットがあります。

  • 「社内の緊急指示はチャットで来る」という前提ができ、メールを疑いやすくなる
  • なりすまし犯がメールで誘導してきても、社員が「社内はチャット」と判断できる
  • 連絡履歴が残り、確認・共有がしやすい

運用ポイントとしては、
社長・役員からの緊急依頼も“チャットで送る”ルールに統一することをおすすめします。
例外的にメールを使う場合は「目的」と「手順」を決めておくと、現場で迷いにくくなります。
(例:社外とのやり取り・正式文書の送付のみ 等)

5)送信元アドレス確認を“見るべき場所”として共有する

表示名が社長でも、実際のアドレスは別人というケースがあります。

  • メールの「差出人アドレス」を確認する癖をつける
  • 社長本人の正しいアドレスを社内に共有しておく

6)多要素認証(MFA)を有効化する

BECは、なりすましだけでなくメールアカウント乗っ取りから発展するケースもあります。
Microsoft 365 や Google Workspace を利用している場合は、MFAの導入を優先してください。

7)不審な“受信ルール”や“自動転送”を定期確認する

侵入後にメール転送や受信ルールを書き換え、やり取りを盗み見されるケースがあります。

  • 外部への自動転送が設定されていないか
  • 特定のメールが勝手に既読・削除されていないか
  • 管理画面の監査ログを定期確認する

8)社員向けには「断り文句のテンプレ」を用意する

忙しい現場で最も困るのは、急いでいるときに“どう返せばいいか分からない”ことです。
テンプレがあるだけで、判断が安定します。

例:
「社内ルールにより、送金は電話確認が必要です。折り返しご連絡します。」

もし対応してしまった場合

万が一、返信や送金を行ってしまった場合は、早い対応が被害拡大を防ぎます。

  1. 金融機関へ連絡(組み戻し・停止の相談)
  2. 社内(上長/経理責任者/情シス)へ即共有
  3. メール・LINEの内容を保存(スクリーンショットも可)
  4. 必要に応じて警察や関係機関へ相談

まとめ:大切なのは「仕組みづくり」

社長なりすましメールは、IT知識の不足よりも、“急ぎの指示に対応しようとする心理”を狙う攻撃です。
だからこそ、現場の負担を増やすのではなく

  • 送金は二重承認
  • 口座変更は電話確認
  • 社長依頼は固定の確認手順
  • 社内連絡はチャットに統一
  • 断りテンプレを用意

といった、誰でも迷わず実行できるルールに落とし込むことが重要です。

アップデート株式会社では、こうした「現場で運用できる対策」を重視し、中堅・中小企業の皆さまの情報セキュリティ強化をご支援しています。
気になる点があれば、お気軽にご相談ください。

arrow_back_ios 一覧に戻る