米本合同税理士法人

コラム
中小企業を狙うビジネスメール詐欺の実態と防衛策

「うちは狙われない」が一番危ない。中小企業を狙うビジネスメール詐欺の実態と防衛策

※このコラムは「三井住友カードBiz」2026年4月号に掲載されます。


「うちは大企業じゃないから、サイバー攻撃なんて関係ない」そう考えてはいないでしょうか。

実態は逆です。強固なセキュリティを持つ大企業よりも、社長と社員の信頼関係が厚く、迅速な意思決定が行われる中小企業こそ、犯人にとって「狙いやすく、騙しやすい」絶好のターゲットとなっています。


特に決算期や支払事務が集中する時期は、「多忙」という隙を突く機会として狙われやすいと言えます。

今回は巧妙に仕掛けられる「ビジネスメール詐欺」の手口と、現場で守るべき鉄則を解説します。


【1】社内の信頼関係を悪用する巧妙な手口

中小企業における強みは「社長のリーダーシップ」と「社員との距離の近さ」ですが、犯人はここを狙います。


「社長の指示」という絶対的なカード

社長を騙る偽メールで「極秘の買収案件」「急ぎの仕入れ」などを装い、正規の手順を飛び越えて送金を促します。「社長が急いでいるから対応しなければ」という、社長への信頼と、社員の責任感が悪用されます。


「今は電話できない」という巧妙な口実

「今から重要な会議に入る」「移動中で電話に出られない」といった一文を添えて、電話での事実確認(折り返し連絡)を未然に防ごうとします。


「LINEなどのチャットツール」への誘導

最近はメールだけでなく、LINEなどのチャットツールへ誘導するケースも目立ちます。社長を騙り「今後の業務連絡のために専用のLINEグループを作ってほしい」と指示が来るケースです。


◆ なぜ犯人は「LINEグループを作れ」と命じるのか

犯人が自ら招待するのではなく、あえて社員にグループを作らせるのは、計算された複数の意図があります。


・セキュリティ対策の回避

会社のメールシステムはセキュリティが強化されている場合が多いので、個人のLINEを使用することで会社のセキュリティを回避しようとします。


・信頼性の演出

社員自らがグループを作成し、そこに社長(偽アカウント)を招待させることで、その社員の中に「これは自分たちが作った正当な連絡方法だ」という誤った安心感が生まれます。 また、後からグループに追加された社員も「同僚が作ったグループなら本物だ」と信じ込みやすくなります。


・アイコンと「既読」によるプレッシャー

社長(偽アカウント)のアイコンにSNS等から盗用した社長の顔写真が設定されていると、誤認しやすくなります。さらに、チャットツール特有の「既読」機能が、社員に「早く対応しなければ」というプレッシャーを与え、冷静な判断を奪います。


・情報の分断とコントロール

犯人は指示に疑問を抱きそうな「事情に詳しい社員」や「IT担当」などを、極秘案件だからとグループに入れないようにコントロールします。偽の社長だけでなく偽の役員など、複数のなりすましアカウントを使い、いかにも業務が進んでいるかのような演出を行い信頼させるケースもあります。


【2】犯人が「社内の事情」を知る手口

犯人は攻撃の前に下調べを行い、なりすまし相手の情報や社内事情を把握します。


・公開されている組織図や取引実績

会社ホームページで公開されている「代表挨拶」や「主要取引先」の情報から、誰が経営者で、どの会社とやり取りがあるかを特定し、なりすましの台本を作成します。公開されている氏名などから関係者のメールアドレスを推測します。


・会社ホームページの情報やSNSの投稿

会社ホームページの「明日より展示会を開催」といった情報や、社長や社員のSNSで「今から海外出張」といった投稿は、犯人にとって「本人と連絡がつきにくい、攻撃のベストタイミング」を教える合図になります。


・「下見」の電話やメール

業者を装って電話をかけ、「経理の担当者のお名前を教えてほしい」と聞き出すなど、地道な調査で社内の人間関係を把握します。


・メールの流出

取引先のパソコンがウイルスに感染していた場合、過去のメールのやり取りが流出している可能性があります。メールの文体を模倣されると、本物と区別がつかない「偽メール」が届くことになります。


【3】現場で徹底すべき防衛策

二重確認の徹底と少しでも違和感があれば手を止めることが重要です。


・「メール(またはチャット)以外の手段」で必ず二重確認

送金先口座の変更や、急ぎの送金指示がメール(またはチャット)で届いた際は、「その連絡が来たツールとは別の方法」で本人確認を行ってください。対面での確認が確実です。


・少しでも「違和感」があれば作業の手を止める

「今日中」「あと1時間以内」など、異常に急かしてくる。

「他の役員には言わないでくれ」と、相談を口止めされる。


・社内ルールの共有と徹底

通常とは異なる送金指示があった場合は、対面での確認や二重確認を徹底するように、社内ルールを共有しておくことが有効です。


【おわりに】

ビジネスメール詐欺が狙うのは、私たちの「仕事への真面目さ」です。「社長の指示だから」と盲目的に従うのではなく、「一度立ち止まって確認する」ことが、結果として会社を守ることに繋がります。

特に決算期や支払事務が集中する時期は「多忙」という隙を突く絶好の機会として狙われやすいと言えますので、社内で「通常とは異なる送金指示には必ず二重確認」という意識を再確認していただければと思います。

 

このページを見た人はこんなページも見ています

米本グループのIT推進への取り組み

会社概要

選ばれる5つの理由

お気軽にご相談ください。
無料相談のお申込みも受け付けております。

お電話のお問い合わせはこちら

フリーダイヤル 0120-938-563

メールでのお問い合わせはこちら

お問い合わせはこちら

Copyright(c) YONEMOTO GOHDOU Tax Corporation. All Rights Reserved.

PAGE TOP