【流行中】社長の名前だけどそのメール、詐欺です!最新ビジネス詐欺の手口と事例
アクモスセキュリティチームです!
もし、ある日突然、社長からこんなメールが届いたらどうでしょう。
「今すぐLINEグループを作ってほしい」
「極秘案件だから、至急送金をお願いしたい」
一瞬、手が止まる人も多いはず。何か大きな案件だろうか、それとも本当に急ぎなのか、と考える間もなく、判断を迫られます。
昨年末あたりから、こうした「ニセ社長メール」が目に見えて増え、実際に私たちのもとにも、自社の社長を名乗る不審なメールが次々と届いています。こうした状況を受け、警察庁も1月15日にX(旧Twitter)で注意を呼びかけています。
警察庁広報Xアカウント(@NPA_KOHO):https://x.com/NPA_KOHO/status/2011664646541885848
この手口は「CEO詐欺」や「ビジネスメール詐欺(BEC)」と呼ばれ、ここ数年で一気に巧妙に。被害は一部の企業に限られた話ではなく、全国各地で実際に起きています。
この記事では、最近のニセ社長詐欺がどんな流れで社員をだましていくのかを、順を追って見ていきます。あわせて、実際に届いた「社長を名乗る詐欺メール」もご紹介。そのうえで、会社として今日から取り組める対策についても、具体的にお伝えします。
目次[非表示]
- 1.急増する新たな脅威「社長なりすまし詐欺メール」とは??
- 2.攻撃者はこうして社員をだます:詐欺の巧妙な手口を3ステップで解説
- 3.なぜだまされてしまうのか?攻撃者が悪用する「人の心理」
- 3.1.権威への信頼
- 3.2.緊急性と機密性の演出
- 3.3.標的の選定
- 4.実際に届いたニセ社長メール
- 5.これだけは確認!「社長なりすましメール」を見抜く6つのチェックリスト
- 5.1.① 送信者のメールアドレスは本物か?
- 5.2.② 宛先(To/Cc)は適切か?
- 5.3.③ 件名や本文に不審な点はないか?
- 5.4.④ いつもと違う依頼ではないか?
- 5.5.⑤ 異常なプレッシャーをかけていないか?
- 5.6.⑥ 連絡手段を制限していないか?
- 6.企業を守るための具体的な対策は?
- 7.まとめ:狙われるのは「組織の隙」、防御の鍵は「人とルール」
急増する新たな脅威「社長なりすまし詐欺メール」とは??
ニセ社長詐欺とは、サイバー犯罪者が企業の社長(代表取締役・CEOや役員)になりすまし、メールなどを使って従業員をだまし、不正な送金や機密情報の提出を指示する詐欺です。これは「ビジネスメール詐欺(BEC)」の一種で、特定の人物を狙って行われる「スピアフィッシング」の中でも、特に巧妙で被害が大きい手口とされています。
警察庁や情報処理推進機構(IPA)でもこの種の詐欺が全国で相次いでいることを確認しており、企業の規模に関係なく、日本中のあらゆる組織が直面している深刻なセキュリティ上の課題です。
なお、ニセ社長詐欺は主に従業員を標的としますが、経営者本人を直接狙う似た手口は「ホエーリング(捕鯨攻撃)」と呼ばれ、区別されています。本記事では、従業員が狙われるニセ社長詐欺について解説します。
攻撃者はこうして社員をだます:詐欺の巧妙な手口を3ステップで解説
ニセ社長詐欺は、周到な計画に基づいて実行されます。典型的な攻撃の流れを3つのステップで見ていきましょう。
ステップ1 【偵察と罠】社長を名乗る「きっかけのメール」
攻撃者はまず、企業の組織図や公開情報をWebサイトなどから調査したり、自動プログラムで情報を拾い、その法人等のメールアドレスを標的にします。そして、同じく広く公開されている社長を名乗り、「差出人: アクモス社長 acmosCEO@hotmail.com」 のようなフリーメールアドレスから「今、会社にいらっしゃいますか」といった一見無害なメールを送りつけます。
これが、詐欺の罠への入り口となります。
ステップ2 【誘導】なぜ「LINE」を使わせるのか?
攻撃者は、最初のメールに返信があると、やり取りの場を会社のメールではなく、個人のチャットアプリ(特にLINE)に移そうとします。(最初のメールからLINEなどに誘導するパターンもあり)
この手口には、主に2つの狙いがあります。
1つ目は、会社のセキュリティ監視システムに気づかれにくくするため。
2つ目は、社長と直接、個人的なやり取りをしているように思わせ、心理的なプレッシャーをかけやすくするためです。
このように周囲から見えにくい閉じた環境に誘導することで、被害者が冷静に判断できない状態を作り出そうとします。
ステップ3 【実行】送金・購入指示
従業員をLINEグループなど、会社の管理が及ばない場所に誘導できたら、詐欺は最終段階に入ります。攻撃者は社長になりすましたまま、「取引先への支払いが必要だ」「極秘の買収案件がある」などと言って緊急性を強調。
そして、普段は使わない口座への送金を指示したり、追跡が難しいギフトカードの購入を求めたりします。中には、従業員の給与一覧や個人情報といった、重要な社内データの提出を求めるケースもあります。
なぜだまされてしまうのか?攻撃者が悪用する「人の心理」
ニセ社長詐欺が特に危険なのは、人の心理的な弱さを巧みに突いてくる点にあります。攻撃者は、次のようなソーシャルエンジニアリングの手口を悪用します。
権威への信頼
多くの従業員は、社長や役員など経営層からの指示に対し、素早く、誠実に対応しようとします。詐欺犯は、こうした経営層への信頼や役職が持つ影響力を悪用し、疑わせることなく指示に従わせる点が、ニセ社長詐欺の本質です。
緊急性と機密性の演出
「至急」「極秘案件」「今は電話できない」といった言葉で急かし、考えたり誰かに相談したりする時間を与えません。強いプレッシャーをかけることで、冷静な判断をできなくさせるのが狙いです。
また、リモートワークの普及により、同僚にすぐ確認することが難しくなり、一人で判断を迫られやすい状況も被害を広げています。
標的の選定
攻撃者は、会社のお金を扱う経理・財務部門の担当者や、従業員の個人情報を管理する人事部門を主に狙います。
また、社内ルールにまだ慣れておらず、上司の指示に一生懸命応えようとする新入社員や若手社員も、被害に遭いやすいでしょう。
実際に届いたニセ社長メール
ここで、いくつか実際に届いたニセメール画面を3つご紹介します。
「在社確認メール」
社長を名乗る差出人から、「今、会社にいますか」といった、とてもシンプルな在社確認のメールが届きます。差出人欄には実際の社長のフルネームが記載されているため、思わずドキッとしてしまいます。
本来なら「社長がメールで在社確認をするのは不自然だ」と感じるはずですが、その違和感が逆に「何か緊急事態が起きているのでは」と想像させ、冷静に考えられなくなってしまうのです。
「急ぎの社内連絡」
これは、「緊急の社内連絡」を装い、従業員リストの送付を求める偽のメールです。
※よく見ると、本文の冒頭にある「業務」という言葉の「業」の字が抜けています。
メールの最後には簡単な署名がありますが、これは公式な署名ではなく、Webサイトに掲載されている会社情報の「会社名」部分をそのまま抜き出したものでした。
「財務担当をLINEに誘導」
LINEグループを作成し、そこに経理・財務担当者を招待するよう指示しています。これは、LINEに誘導した後、業務命令を装って送金などを指示することを狙ったものと考えられます。
これだけは確認!「社長なりすましメール」を見抜く6つのチェックリスト
怪しいメールに気づくためには、どこに注意すればよいのでしょうか。最低限、以下の6つのポイントを常に意識することで、被害を未然に防ぐことができます。
① 送信者のメールアドレスは本物か?
表示名が社長名など本物に見えても、メールアドレスがフリーメールになっていないか必ず確認。
会社の公式ドメインではない、またはドメイン名がわずかに違う場合は、詐欺の可能性が高いです。
② 宛先(To/Cc)は適切か?
自分以外に、無関係なアドレスが多数含まれている場合があります。
③ 件名や本文に不審な点はないか?
【至急】など、過度に緊急性を煽る件名や、普段の上司の口調とは違う不自然な日本語や敬称が使われていないか確認しましょう。
④ いつもと違う依頼ではないか?
通常の社内手続きを逸脱した依頼方法(例:承認プロセスを飛ばした送金、LINEでの業務指示)や突拍子もない内容は危険信号です。
⑤ 異常なプレッシャーをかけていないか?
「今すぐ」「内密に処理して」など、即時対応を強要し、相談させないような圧力を感じたら疑ってください。
⑥ 連絡手段を制限していないか?
「電話はしないで」「誰にも話さないで」といった指示は、第三者による確認を防ぐための常套句です。
企業を守るための具体的な対策は?
ニセ社長詐欺は個人の注意だけで防ぎきれるものではありません。会社全体で取り組むべき対策を、役割ごとに整理しました。
対策1 従業員一人ひとりができること ―「確認する」文化の徹底
従業員が取るべき最も大切で効果的な対応は、「メール以外の方法で、本人に直接確認する」こと(直接連絡できない場合は上司を通じて)。
少しでも怪しいと感じた場合、メールの「返信」ボタンで確認するのは絶対に避けてください。それは攻撃者に連絡しているのと同じです。
必ず本人の携帯電話に連絡するか、会社の業務用アプリを使う、そして可能であれば直接会って、依頼内容が本当かどうかを確認しましょう。
対策2 経営者がすべきこと ―「たった1つのお約束」
従業員が判断に迷ってしまう背景には、「実際に、本物の社長や役員が緊急の指示を出すこともある」という現実があり、詐欺なのか本当の指示なのかを、その場で見分けるのは簡単ではありません。
この迷いをなくすことこそ、経営者に求められる重要な役割。トップが明確なルールを定め、全社員に周知することが、最大の防御策となります。
たとえば、社長や役員は次の原則を「会社としての約束」として宣言してください。
『メールやLINEなどの文章だけの手段で、緊急の送金指示や個人情報の提出を求めることは絶対にしない』
このような方針が明確であれば、従業員は「この指示はおかしい」と自信を持って判断でき、偽の指示を恐れずに断ることができます。
対策3 会社組織として導入すべきこと ―「仕組み」と「訓練」
人の意識や経営方針に加え、組織的な対策を組み合わせることで、セキュリティはさらに強化されます。
仕組み
SPF・DKIM・DMARCなどのメール認証技術を導入し、不正メールを防ぎます。また、高額な送金には必ず複数人の承認を必要とする「二重承認ルール」を徹底し、一人の判断で完結しない仕組みを作ります。
訓練
最後の防御線は「人」です。定期的な標的型攻撃メール訓練を行うことで、従業員が怪しいメールを見抜き、正しく対応できる力を身につけ、組織全体で強固な「人的防御体制」を築くことができます。
まとめ:狙われるのは「組織の隙」、防御の鍵は「人とルール」
ニセ社長詐欺は、技術の弱点ではなく、人の「信頼」や「心理」を突く深刻な脅威です。重要なのは、高度なシステムよりも、組織としての備えです。
完璧な対策はなく、人は誰でもミスをします。だからこそ、経営者が定める明確なルールと、訓練によって身につく従業員の判断力の両方が欠かせません。
社長から「緊急の依頼」が届いたときでも、社員が迷わず安全に対応できる備えを、ぜひ整えてみてください!
――
アクモスでは2026年も、皆さまのセキュリティ対策を支えるさまざまなソリューションをご提供しています。その一つが、今回ご紹介した「ニセ社長詐欺メール」も想定した標的型攻撃メール訓練サービスです。実際の手口を再現した訓練メールを、事前に全社へ送信することができます。
「どんなに巧妙なメールでも、だまされない組織にしたい」
「社員・職員全員のセキュリティ意識を底上げしたい」
そのようにお考えの企業様は、まずは「サービスの全容がわかる資料ダウンロード」または「無料でメール訓練サービスを試せるフリープラン」をどうぞ!
<アクモスのセキュリティサービス紹介>
標的型攻撃メール訓練サービスの概要
<アクモスのセキュリティサービス紹介>
TMT3ヶ月プラン・料金の詳細
<資料で検討したい場合>
サービス資料のダウンロード
<問い合わせしたい場合>
お問い合わせ・導入相談
<2ヶ月間無料で体験できる無料プランで試してみたい場合>
Freeプランのお申込みはこちら
