ニセ社長詐欺が急増――中小企業が今すぐできる会社を守る5つの仕組み
解説・執筆:加藤 悠(IT技術革新解説者 / 元シリコンバレーエンジニア)
- Tech(技術事実):生成AIと送信者詐称でBECが多チャネル化・巧妙化
- Impact(産業影響):財務の脆弱性が露呈、与信喪失と連鎖的資金流出を招く
- Insight(加藤の視点):「認証」より「運用」。送金は制度でしか守れない
「社長からのメールでも、送金してはいけない」。現場では不自然に聞こえるかもしれないが、これは生成AI時代の最低限の防御原則である。メール、LINE、チャットが統合される中、攻撃者は人間関係の隙に侵入し、会社の制度と速度を逆手に取る。本稿では、急増する“ニセ社長詐欺”の実像を解剖し、損失を回避するための5つの仕組みを提示する。
目次
不可逆な変化の波
痛み(Pain)は、信頼の窓口である「社長」「役員」の名前が、最も危険な攻撃面になったことだ。ニュース番組キャスターのもとに届いた「社長を名乗る」メールは、LINEグループの作成とQRコードのスクリーンショット送付を求め、ほどなく「今会社にいますか」「受信したら返信を」と畳みかけた。差出人表示は本名、しかしメールアドレスは別物という、典型的な“ニセ社長詐欺”である。警察庁によれば、2025年12月から約1カ月で少なくとも39件、総額約5.4億円の被害が確認され、岐阜県多治見市では同様の手口で1億円が奪われた。これは氷山の一角にすぎない。
解決(Solution)は、最新のAI検知やメール認証だけではない。根本は「送金は情報でなく制度で守る」ことである。具体的には、金額閾値に応じた多段階承認、外部チャネル命令の無効化、口座ホワイトリスト+冷却期間、発信者確認のコールバック規約、そして安全なビジネスチャット運用という5点を、経理・総務・情報システムの横断で埋め込むことだ。
そして新たな課題(New Issue)は、巧妙化する攻撃の速度である。生成AIは自然な日本語での誘導文や、過去の社内文体を模倣する。多数のメッセージングプラットフォームが乱立し、組織の境界が曖昧化する。対面・電話確認は有効だが、運用負荷を抑えつつ確実性を担保する設計が要る。守りは「人の注意力」から「仕組みの既定動作」へと中心を移さねばならない。
「信頼は認証ではなく運用で担保する。メールは命令権を与えない」
技術と背景
「ニセ社長詐欺(BEC)」とは?
“ニセ社長詐欺”は国際的にはBEC(Business Email Compromise)と呼ばれる。メールだけに留まらず、LINEやSMS、社内チャットなど複数チャネルを横断して命令を偽装し、財務処理を乗っ取る攻撃の総称である。今回のケースで重要なのは、(1)社長名の差出人表示で注意を逸らし、(2)LINEグループ作成という“準備行為”を指示し、(3)本物の社長アカウントをグループから外すことで、(4)以後のやり取りを安全だと思い込ませ、(5)口座残高や振込指示に誘導するという、段階的な心理操作である。
生成AIはこの連鎖に二つの優位性を与える。第一に、誤字や不自然な表現が減り、文体模倣が可能になった点。第二に、返信の速度と継続性である。攻撃者は複数の会話を同時に保ち、時間帯に合わせて催促や共感の言葉を自動生成する。結果、従来の「日本語が怪しいかどうか」「差出人ドメインを目視確認」といった防御は、一定の効果を残しつつも“十分条件”ではなくなっている。
「メールアドレスや日本語の不自然さのチェックだけでは見破れないケースが増えた。最善は対面・電話での確認だ」
この記事へのコメントはありません。