2026年5月7日、「はてなブログ」「はてなブックマーク」等のインターネットサービスを運営する株式会社はてな(東証グロース:3930、代表取締役社長:栗栖義臣)は、資金流出事案の発生を受け特別調査委員会を設置したことを東京証券取引所に適時開示しました。
同社は2026年4月24日に、悪意ある第三者からの虚偽の送金指示により最大約11億円が銀行預金口座から外部口座へ流出したと開示しており、今回の特別調査委員会設置はその事実関係・原因・再発防止策を第三者が調査するためのものです。
被害額は同社の2026年7月期通期の年間営業利益予想(1億3,600万円)の約8倍、発生当時の時価総額(約36億円)の30%超に相当する規模であり、4月25日には株価がストップ安気配のまま終日値がつかないという事態となりました。
目次
この記事のサマリー
- 2026年4月20〜21日、はてなの従業員が悪意ある第三者からの虚偽の送金指示に従い、同社の銀行預金口座から外部口座へ送金を実行。最大約11億円が流出しました。
- 被害は「CEO詐欺(ニセ社長詐欺)」に類する手口が推察されており、警察庁・IPAが2026年2〜3月に急増を理由に注意喚起を出していた矢先の被害です。
- 2026年5月7日、はてなは第三者による特別調査委員会の設置を東証に適時開示しました。
- 個人情報・顧客情報の流出は確認されておらず、運転資金への影響もないとしています。
- 損失額は捜査・回収状況により変動する可能性があり、確定後に特別損失として計上予定です。通期業績予想への影響は精査中です。
事案の経緯
| 日付 | 内容 |
|---|---|
| 2026年4月20〜21日 | はてなの従業員が悪意ある第三者からの虚偽の送金指示を受け、同社の銀行預金口座から外部口座へ送金を実行 |
| 2026年4月21日 | 取引先銀行から「不審な送金が行われている」と連絡を受け発覚。当該従業員が「犯罪に巻き込まれた可能性が高い」と判断し警察へ通報。はてなは関係金融機関への事故報告・被害回復に向けた措置を開始 |
| 2026年4月24日 | 東証への適時開示(最初の発表)。被害対象額は最大約11億円と公表 |
| 2026年4月25日 | はてなの株価がストップ安気配のまま終日値がつかず(前日比300円・25.40%安の881円気配) |
| 2026年5月7日 | 特別調査委員会の設置を東証に適時開示 |
被害規模の深刻さ——「年間営業利益の8倍」
今回の被害規模は、はてな社の財務規模に対して異例の大きさです。
| 指標 | 金額 |
|---|---|
| 被害対象額(最大) | 約11億円 |
| 2026年7月期通期 売上高予想 | 38億5,900万円 |
| 2026年7月期通期 営業利益予想 | 1億3,600万円 |
| 被害額/営業利益 | 約8.1倍 |
| 発生当時の時価総額 | 約36億円 |
| 直近決算の手元現預金 | 約17億円 |
手元の現預金が約17億円の会社から約11億円が流出したことで、財務安全性に対する懸念が市場で広がりました。はてなは「十分な流動性を確保しており、事業運営や資金繰りに支障はない」と説明しています。
「CEO詐欺(ニセ社長詐欺)」とは何か——急増する手口を解説
はてなの開示には「悪意ある第三者からの虚偽の送金指示」とのみ記載されており、詳細な手口は公表されていません。しかし公開された内容から、複数のメディアがCEO詐欺(ビジネスメール詐欺・BEC)に類する手口を受けた可能性を指摘しています。
CEO詐欺は、企業の代表者・上司・取引先等に成りすまして従業員に虚偽の業務指示を行い、不正な送金や情報提供を実行させる詐欺手法です。典型的な手口として、実在する関係者の名前・役職を名乗るメールが届き、その後「今後の業務連絡を効率的に行うためLINEのQRコードを送信してください」などとSNSグループへ誘導します。送金権限を持つ担当者を招待させ、「緊急の支払い」「重要な業務上の取引」などを理由に指定口座への送金を指示します。短い端的な文面や実在する関係者名を使用するため、迷惑メールフィルターをすり抜けやすい特徴があります。
情報処理推進機構(IPA)は2026年3月12日、「ニセ社長詐欺」として緊急の注意喚起を公表。2025年12月16日から2026年3月10日までのわずか3か月間で106件もの相談が寄せられたと報告しており、急激な増加傾向が確認されていました。
特別調査委員会——第三者による独立した調査体制
2026年5月7日の適時開示は、外部の専門家から構成される特別調査委員会の設置を公表するものです。上場企業において、自社のガバナンスや内部統制に関わる重大なインシデントが発生した場合、経営陣や関係者から独立した第三者が調査を行うことで、調査の客観性・信頼性を担保することが一般的な対応です。
委員会の主な調査対象として想定されるのは、虚偽の送金指示がどのような経路・手口で届いたかという事実関係の解明、1人の従業員が承認フローなしで11億円規模の送金を実行できた内部統制・承認プロセスの問題点、再発防止策の立案と実施体制の整備が挙げられます。
情シス・総務・財務担当者が今すぐ確認すべき対策
はてなの事案は「特定の高度な攻撃技術」ではなく、人的な判断を操作する社会工学的手口によって発生しています。以下の対策は業種・規模を問わず有効です。
送金承認フローの複数承認化として、一定金額以上の送金には複数名の承認を必須とする内部統制ルールを設けてください。単独の担当者が巨額の送金を実行できる状態は、内部不正・外部詐欺の両面でリスクになります。
送金指示の確認チャネルの分離として、メール・SNSで届いた送金指示は、指示者に別の既知の電話番号・対面で直接確認することをルール化してください。同じコミュニケーションチャネル内での確認は偽装可能なため、必ず別経路での確認が必要です。
社員向けの定期的なBEC訓練として、実際のCEO詐欺メールに類似した訓練メールを用いたフィッシング訓練を定期実施し、従業員の判断力を高めてください。
緊急時の対応手順の整備として、万が一不正な送金を実行してしまった場合は、最初の数時間が資金回収の勝負です。即座に取引銀行に「組戻し」を依頼し、警察(#9110)・IPAへの報告を行う対応手順を事前に整備してください。
参考情報
- 特別調査委員会設置に関するお知らせ(株式会社はてな、2026年5月7日)
- 資金流出事案の発生に関するお知らせ(株式会社はてな、2026年4月24日)
- IPA:「ニセ社長詐欺」に関する注意喚起(2026年3月12日)
- 【関連記事】不正アクセスとは——定義・件数・手口・目的・防止策を専門家が解説【2026年最新】
- 【関連記事】2025〜2026年 サイバー攻撃・情報漏洩の最新事例まとめ
関連記事
ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-はてな など上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】
はてなで最大約11億円の資金流出-ビジネスメール詐欺(BEC)か
北海道ガス・北海道LNG 「LNG受発注システム」への不正アクセスで取引先担当者・従業員の個人情報が流出のおそれ
2026年4月 最新 サイバー攻撃の被害 事例 まとめ
社長のなりすましビジネスチャットで3,000万円詐取-ビジネスチャット詐欺やビジネスメール詐欺(BEC)に注意
CAMPFIRE、GitHubへの不正アクセスによるサイバー攻撃で最大22万5,846件の個人情報漏洩の恐れ
米国企業を狙うロシア人「イニシャルアクセスブローカー」に禁錮81カ月の実刑判決-ランサムウェア 被害 総額は36億円超に
いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】
Google Gemini CLIにCVSS 10.0の最高深刻度の脆弱性
