ビジネスメール詐欺やなりすましチャットによる不正送金被害まとめ-はてななど上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月27日更新日時: 2026年06月02日

ビジネスメール詐欺やなりすましチャットによる不正送金被害まとめ-上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】

2025年後半から2026年にかけて、上場企業を含む国内企業が「虚偽の送金指示」によって多額の資金を騙し取られる事案が相次いでいます。被害総額は判明分だけで約15億1,600万円に上り（はてな最大11億円含む）、手口はビジネスメール詐欺（BEC）・ビジネスチャット詐欺・サポート詐欺・ボイスフィッシングと多様化しています。

本記事では、各社の被害事案を手口別に整理し、共通する脆弱性と対策を解説します。

【この記事のサマリー】

はてな（3930）が2026年4月20〜21日に最大約11億円の不正送金被害を公表。被害対象額は通期営業利益予想の約8.1倍に相当します。
ZUU（4387）が2026年3月19日にビジネスチャット上のなりすましで9,600万円の資金流出を公表。
ベルトラ（7048）子会社・リンクティビティが2026年1月上旬にフィッシングメール→SNS誘導→送金指示という手口で約5,000万円を失いました。
信和（3447）子会社が2025年11月29日にサポート詐欺（偽の警告画面→遠隔操作→ネットバンキング不正送金）で2.5億円の被害に遭いました。
社長なりすましによるビジネスチャット詐欺で3,000万円、山形鉄道へのボイスフィッシング（ベトナム人を逮捕）で1億円の被害も発生しています。
これらの攻撃はマルウェアや不正アクセスを一切使わず、人間の判断を直接標的にするため、従来のセキュリティ製品では検知できません。「電話等の別経路での確認義務化」「多重承認フローの整備」「組織文化の醸成」が有効打です。

1 被害事案の一覧
2 事案1：はてな（3930）——最大約11億円。通期営業利益予想の8.1倍
3 事案2：ZUU（4387）——9,600万円。ビジネスチャット上の「社内役職員へのなりすまし」
4 事案3：信和（3447）——2.5億円。サポート詐欺→遠隔操作→ネットバンキング不正送金
5 事案4：山形鉄道——1億円。ボイスフィッシング。ベトナム人グループが逮捕
6 事案5：ベルトラ（7048）子会社リンクティビティ——約5,000万円。フィッシングメール→SNS誘導という「2段階の騙し」
7 事案6：社長なりすましBEC——3,000万円。群馬・前橋市の建設設備会社
8 6件から見えてくる共通パターン——なぜ騙されるのか
9 手口の分類と技術的な特徴
10 対策——制度・技術・運用・人の4層で防ぐ
11 よくある質問（FAQ）
- 11.1 関連情報

被害事案の一覧

企業	発生時期	被害額	手口の分類
はてな（3930）	2026年4月20〜21日	最大約11億円	虚偽の送金指示（手段不明）
ZUU（4387）	2026年3月19日	9,600万円	ビジネスチャット上のなりすまし
信和（3447）	2025年11月29日	2億5,000万円	サポート詐欺→遠隔操作→ネットバンキング
山形鉄道	不明	1億円	ボイスフィッシング
ベルトラ（7048）子会社	2026年1月上旬	約5,000万円	フィッシングメール→SNS誘導→送金指示
社長なりすましBEC	不明	3,000万円	ビジネスチャット（社長CEO詐欺）
合計		最大約15億1,600万円

事案1：はてな（3930）——最大約11億円。通期営業利益予想の8.1倍

2026年4月24日、株式会社はてな（東証グロース：3930）は、4月20日および21日に従業員が悪意ある第三者から虚偽の送金指示を受け、会社の銀行預金口座から外部口座へ資金が送金されたとして適時開示を行いました。被害対象額は現時点で最大約11億円です。

発覚の経緯は4月21日の取引先銀行からの連絡でした。確認したところ、当該従業員は2日間にわたって送金を実行しており、21日の送金完了後に自ら指示の虚偽に気づき警察へ連絡しました。

同社の2026年7月期通期営業利益予想は1億3,600万円であり、被害対象額はその約8.1倍に相当します。同社は「手元の運転資金について十分な流動性を確保しており、事業運営や資金繰りへの支障はない」としていますが、損失確定後に特別損失として計上する方針です。

リリースでは送金指示の手段（メール・電話・チャット等）は現時点で明示されていませんが、虚偽の送金指示によって担当者が自らの意志で送金を実行させられるという構造は、ビジネスメール詐欺（BEC）の典型的な手口と合致しています。個人情報・顧客情報の流出は現時点で確認されていません。

そもそも論——なぜ1人の従業員が11億円を送金できたのか

本件で見落としてはならない本質的な問題が、1人の従業員が2日間で最大約11億円を送金できる権限・体制が存在していたという点です。

通常、財務・経理部門における内部統制の基本原則は「職務の分離（Segregation of Duties）」です。送金を「指示する人」「承認する人」「実行する人」を分離し、1人が全工程を完結できない設計にすることで、不正・誤操作・詐欺のいずれにも対処できます。さらに一定金額以上の送金には複数人の承認を必須とする「多重承認フロー」、1日あたりの送金上限額の設定、送金先口座の事前登録制など、複数の統制レイヤーを設けることが金融機関からも強く推奨されています。

今回のはてなの事案では、この基本的な内部統制のいずれかが機能していなかったか、あるいは存在しなかった可能性があります。仮に「複数人承認なしに1億円以上の送金が実行できない」仕組みが存在していれば、攻撃者が1人の従業員を騙すことに成功しても被害は大幅に抑制できたはずです。

BECへの対策として技術・運用・教育が論じられる際、この「被害の上限を制度的に決める」という視点が抜け落ちることが多くあります。人間は必ず騙される可能性があるという前提に立ち、1人の判断ミスが組織全体に壊滅的な損害を与えない制度設計こそが、内部統制の本来の役割です。

金融庁の「財務報告に係る内部統制の評価及び監査の基準」においても、現金・預金の管理については特に厳格な職務分離と承認権限の設定が求められています。また東証上場企業として適時開示義務を負う以上、財務管理における内部統制の有効性は投資家への説明責任とも直結します。

今回の事案を受けて各社が見直すべき具体的な統制項目を以下に整理します。1件あたりの送金上限額の設定（例：1,000万円超は取締役承認必須）、複数名による送金承認フローの義務化、送金先口座の事前登録制と新規口座への送金手続きの厳格化、送金実行後の経営幹部・財務責任者へのリアルタイムアラート通知、そして月次での振込実績の経営レビューが最低限の統制項目です。

事案2：ZUU（4387）——9,600万円。ビジネスチャット上の「社内役職員へのなりすまし」

2026年3月27日、金融情報メディア「ZUU online」等を運営する株式会社ZUU（東証グロース：4387）は、3月19日にビジネスチャット上で当社役職員を装った第三者が不正な送金指示を行い、9,600万円が外部口座へ送金されたと公表しました。

注目すべき点は「既存の社内ルール・プロセスに則る形で処理された」という点です。攻撃者は社内の承認フロー・業務慣行を事前に把握した上で、それに沿う形でなりすましを実行したとみられます。ZUUは「チャットツールと振込実行プロセスの連携における真正性確認が不十分だった」と原因を認めており、現時点で回収は「極めて困難な状況」としています。

ビジネスチャットは送信者確認が甘くなりやすいという構造的弱点があります。メールと異なり「送信者のドメイン」を確認する文化が浸透していないツールで送金指示を完結させていたことが被害の核心です。

事案3：信和（3447）——2.5億円。サポート詐欺→遠隔操作→ネットバンキング不正送金

仮設資材販売の信和株式会社（東証スタンダード／名証プレミア：3447）の子会社で、2025年11月29日にサポート詐欺による不正送金が発生し、2億5,000万円の損失が確定しました。

攻撃の流れはBECやビジネスチャット詐欺とは一線を画します。業務用PCに「ウイルス感染を装う偽の警告画面」が表示され、担当者が画面上の電話番号に電話をかけると、サポート窓口を装った攻撃者から遠隔操作ソフト（LogMeIn Rescue・Ultraviewer・Splashtop）のインストールを指示されました。インストール後、攻撃者はPCを遠隔操作してネットバンキング経由で不正送金を実行しました。

フォレンジック調査の結果、端末内に保存されていたオンラインバンキングのIDとパスワードが記載されたファイルがアクセスされた痕跡が確認されており、認証情報の管理上の問題も浮き彫りになりました。BECと異なり、技術的な侵入（遠隔操作ソフトの悪用）が伴う点がこの手口の特徴です。

事案4：山形鉄道——1億円。ボイスフィッシング。ベトナム人グループが逮捕

山形鉄道株式会社がボイスフィッシング（電話を用いたなりすまし詐欺）によって1億円を騙し取られた事案では、その後の捜査でベトナム国籍の男が逮捕されました。警察の追跡によって犯行グループが国際的な詐欺組織であることが明らかになっています。

ボイスフィッシングは電話で銀行員や取引先担当者等を装い、緊急性を演出して送金を指示する手口です。音声のリアルタイム性が疑念を持ちにくくする要因となります。2025年秋以降、法人口座を標的にしたボイスフィッシングが警察庁によっても注意喚起されており、1回あたり数億円に上る高額被害につながるケースも確認されています。

事案5：ベルトラ（7048）子会社リンクティビティ——約5,000万円。フィッシングメール→SNS誘導という「2段階の騙し」

旅行体験予約サイト「VELTRA」を運営するベルトラ株式会社（東証グロース：7048）の子会社・リンクティビティ株式会社（東京都千代田区）で、2026年1月上旬に約5,000万円の不正送金被害が発生しました。

まず従業員に対してリンクティビティの代表者を装ったフィッシングメールが届き、そこから社外のSNSアカウントへ誘導されました。その後SNS上で経理担当者に「緊急振込」の指示が出され、従業員が社内の銀行届出印を持ち出して銀行窓口で振込手続きを実行してしまいました。

2段階の誘導（メール→SNS）によって、SNS上でのやり取りが「代表者との直接連絡」という信頼感を生み出した点が巧妙です。また、例外的な処理である「銀行窓口での振込」と「銀行届出印の管理」に詳細な規程・承認フローが未整備だったことが根本的な原因として挙げられており、ベルトラは代表取締役社長が月額報酬の30%を自主返納するなどの責任を取っています。

事案6：社長なりすましBEC——3,000万円。群馬・前橋市の建設設備会社

群馬県前橋市の建設設備会社（社名非公開）において、ビジネスチャットで社長になりすました第三者から「緊急の送金処理をお願いします」という指示が届き、3,000万円が詐取された事案です。

社長・CEO名義のビジネスチャットアカウントになりすますという「CEO詐欺」の典型的な手口で、「緊急性」「権威性」「秘密保持（上長には私から説明します）」という3つの心理的圧力によって確認手順を省略させました。

6件から見えてくる共通パターン——なぜ騙されるのか

6件に共通する構造的な問題点は以下の4点です。

問題1：技術的防御が機能しない　BECやビジネスチャット詐欺は、URLも添付ファイルも含まない純粋なテキスト指示であるため、アンチウイルスソフト・EDR・URLフィルタリングはいずれも機能しません。攻撃の唯一の突破口は人間の判断であり、受信者が「正規の指示だ」と信じて自らの意志で送金操作を行うことで被害が成立します。また、差出人のメールアドレスを確認していても、ドッペルゲンガードメイン（正規ドメインと酷似した偽ドメイン）を使われると騙されてしまう場合があります。

問題2：既存の業務フローが盲点になる　ZUUの事案に象徴されるように、攻撃者は社内の送金ルール・承認フローを事前に把握し、それに沿う形でなりすましを実行しています。「社内ルール通りに処理した」という事実が被害後も残り、担当者が責任を感じやすい構造になっています。

問題3：制度的な歯止めがない　はてなの事案が示すように、1人の従業員が承認なしに数億〜十億円規模の送金を完結できる体制そのものが問題です。業務フローへの真正性確認が不十分であることと、内部統制による「被害上限の制度的設計」が欠如していることは、別々の問題として対処が必要です。

問題4：心理的な「確認させない」演出　「今日中に処理してください」「上長には私から説明します」「絶対に口外しないでください」という文言が共通して確認されています。「緊急性」「権威性」「秘密保持」の3要素を組み合わせることで担当者の正常な判断を妨げます。

手口の分類と技術的な特徴

手口	主な特徴	技術的防御の有効性
BEC（ビジネスメール詐欺）	メールでなりすまし、テキストで送金指示。URLや添付ファイルなし	ほぼ無効。DMARC設定は一定の効果あり
ビジネスチャット詐欺	チャットで役職員・社長を装って指示	無効。チャットはドメイン確認文化が浸透していない
フィッシング→SNS誘導型	2段階でSNSへ誘導し、SNS上で送金指示	フィッシング検知は可能だがSNS誘導後は無効
サポート詐欺→ネットバンキング	偽の警告画面→電話→遠隔操作ソフト→不正送金	遠隔操作ソフトの社内持込制限・ポップアップブロックが有効
ボイスフィッシング	電話でなりすまし、緊急性を演出して送金指示	無効。コールバック確認が唯一の手段

対策——制度・技術・運用・人の4層で防ぐ

制度的対策（最重要）として、まず「被害の上限を制度的に設計する」ことが全ての対策の前提です。1件あたりの送金上限額の設定（例：1,000万円超は取締役承認必須）、複数名による送金承認フローの義務化、送金先口座の事前登録制と新規口座への送金手続きの厳格化、送金実行後の経営幹部・財務責任者へのリアルタイムアラート通知、月次での振込実績の経営レビューが最低限の統制項目です。人間は必ず騙される可能性があるという前提に立ち、1人の判断ミスが組織全体に壊滅的な損害を与えない制度設計こそが内部統制の本来の役割です。

技術的対策として、メールについてはDMARC・DKIM・SPFの設定と監視が有効です。送信元ドメインのなりすましを検出できます。サポート詐欺対策としては、業務用PCへの遠隔操作ソフトの新規インストール制限と、ブラウザのポップアップブロッカーの有効化が効果的です。BECに特化したAI脅威検知機能を持つメールセキュリティ製品（Microsoft Defender for Office 365等）の導入も検討してください。

運用的対策として最も重要なのが送金前の複数経路での確認義務化です。メールや特定のコミュニケーションツールだけで送金指示を完結させず、電話等の別チャネルで必ず口頭確認を行う手順を社内規定に明記します。送金先口座が変更になったとの連絡を受けた場合は、必ず既知の連絡先に電話で確認することを徹底してください。また銀行届出印の管理と銀行窓口での振込については、例外的な処理であってもルール・承認フローを明文化することが不可欠です。

人的対策として、BECを題材にした標的型攻撃訓練の定期実施と、「経営幹部からの緊急指示でも手順をスキップしない」という組織文化の醸成が重要です。

ここで見過ごせない現実があります。攻撃者はすでにAIを活用しており、フィッシングや社長なりすましのシナリオをかつての16時間から5分以内で大量生成できるようになっています。これに対して、従来の年1回の集合研修・座学中心の訓練では対応が追いつかないことは明らかです。訓練の頻度・精度・リアリティを攻撃側の進化に合わせて高めていくには、訓練シナリオの作成から配信・レポートまでをAIで自動化する仕組みが必要です。

不審メール・EDR・クラウド・Identityアラートを横断的にAIが分析し対応推奨を出す「AI SOCサービス」と、AI生成のシナリオを使った教育訓練の自動化を組み合わせることで、セキュリティ運用の属人化を解消しながら最新の脅威に継続的に対応できます。松井証券や山陰合同銀行など大手金融機関での導入実績も持つヤグラのセキュリティプラットフォームは、こうした課題に対してAIで応答する具体的な選択肢の一つです。

▶ お役立ち資料：攻撃者がAIを活用する時代にAIで防御する——ヤグラセキュリティプラットフォームの詳細はこちら

よくある質問（FAQ）

Q. EDRやアンチウイルスで今回のような不正送金は防げますか？ BEC・ビジネスチャット詐欺・ボイスフィッシングについてはほぼ防げません。送金指示の文中に悪意あるコードが存在しないため、シグネチャ検知・サンドボックス分析・URLフィルタリングは機能しません。サポート詐欺については、遠隔操作ソフトのインストール制限やEDRでの検知が一定の効果を持ちます。

Q. 被害に遭った場合、資金の回収はできますか？ いずれの事案でも回収は「極めて困難」とされています。受け皿口座から即座に資金が移転されるため、発覚から初動が速くても回収が難航することが多い状況です。再発防止と被害の最小化（送金上限額の設定・多重承認の義務化）が現実的な対策です。

Q. 11億円もの送金を1人の従業員が実行できた理由は何ですか？ 内部統制の不備、具体的には「職務の分離」と「多重承認フロー」が機能していなかった可能性があります。送金を指示・承認・実行する役割が分離されておらず、1人で全工程を完結できる体制が存在していたとみられます。これはBECへの対策以前の、財務管理上の基本的な問題です。

Q. 特に危険な時間帯・状況はありますか？ 経営幹部が海外出張中・担当者が1人で処理しなければならない状況・月末・期末などの繁忙期が狙われやすい傾向があります。攻撃者は組織の業務サイクルや人的配置をある程度把握した上でアプローチするケースがあります。

Q. 社長・役員をなりすまされた場合、担当者はどうすれば気づけますか？ 「緊急かつ秘密の送金指示」は詐欺のサインです。社長・役員が直接経理担当者に緊急送金を指示する正規の業務フローが存在するか確認し、存在しない場合はその時点で怪しいと判断できます。「いつもと違う連絡経路（普段使わないSNS等）」での指示も警戒サインです。