国内6,000法人超を標的に「社長を騙りLINEに誘導するCEO詐欺」が急増|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月26日更新日時: 2026年06月26日

トレンドマイクロ株式会社は2026年2月6日(6/23更新)、社長やCEOを騙り従業員をLINEなどのチャットツールに誘導したうえで不正送金を指示するビジネスメール詐欺（BEC）の新手口「CEO詐欺」について、国内の少なくとも6,000以上の法人ドメインが攻撃対象となっていると発表しました。

同社製品による検出数は2025年12月15日頃から1日1,000件程度に急増し、2026年1月5日には1日10,000件超のピークを記録しました。報道によれば東京都内だけで43社が攻撃を確認し、うち14社で計6億7,000万円の被害が発生しています。

この攻撃の最大の特徴は、従来のビジネスメール詐欺が持っていた「至急」「送金してください」などの直接的な文言を使わずメールは最低限のやりとりにとどめてセキュリティ製品の検知を回避し、LINEなどの外部チャットツールに移行させたうえで送金を指示する構造にあります。

トレンドマイクロの調査により、メールの送信はAIを悪用して自動化されていることが示唆されており、同様の手口は台湾から日本、さらにアジア全域に拡大しています。また、同レポートは2026年6月23日に更新され、LINEに誘導された後の具体的なやりとりをトレンドマイクロが自らおとりアカウントを使って観測した結果も追記されています。

サマリー

公表日：2026年2月6日（トレンドマイクロ、2026年6月23日に追記更新）
攻撃対象：国内6,000超の法人ドメイン（業種・規模問わず）
検出数ピーク：2026年1月5日に1日10,000件超
東京都内の被害：43社確認、14社実被害、計6億7,000万円（2026年1月19日時点）
注意喚起公表：約150社（2026年1月7日時点、ラック調査）
手口の核心：メールは「LINEグループを作成してQRコードを返信してほしい」という短文のみ。詐欺的な送金指示はLINE上で行う
検知回避の理由：「至急」「送金」などの文言をメールで使わないためスパムフィルターが反応しない
AIによる自動化の証拠：「代表者未找到」「{重要人员}」という処理エラー文字列が送信されたケースを確認
ツール：中国製メールソフト「Supmailer」を多数で使用
地域的な拡大：台湾（2025年11月〜）→ 日本（2025年12月15日〜）→ タイ・インドネシア・シンガポール・ベトナム・インド・韓国・中国（香港）

項目	データ
最初の検出	2025年12月7日頃
急増時期	2025年12月15日頃（1日1,000件超）
ピーク	2026年1月5日（1日10,000件超）
標的法人数	国内6,000超のドメイン（2026年2月6日時点）
東京都内の被害総額	6億7,000万円（2026年1月19日時点、14社）
注意喚起を公表した企業数	約150社（2026年1月7日時点）
使用メールツール	中国製「Supmailer」が多数
先行攻撃地域	台湾（2025年11月）→ 日本（2025年12月15日）
マルウェア添付攻撃	2026年1月下旬から確認

1 何が起きたか
2 攻撃の5段階の流れ
3 LINEに誘導された後に何が起きるか ─ トレンドマイクロが実際に検証
4 「至急送金」と書かないから検知できない設計
5 AIによる自動化の証跡
6 国内で相次ぐ具体的な被害事案
7 台湾先行→日本→アジア全域という国際的な拡大パターン
8 情報システム部門・経理担当者が取るべき対策
9 FAQ

何が起きたか

2025年12月7日頃から、日本国内の法人組織に向けて社長・CEOを騙る偽メールが観測され始めました。12月15日頃から1日あたり1,000件程度に急増し、年末年始の一時的な減少を経て、2026年1月5日には1日で10,000件を超えました。その後も平日（月〜金）を中心に高水準の検出が続き、2月6日時点でトレンドマイクロは少なくとも6,000超の法人ドメインへの送付を確認しています。検出の約8割が法人向け製品からのものであり、意図的に業務時間中の平日にメールを送信している攻撃の設計が見て取れます。

被害の深刻さは数字で示されています。東京都内だけで43社が攻撃を確認し、そのうち14社が実際に金銭をだまし取られ、被害総額は6億7,000万円に達しています。ラックの集計では2026年1月7日までに約150社の企業が自社向けのCEO詐欺に関する注意喚起を公表しており、筑波メディカルセンター病院・琉球銀行・認定こども園協会など業種・規模を問わず幅広い組織が被害や警戒情報を発信する事態になっています。

従来のビジネスメール詐欺もランサムウェアと並ぶ重大な脅威として継続していましたが、それ自体もトレンドマイクロの全世界での検出数では2022年の約38万件から2024年の約50万件へと増加傾向にあります。今回急増したCEO詐欺はその進化形です。

攻撃の5段階の流れ

CEO詐欺の手口は以下の5段階で構成されています。

第1段階として、攻撃者は社長や役員を騙った偽メールを経理担当者などに送付します。件名は法人組織名、From表示名は社長名となっていますが、実際のメールアドレスは「outlook.jp」「outlook.com」「hotmail.com」「gmail.com」などのフリーメールやプロバイダーのメールです。メールアドレスの形式は「名前＋西暦＋名前＋複数の数字」または「名前＋名前＋複数の数字」の形が8割以上を占めています。

第2段階として、メール本文は非常に短く、「業務のためにLINEグループを作成し、招待QRコードをこのメールに返信してください」という趣旨の指示が記載されています。「業務プロジェクト」「業務調整」「臨時」といった業務上の正当な理由が添えられており、直接的な送金指示や「至急」という言葉はこの段階では使われません。

第3段階として、受信した従業員がQRコードをメールで返信すると、ほどなく社長名義のLINEアカウントがグループに参加します。これ以降のやりとりはLINE上で進み、メールのセキュリティ監視の外に出ます。

第4段階として、LINEグループ上で「取引先から入金があるので入金用の口座を教えてほしい」という無害に見える指示から始まり、受信者が口座情報と残高情報を送ると「相手方に至急送金してほしい」という送金指示に話がすり替わります。振込明細票に偽装した文書も提示されます。

第5段階として、「至急」「今すぐ」という繰り返しのメッセージで心理的な圧力をかけながら送金を実行させます。被害が発覚するのは当日または翌日であることが多く、資金の回収は困難です。

LINEに誘導された後に何が起きるか ─ トレンドマイクロが実際に検証

トレンドマイクロは2026年6月23日の更新で、おとりのアカウントを用いて実際に自社宛てのCEO詐欺メールからLINEへ誘導されるケースを自ら追跡・観測した結果を公開しました。

観測の流れは次のとおりです。同社CEOであるエバ・チェン名義の詐欺メールが届き、LINEに誘導されました。

LINEグループに「エバ・チェン」名義のアカウントが参加した後、「取引先から入金があるので入金用の口座を教えてほしい」という要求と、振込明細票に偽装した文章が送られてきました。受信者側の口座情報と残高情報を送ると、「相手方に至急送金してほしい」という話にすり替わり、繰り返し送金を促すメッセージが届きました。

特に注目されるのは、調査員が試みに「雑談メッセージ」を送ったところ、約2分で相応の内容の返信があった点です。

これはリアルタイムに対応できる人物またはシステムが関わっていることを示唆しており、単純な自動返信ではない可能性を示します。トレンドマイクロは、公開情報から社長名を事前調査しており、場合によってはチャット上で会話を繰り返した後にアカウント名を社長名に変更するという手口も確認されていると報告しています。

このLINEでの誘導段階こそが、従来のビジネスメール詐欺から大きく進化した部分です。

LINEのやりとりはメールセキュリティシステムの監視外にあり、組織のメールフローログにも残りません。また、LINEはプライベートの連絡手段として社員が使い慣れているため、心理的な警戒感が下がりやすいという特性があります。

「至急送金」と書かないから検知できない設計

従来のビジネスメール詐欺に対してセキュリティ製品が採用してきた検知手法は、メールの件名・本文に含まれる「送金」「至急」「口座」「振り込み」などの危険なキーワードの存在や、不正な添付ファイル・URLの検出です。今回のCEO詐欺はこの検知の前提を意図的に外しています。

最初のメールには送金に関する文言がまったく登場しません。

「LINEグループを作成してQRコードを返信してほしい」という業務上の依頼に見える短い文章だけです。メールセキュリティシステムの観点では、この文章は不審なシグナルをほとんど持ちません。送金を指示するのはLINEに移行した後であり、その会話はセキュリティ製品が監視していない経路で行われます。

さらに悪質なのは、この手口がメールの確認を行う社員の判断も欺く設計になっている点です。「今、会社にいますか」「業務調整の件でご連絡を」という文章は、普段の社内コミュニケーションと文体が変わりません。「社長からのメールだ」という権威への反応と、「至急LINEでの連絡を」という軽微に見えるお願いのミスマッチが小さいため、疑念を持ちにくい状態になっています。

これはセキュリティライターとして多くのソーシャルエンジニアリング事案を追ってきた経験からも言えることですが、人間の認知バイパスを狙う攻撃は技術的な防御だけでは止められません。権威性・緊急性・秘密性という3つの心理的トリガーを使うBECの中で、今回の手口は特に「権威性を使いつつ要求をできるだけ小さく見せる」という心理設計が巧妙です。

AIによる自動化の証跡

トレンドマイクロはCEO詐欺のメール送信がある程度自動化されており、AIが悪用されている可能性を示す具体的な証跡を確認しています。

最も分かりやすい証拠のひとつは、宛先組織の名称を若干変えて送付しているケースです。

例えばトレンドマイクロ宛てに「マイクロトレンド株式会社」という名前のメールが届いています。これはAIがWebから組織情報を自動収集する過程で、社名の処理にわずかなエラーが生じ、それをそのまま送信したものと推測されます。

さらに明確な証拠として、Fromの表示名に簡体字の中国語で「代表者未找到」（代表者が見つかりません）や「{重要人员}」（主要人物、テンプレート変数の展開失敗）という文字列が入ったままのメールが届いています。これはAIや自動化ツールが組織の代表者名を自動入力しようとした際に、情報の取得に失敗またはテンプレートの変数展開に失敗したエラーがそのまま送信された結果です。

このエラーは攻撃者にとっては失敗ですが、同時に貴重な情報を示しています。

大量の組織を対象にAIで代表者名を自動収集し、テンプレートに流し込んでいるという自動化されたパイプラインの存在が確認できます。また、使用されているメーラー「Supmailer」は中国製の大量メール送信ソフトウェアであり、ある程度の技術的・組織的な背景を持つ主体が関与していることを示唆しています。

国内で相次ぐ具体的な被害事案

トレンドマイクロのレポートが観測した2025年12月以降の急増は、その後も継続的な被害として各地で発生しています。当サイトが報じた主な事案を以下に示します。

2026年1月上旬に旅行体験予約サービス「VELTRA」を運営するベルトラの子会社では、代表者を装ったフィッシングメールが届き、外部のSNSアカウントへ誘導されたうえで送金指示があり、約5,000万円が外部口座へ流出しました。

2026年3月19日、群馬県前橋市の建設設備会社では、ビジネスチャットツール上に社長を装ったメッセージが届き、社長が出張不在の隙をついて5,000万円の即時振込を指示するものでした。社員はこれを信じて送金し、被害が発覚したのは翌日のことでした。

2026年4月16〜21日、はてな株式会社（東証グロース：3930）では、ビジネスチャット上での虚偽の送金指示によって2日間にわたって外部口座への送金が実行され、最終的な被害額は1,179百万円（約11.79億円）に確定しました。同社の当時の現預金残高の約7割に相当する規模であり、2026年7月期決算に特別損失として計上されています。

2026年4月、関西に本社を置く物販会社でも、社内連絡用SNSを通じた社長なりすまし指示で経理担当者が3,000万円を送金する被害が発生しています。

2026年6月19日、和歌山市の企業では一般に非公開の社内メールアドレスに社長を名乗るメールが届き、SNSグループを作成させたうえで経理担当者が2口座に計3,800万円を送金する被害が発生しました。和歌山と同週（6月17日）に京都でも類似の手口が確認されており、同一の攻撃グループによる連続犯行の可能性が指摘されています。

発生時期	被害組織	手口	被害額
2026年1月上旬	ベルトラ子会社	なりすましメール→SNS誘導→送金指示	約5,000万円
2026年3月	群馬・前橋市建設設備会社	ビジネスチャットでなりすまし	5,000万円
2026年4月	関西・物販会社	社内SNSでなりすまし	3,000万円
2026年4〜5月	はてな（東証グロース）	ビジネスチャット虚偽送金指示	1,179百万円（確定）
2026年6月	和歌山市の企業	社内メール→SNSグループ→送金指示	3,800万円

ビジネスメール詐欺やなりすましチャットによる不正送金被害まとめ-はてななど上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】

台湾先行→日本→アジア全域という国際的な拡大パターン

今回のCEO詐欺のキャンペーンには、地理的な拡大パターンが明確に確認されています。

トレンドマイクロの観測によれば、最初に攻撃が始まったのは2025年11月頃の台湾の法人組織です。2025年12月13日頃までは台湾への攻撃が日本より多く、12月15日頃から日本への攻撃割合が逆転しました。2026年1月以降は日本が主な標的ですが、台湾への攻撃も継続しています。さらにタイ・インドネシア・シンガポール・ベトナム・インド・韓国・中国（香港）といったアジア各国の法人組織も攻撃を受けていることが確認されています。

この「台湾先行→日本への拡大」というパターンは、過去のサイバー攻撃でも見られた構造です。台湾は東アジアにおける攻撃のテスト市場として機能するケースがあり、手口の有効性を確認した後に日本・その他アジアへと展開するという戦略が読み取れます。

国際的な観点では、FBIの2025年インターネット犯罪レポートによれば、BECは毎年最大の被害をもたらすカテゴリのひとつであり、全世界での年間被害額は数十億ドル規模に達しています。今回の日本国内での手口は、グローバルなBECキャンペーンが東アジア向けにカスタマイズされたものとして理解するのが適切です。なお攻撃者グループや関連する国については、トレンドマイクロは現時点で断言できる情報はないとしています。

情報システム部門・経理担当者が取るべき対策

トレンドマイクロは組織的対策と技術的対策を並行して実施することを推奨しています。

組織的対策の核心は、送金などの重要業務を担当者1人の判断で実行できない体制にすることです。

金額の大小を問わず第三者の承認プロセスを必須にし、送金指示が来た場合はメール・チャット以外の経路（直接の電話・対面確認）で本人確認を義務付けてください。「社長から来たから」という権威への服従が今回の被害の根本原因であり、社内の承認フローが形骸化していると1人の判断で数千万〜数億円が消えます。

経営層が意見しやすい組織風土の醸成も重要です。トレンドマイクロが指摘しているように、経営層に対して意見や確認を言いにくい組織風土があると、「何かおかしい」と気づいても行動できないまま送金が実行されます。「社長からの指示でも一旦確認する」という文化をトップダウンで明示することが、最も効果的な防御のひとつです。

具体的な社員教育として周知すべき確認ポイントを以下に示します。

まず、LINEやChatworkなどの外部チャットツールへの誘導を依頼するメールは、それだけで疑義を持つべき高リスクのシグナルです。次に、フリーメール（@gmail.com・@outlook.com・@hotmail.com等）から社長名義で届くメールの差出人アドレスを必ず確認してください。また、急ぎの送金指示は電話で直接本人確認が必須です。さらに、会社名が若干異なるメール（「マイクロトレンド」のような社名）は偽物である可能性が高いです。

技術的対策としては、DMARCの導入・強制設定が送信元ドメインの偽装を防ぐ有効な手段です。

BECに特化したAI脅威検知機能を持つメールセキュリティ製品も有効で、トレンドマイクロが提供するWriting Style DNAのように文章の書き癖を分析してソーシャルエンジニアリングを検出する技術も活用できます。LINEやSlackなど外部チャットツールの業務利用をポリシーで制限・管理することも、この攻撃の連絡経路を閉じる実効性の高い対策です。

FAQ

Q. CEO詐欺とビジネスメール詐欺（BEC）は何が違いますか？

A. BECはビジネスメール詐欺全体の総称で、取引先・社長・経理部長など様々な立場を装って送金を指示する詐欺の総称です。CEO詐欺はその中でも特に社長やCEOなど企業トップを偽装する手口を指します。今回急増している手口はCEO詐欺に分類され、さらに従来のBECとの最大の違いとして「メールはLINE誘導のみに使い、送金指示はLINE上で行う」という新たな段階を追加しています。

Q. セキュリティソフトが入っていれば防げましたか？

A. 最初のメールは防ぎにくいのが現実です。「LINEグループを作成してQRコードを返信してほしい」という内容には不審なキーワードも不正なURL・添付ファイルもないため、従来のスパムフィルターやメールセキュリティ製品では検知が難しい設計です。技術的な対策だけでなく、組織的なプロセス（送金に際する複数承認・別経路での本人確認）の整備が必須です。

Q. はてな社の11億円の被害もこの手口と同じですか？

A. 手口の構造は非常に似ています。ビジネスチャット上での虚偽の送金指示という点で今回解説したCEO詐欺と同じパターンです。はてな社の事案ではIPAが2026年3月12日に緊急注意喚起を出していた矢先に被害が発生しており、社長・経営陣を騙ったチャットでの送金指示がいかに組織規模に関係なく有効であるかを示しています。

Q. 中小企業も標的になりますか？

A. なります。トレンドマイクロの観測では、数万人規模の大企業から数人規模の小規模法人まで、規模を問わず攻撃対象に含まれています。従来のBECは大企業を費用対効果的に狙う傾向がありましたが、AI・自動化ツールによって攻撃コストが大幅に下がった結果、中小企業も効率的に一斉攻撃できるようになっています。むしろ中小企業はセキュリティ対策・社内ルール・承認フローが整っていないケースが多く、意思決定が少人数で行われるため「社長の指示」への疑念を持ちにくい構造があり、狙いやすいターゲットとなっています。

出典