1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. 社長のなりすましビジネスチャットで5,000万円詐取-群馬・前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害

社長のなりすましビジネスチャットで5,000万円詐取-群馬・前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害

セキュリティニュース

投稿日時: 更新日時:

社長になりすましビジネスチャットで5,000万円詐取-群馬・前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害

2026年4月15日、群馬テレビの報道により、群馬県前橋市の建設設備会社がビジネスメール詐欺(BEC)の被害を受け、現金5,000万円をだまし取られたことが明らかになりました。攻撃者は社内のビジネスチャットツール上で社長になりすまし、出張による不在を巧みに利用して社員に送金を指示しました。

事件の概要

前橋警察署によると、被害が発生したのは2026年3月19日です。前橋市内の建設設備会社の社員に対し、社内連絡用として利用していたビジネスチャットツール上に、「今から5,000万円を振り込みます。口座情報を送るので届いたらすぐに即時振込で手配してください」という内容のメッセージが届きました。送信者は同社の社長を装っていました。

この日、社長は出張のため会社に不在でした。メッセージを本物と信じた社員は、指定された口座に5,000万円を即時振込しました。詐欺が発覚したのは翌日。別の社員が社長に内容を確認し、送金指示が偽物だったことが判明しました。

BEC(ビジネスメール詐欺)とは

BEC(Business Email Compromise)とは、企業の経営者層や取引先担当者になりすまし、偽のメール・メッセージで財務担当者を騙して指定口座に送金させる詐欺です。警察庁もその危険性を広く注意喚起しています。

BECの最大の特徴は、マルウェアや悪意あるリンクを一切使わない点です。テキストのみのメッセージを用いるため、技術的なセキュリティフィルターをすり抜けやすく、人間の判断の隙を狙うソーシャルエンジニアリング攻撃として世界的に猛威を振るっています。

IPAの「情報セキュリティ10大脅威 2024」でもBECは組織部門の8位にランクインしており、日本においても大手航空会社が約3.8億円をだまし取られた事例など、高額被害が継続的に報告されています。

今回の手口の特徴:チャットツールへの侵食

従来のBECはメールを主要な攻撃経路としていましたが、今回はSlackやMicrosoft Teamsなどに代表されるビジネスチャットツールが悪用されました。社内チャットは「同僚や上司から届くもの」という暗黙の信頼が形成されやすく、メール以上に警戒心が低くなる傾向があります。攻撃者はその心理を巧みに突いた形です。

また、「社長の出張による不在」という状況も攻撃者に有利に働きました。送金指示の真偽を直接確認できない状況を意図的に選んだ可能性があり、標的の行動パターンや社内事情を事前に把握していたことが疑われます。攻撃前にメールアカウントやシステムへの不正アクセスによる情報収集が行われていた可能性も否定できません。

企業が取るべき対策

前橋警察署は、送金を指示するメールやメッセージが届いても安易に従わず、メール・チャット以外の方法で必ず本人に確認するよう注意を呼びかけています。具体的には以下の対策が有効です。

コールバック確認の義務化
送金指示がチャットやメールで届いた場合は、必ず電話など別の通信経路で本人に直接確認する手順を社内ルールとして徹底します。金額の大小にかかわらず適用することが重要です。

送金承認の複数人制・二重確認
一定額以上の送金は、単独の判断で実行できない承認フローを設けます。担当者一人が指示に従うだけで送金が完了してしまう体制は、BECの格好の標的になります。

チャットツールアカウントの多要素認証(MFA)導入
攻撃者が正規のアカウントを乗っ取ってメッセージを送った可能性も考慮し、ビジネスチャットおよびメールアカウントには多要素認証を必ず設定します。

社員へのBEC教育と疑似訓練
BECは人の判断を騙す攻撃であるため、技術対策だけでは不十分です。定期的な教育訓練により、緊急性・権威性を装う送金指示への耐性を組織全体で高めることが不可欠です。

不審な電話への応答訓練は、座学だけでは定着しにくいのが実情です。攻撃者がAIを活用してソーシャルエンジニアリングのシナリオを量産・高度化する中、自社の教育訓練もAIで自動化・継続化することが現実的な対策となりつつあります。

▶ お役立ち資料:AIによりサイバー攻撃が高度化-最新脅威に対応したセキュリティ教育訓練の自動化(ヤグラ)

まとめ

今回の前橋市の事件は、BECがメールという枠を超え、社内チャットツールにも拡大していることを示す典型的な事例です。「社内ツールだから安全」という固定観念を改め、送金に関わるコミュニケーションはいかなる経路でも必ず複数経路での本人確認を徹底することが求められます。5,000万円という被害額は中小企業にとって経営危機に直結するものであり、BEC対策は経営レベルの優先課題として取り組む必要があります。

参考情報

関連記事

大阪国税局職員が警察を名乗る詐欺師の指示で納税者の個人情報漏洩|権威型ソーシャルエンジニアリングの手口大阪国税局職員が警察を名乗る詐欺師の指示で納税者の個人情報漏洩|権威型ソーシャルエンジニアリングの手口 NIST、NVD(国家脆弱性データベース)の運用を大幅変更-CVE申請が過去最多水準でリスクベーストリアージへ移行NIST、NVD(国家脆弱性データベース)の運用を大幅変更-CVE申請が過去最多水準でリスクベーストリアージへ移行 日本企業狙った詐欺グループを摘発 -ビジネスメール詐欺(BEC)で約10億円を騙し取る日本企業狙った詐欺グループを摘発 -ビジネスメール詐欺(BEC)で約10億円を騙し取る 新潟で企業が「ボイスフィッシング」の被害-約1億9,000万円を不正送金新潟の企業が「ボイスフィッシング」の被害-約1億9,000万円を不正送金 迷惑メールとは-企業のセキュリティを揺るがす現代の脅威迷惑メールとは-企業のセキュリティを揺るがす現代の脅威 フィッシングメールとは 概要や手口を解説フィッシングメールとは 概要や手口を解説 ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成 エロビデオ通話のKyuunなどサイバー攻撃で3万9,267件の個人情報漏洩-ハッカーが不正アクセスを主張エロビデオ通話のKyuun サイバー攻撃で3万9,267件の個人情報漏洩-ハッカーが不正アクセスを主張 フィッシング詐欺とは 手口や対策を解説フィッシング詐欺とは? 手口や対策を解説