はてなで最大約11億円の資金流出-ビジネスメール詐欺（BEC）か

2026年4月24日、インターネット関連事業を手掛ける株式会社はてな（京都市中京区、東証グロース：3930）は、不正な送金指示に起因する資金流出事案が発生したとして適時開示を行いました。4月20日および21日に従業員のアカウントから同社の銀行預金口座の資金が外部口座へ送金されており、被害対象額は現時点で最大約11億円に上ります。

来栖義臣代表取締役社長を中心とする社内対策本部が設置され、捜査機関への全面的な協力と関係金融機関との被害回復措置が進められています。

【この記事のサマリー】

• 2026年4月21日、取引先銀行からはてなへ不審な送金が行われているとの連絡があり、確認したところ4月20日と21日に従業員のアカウントから外部口座への送金が実行されていたことが判明しました。
• 当該従業員が確認したところ、悪意ある第三者から虚偽の送金指示を受け、それに従い送金を実行していたことが明らかになりました。従業員は21日の送金完了後に指示が虚偽であると気づき、警察へ連絡しています。
• 被害対象額は4月24日時点で最大約11億円。同社の通期営業利益予想（1億3,600万円）の約8.1倍に相当する規模です。
• 個人情報・顧客情報の流出は現時点で確認されていません。運転資金は十分な流動性を確保しており、事業運営や資金繰りへの支障はないとしています。
• リリースでは送金指示の手段（メール・電話等）は明示されていませんが、本件はビジネスメール詐欺（BEC：Business Email Compromise）の典型的な手口とみられます。URLや添付ファイルを含まない純粋なテキストによる指示の場合、アンチウイルスソフトやEDRに検知されにくく、技術的防御を潜り抜けて人間の判断を狙う点がこの種の攻撃の特徴です。

関連：ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】

事案の経緯

公表資料によれば、当該従業員はPC操作ログ等の解析対象となっており、個人情報および顧客情報の流出は現時点で確認されていないとしています。損失額は今後の捜査および回収状況により変動する可能性があり、確定後に特別損失として計上する予定です。通期業績予想への影響は現在精査中です。

虚偽の送金指示とはどのような攻撃か—BECの手口

今回の事案はビジネスメール詐欺（BEC）の典型的な手口とみられます。リリースでは送金指示の手段（メール・電話・チャット等）は現時点で明示されていませんが、虚偽の送金指示によって担当者が自らの意志で送金を実行させられるという構造は、BECの特徴と合致しています。

BECとは、攻撃者が経営幹部・取引先・金融機関などになりすまして担当者に送金を指示し、不正な銀行送金を実行させる詐欺の総称です。

この種の攻撃がアンチウイルスソフト・EDR（エンドポイント検出応答）といった技術的防御を潜り抜けやすい最大の理由は、指示内容そのものに悪意あるコード・URL・添付ファイルが含まれない点にあります。

なぜ1人の従業員が11億円を送金できたのか

本件で見落としてはならない本質的な問題が、1人の従業員が2日間で最大約11億円を送金できる権限・体制が存在していたという点です。

通常、財務・経理部門における内部統制の基本原則は「職務の分離（Segregation of Duties）」です。

送金を「指示する人」「承認する人」「実行する人」を分離し、1人が全工程を完結できない設計にすることで、不正・誤操作・詐欺のいずれにも対処できます。さらに一定金額以上の送金には複数人の承認を必須とする「多重承認フロー」、1日あたりの送金上限額の設定、送金先口座の事前登録制など、複数の統制レイヤーを設けることが金融機関からも強く推奨されています。

今回のはてなの事案では、この基本的な内部統制のいずれかが機能していなかったか、あるいは存在しなかった可能性があります。

仮に「複数人承認なしに1億円以上の送金が実行できない」仕組みが存在していれば、攻撃者が1人の従業員を騙すことに成功しても被害は大幅に抑制できたはずです。

BECへの対策として技術・運用・教育が論じられる際、この「被害の上限を制度的に決める」という視点が抜け落ちることが多くあります。人間は必ず騙される可能性があるという前提に立ち、1人の判断ミスが組織全体に壊滅的な損害を与えない制度設計こそが、内部統制の本来の役割です。

金融庁の「財務報告に係る内部統制の評価及び監査の基準」においても、現金・預金の管理については特に厳格な職務分離と承認権限の設定が求められています。また東証上場企業として適時開示義務を負う以上、財務管理における内部統制の有効性は投資家への説明責任とも直結します。

今回の事案を受けて各社が見直すべき具体的な統制項目を以下に整理します。1件あたりの送金上限額の設定（例：1,000万円超は取締役承認必須）、複数名による送金承認フローの義務化、送金先口座の事前登録制・新規口座への送金手続きの厳格化、送金実行後の即時アラート通知（経営幹部・財務責任者へのリアルタイム通知）、そして月次での振込実績の経営レビューが最低限の対策となります。

攻撃者は制度の穴を狙います。技術的・人的対策と並行して、被害を最小化する制度的な歯止めの設計が、今まさに問われています。

なぜ騙されるのか

通常のフィッシング攻撃はマルウェアをダウンロードさせるURL、または不正なマクロを含むExcelファイル等を含みます。

これらはセキュリティ製品のシグネチャ検知・サンドボックス分析・URLフィルタリングによって検出・ブロックされます。

しかし「送金してください」という純粋なテキスト指示にはコードが存在しないため、技術的なセキュリティ製品は悪意ある指示と通常の業務連絡を区別できません。攻撃の唯一の突破口は人間の判断であり、受信者が「正規の指示である」と信じて自らの意志で送金操作を行うことで被害が成立します。

この場合、本当に正しい支持のメールかは

• ドメイン確認
• 電話などの別経路での指示の社内確認

を行うしかありません

しかし一般的に差出人のメールアドレスまで見る社員は少ないですし、メールアドレスがドッペルゲンガードメインなどで本当のメールアドレスと見間違うメールの場合、差出人メールアドレスを確認していても騙されてしまいます。

ビジネスチャット詐欺やビジネスメール詐欺でよくある指示

経営者・社長へのなりすましで「緊急の送金処理をお願いします。詳細は後で説明します」と指示するCEO詐欺、取引先企業へのなりすましで「口座番号が変わりました。今月分の支払いを新口座へ」と伝える取引先詐欺、社内財務部門・経理担当へのなりすましで「承認済みの送金を実行してください」と指示する内部なりすましがあります。

いずれも緊急性・権威性・秘密保持を強調することで、担当者が上長への確認を省略するよう心理的に誘導します。

財務への影響

はてなの2026年7月期通期業績予想は、売上高38億5,900万円、営業利益1億3,600万円です。被害対象額の最大約11億円は通期営業利益予想の約8.1倍に相当します。ただし同社は手元の運転資金について十分な流動性を確保しており、事業運営や資金繰りに支障をきたすものではないとしています。損失額の確定後、速やかに特別損失として計上する予定です。

対策—技術・運用・人の3層で防ぐ

この種の詐欺は技術だけでは防ぎきれないため、組織的な対策の多層化が不可欠です。

技術的対策として、送金・振込処理に関わる社内メールに対するDMARC・DKIM・SPFの設定と監視があります。これにより送信元ドメインのなりすましを検出できます。また、BECに特化したメール脅威インテリジェンス機能を持つ製品（Microsoft Defender for Office 365 等）の導入も有効です。

運用的対策として最も重要なのは送金前の複数経路での確認義務化です。メールや特定のコミュニケーションツールだけで送金指示を完結させず、電話等の別チャネルで必ず口頭確認を行う手順を社内規定に明記します。一定金額以上の振込に複数人承認を必須とする多重承認フローの導入も効果的です。また送金先口座が変更になったとの連絡を受けた場合は、必ず既知の連絡先に電話で確認することを徹底してください。

人的対策として、BECを題材にした標的型攻撃訓練の定期実施と、「経営幹部からの緊急指示でも手順をスキップしない」という組織文化の醸成が重要です。

不審な電話への応答訓練は、座学だけでは定着しにくいのが実情です。攻撃者がAIを活用してソーシャルエンジニアリングのシナリオを量産・高度化する中、自社の教育訓練もAIで自動化・継続化することが現実的な対策となりつつあります。

▶ お役立ち資料：AIによりサイバー攻撃が高度化－最新脅威に対応したセキュリティ教育訓練の自動化（ヤグラ）

情シス・セキュリティ担当者へのポイント

今回の事案はインターネット企業、すなわちセキュリティリテラシーが相対的に高いとみられる企業においても発生しています。この種の詐欺はマルウェアを使わず人間の心理を利用するため、業種・規模・ITリテラシーに関わらず被害が発生します。

特に注意が必要なのが「緊急性」の演出です。「今日中に処理してください」「上長には私から説明します」という文言が含まれる送金指示は、確認手順を省略させようとする典型的なサインです。このようなケースこそ、手順通りの確認を行うよう日頃から社内に周知することが重要です。

▶ 詳細な対策と実際の被害事例については1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】をご覧ください。

よくある質問（FAQ）

Q. 今回の事案は情報漏洩ですか？ いいえ。顧客情報・個人情報の漏洩は現時点で確認されていません。今回は不正な送金指示による「資金流出」事案です。

Q. ビジネスメール詐欺（BEC）とフィッシング詐欺の違いは何ですか？ フィッシング詐欺は偽サイトへ誘導するURLや不正な添付ファイルを含み、認証情報やマルウェアを狙います。BECはURLも添付ファイルも使わず、純粋なテキスト指示で「送金してください」と伝えます。技術的防御が効きにくく、人間の判断を直接的に狙う点が大きな違いです。

Q. EDRやアンチウイルスでは防げないのですか？ 防ぎにくいのが現実です。送金指示の文中に悪意あるコードが存在しない場合、シグネチャ検知・サンドボックス分析・URLフィルタリングは機能しません。送信元ドメインのなりすましを検出するDMARCの実装や、BECに特化したAI脅威検知機能を持つメールセキュリティ製品の活用が有効な技術的対策となります。

Q. はてなのサービスやユーザーデータへの影響はありますか？ はてなは個人情報・顧客情報の流出は確認されていないとしており、事業運営や資金繰りへの支障もないとしています。はてなブログ・はてなブックマーク等のサービスへの影響は現時点で公表されていません。

参考情報

• 資金流出事案の発生に関するお知らせ（株式会社はてな 適時開示、2026年4月24日）
• 【関連記事・対策資料】1人の従業員のミスが引き起こすインシデント——事例と対策【保存版】