1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ジェリービーンズグループ、なりすましメールによるBEC詐欺で4,500万円の資金流出

ジェリービーンズグループ、なりすましメールによるBEC詐欺で4,500万円の資金流出

セキュリティニュース

投稿日時: 更新日時:

ジェリービーンズグループ、なりすましメールによるBEC詐欺で4,500万円の資金流出

株式会社ジェリービーンズグループ(東証グロース:3070、代表取締役社長:宮﨑明)は2026年6月19日、公式リリース「(開示事項の経過)資金流出事案の経過及び再発防止策等に関するお知らせ」で、2026年6月11日に公表した資金流出事案について、その後の経過と再発防止策を発表しました。同社は2026年6月3日、自社役職員を装った第三者によるなりすましメールによる不正な送金指示を受け、これに基づき自社口座から外部口座への振込を実行してしまいました。被害対象額は4,500万円です。

当初は警察署への相談を継続していましたが、調書完了の連絡を受け2026年6月19日に被害届を正式に提出し、受理されたことが今回明らかになりました。

同社は事案の原因として、支払い手続きに関する社内規程・フローの不徹底、支払承認プロセス・出金プロセスにかかる内部統制の不備、サイバーセキュリティ体制への社内認識の不徹底、ビジネスチャットツール等の脆弱性に対する対策不足などを認めており、これを踏まえた内部統制プロセス面・サイバーセキュリティ面の両面での再発防止策を講じています。本記事では事案の経緯・原因分析・再発防止策の内容を解説します。

サマリー

  • 発表日:2026年6月19日(経過報告)/2026年6月11日(第一報)
  • 被害企業:株式会社ジェリービーンズグループ(東証グロース:3070、化粧品・ライフスタイル・エンターテインメント・サステナブル事業を展開する持株会社、13社の連結子会社)
  • 事案の発生日2026年6月3日——自社役職員を装った第三者による不正な送金指示
  • 被害対象額4,500万円(約45百万円)
  • 手口なりすましメールによる不正な送金指示(BEC:ビジネスメール詐欺)
  • 対応のタイムライン:
日付 出来事
2026年6月3日 なりすましメールによる不正送金指示。当該指示に基づき外部口座へ振込実行
(6月3日以降) 指示への疑義が生じ事実確認。第三者による不正行為の可能性が高いと判明。金融機関へ組戻し依頼・所轄警察署へ相談
2026年6月10日 所轄警察署(月島警察署)による関係者の事情聴取
2026年6月11日 第一報「資金流出事案の発生に関するお知らせ」を公表
2026年6月12日以降 月島警察署への相談を継続
2026年6月19日 警察署からの調書完了連絡を受け被害届を正式提出・受理。経過報告と再発防止策を公表
  • 全件再検査の結果:全件の振込確認を実施したが、過去現在に至るまで他の被害事例は発生していない
  • 同社が認識した原因(5項目):
    1. 支払い手続きに関する社内規程・フローが不徹底
    2. 支払承認プロセス・出金プロセスにかかる内部統制が徹底できていなかった
    3. サイバーセキュリティ体制の社内認識が不徹底
    4. 偽アカウント等のなりすましやサイバー攻撃に対する警戒不足
    5. ビジネスチャットツール等の脆弱性に対する対策不足
  • 業績への影響:損失額は捜査・回収状況により変動の可能性。確定後に速やかに損失額を計上予定。手元運転資金の流動性は十分確保しており事業運営・資金繰りへの大きな影響はないとしている

事案の経緯—典型的なBEC(ビジネスメール詐欺)の手口

なりすましメールによる送金指示

第一報(2026年6月11日付)によれば、2026年6月3日、当社役職員を装った第三者による不正な送金指示が行われ、当該指示に基づき当社口座から外部口座への振込が実行されました。その後、当該指示に疑義が生じたことから事実確認を行った結果、第三者による不正行為の可能性が高い事案であることが判明しています。

これは典型的なBEC(Business Email Compromise:ビジネスメール詐欺)の手口です。攻撃者が経営幹部や役職員になりすまし、経理担当者等に対して偽の送金指示を送り、正規の取引であるかのように装って金銭を詐取するという手法であり、URLやマルウェアを伴わないテキストベースの指示であるため、技術的な防御(アンチウイルスやEDR等)をすり抜けやすいという特徴があります。

関連:ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-はてな など上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】

初動対応の速さ

事案発覚後の対応は比較的迅速でした。送金指示への疑義が生じた後、ただちに金融機関へ組戻し依頼を実施するとともに、所轄警察署への相談を行っています。2026年6月10日には所轄警察署による関係者の事情聴取が実施され、2026年6月11日には公表に至っています。

被害届の正式受理

2026年6月19日の経過報告では、その後の進展として、2026年6月12日以降も月島警察署への相談を継続し、警察署からの調書完了の連絡を受けて2026年6月19日に被害届を正式に提出し、正式に受理されたことが明らかにされました。同社は今後も弁護士等の外部専門家への相談を継続するとともに、全容解明に向け捜査機関に全面的に協力する方針を示しています。

原因分析—「ビジネスチャットツールの脆弱性」への言及が示すもの

今回の経過報告で特筆すべきは、同社が原因の検討において極めて具体的な5項目を挙げている点です。

原因 内容
①社内規程・フローの不徹底 支払い手続きに関する社内規程・フローが不徹底であった
②内部統制の不備 支払承認のプロセス及び出金プロセスにかかる内部統制が徹底できていなかった
③サイバーセキュリティ体制の社内認識不足 サイバーセキュリティ体制の社内認識が不徹底であった
④なりすまし・サイバー攻撃への警戒不足 偽アカウント等のなりすましやサイバー攻撃に対する警戒不足
⑤ビジネスチャットツール等の脆弱性対策不足 ビジネスチャットツール等の脆弱性に対する対策不足

特に⑤の「ビジネスチャットツール等の脆弱性に対する対策不足」という記述は、今回のなりすましメールによる送金指示が、メールだけでなくビジネスチャットツールを経由した、あるいはそれに関連した手口だった可能性を示唆しています。

当サイトが報じてきた一連のBEC・なりすまし事案でも繰り返し指摘してきた通り、近年のBEC詐欺ではメールだけでなく、SlackやMicrosoft Teams、LINE WORKSといったビジネスチャットツールが悪用されるケースが急増しています。社内チャットは「同僚や上司から届くもの」という暗黙の信頼が形成されやすく、メール以上に警戒心が低くなる傾向があるためです。

再発防止策—内部統制とサイバーセキュリティの両輪

同社が公表した再発防止策は、内部統制プロセス面とサイバーセキュリティ面の2つの柱に整理されています。

内部統制プロセス面

  • 有効な支払承認プロセス及び出金プロセスが順守される内部統制の体制強化
  • 送金承認プロセスの見直し:高額振込案件の役員共有と、電話やオンライン等による最終確認プロセスの実施
  • 各経理手続きに対する理解の向上及びコンプライアンス重視の教育・研修の徹底
  • 経理部門のリソースの改善と内部監査部門の強化

サイバーセキュリティ面

  • 社内ビジネスツールのセキュリティ強化及び2段階認証の必須化
  • アカウント管理、権限管理の徹底
  • 全役職員向けサイバーセキュリティの社内教育・研修の徹底
  • セキュリティ統制への内部監査の強化

特に「高額振込案件の役員共有と、電話やオンライン等による最終確認プロセスの実施」という対策は、当サイトが他のBEC事案の記事で繰り返し推奨してきた「コールバック確認の義務化」の考え方と合致しており、メールやチャットだけで送金指示を完結させない多重確認体制の重要性を改めて示しています。

業績への影響

同社は今回の経過報告で、損失額については「今後の捜査および回収状況により変動する可能性があるため、確定後、速やかに損失額を計上する予定に変更はない」と説明しています。また「手元の運転資金について十分な流動性を確保しており、本件によって事業運営や資金繰りに大きな影響はない」とし、通期業績に影響を及ぼす場合には速やかに開示するとしています。

なお同社の直近の連結業績(バフェット・コード確認)は、売上高831百万円(前年同期比9.6%減)・営業損失519百万円という状況下にあり、4,500万円という被害額は同社の事業規模を踏まえると軽視できない金額です。

日本企業に共通する教訓—BECの被害は止まらない

今回のジェリービーンズグループの事案は、当サイトが継続的に報じてきたBEC・なりすまし詐欺の一連の事例(はてな・ベルトラ・TOA・前橋の建設設備会社等)と同じ構造的な問題を抱えています。

①技術的防御が機能しない:BECはURLも添付ファイルも含まない純粋なテキスト指示であるため、アンチウイルスソフト・EDR・URLフィルタリングはいずれも機能しません。唯一の突破口は人間の判断であり、受信者が「正規の指示だ」と信じて自らの意志で送金操作を行うことで被害が成立します。

②「複数経路での確認」の制度化が最重要対策:メールやチャットだけで送金指示を完結させず、電話等の別チャネルで必ず口頭確認を行う手順を社内規定として明文化することが、被害防止の最も重要な対策です。今回ジェリービーンズグループが再発防止策に「電話やオンライン等による最終確認プロセス」を明記した点は、この教訓を反映したものと評価できます。

③送金上限額の制度設計:1件あたりの送金上限額の設定・複数名による送金承認フローの義務化・送金実行後の経営幹部へのリアルタイムアラート通知など、「人間は必ず騙される可能性がある」という前提に立った制度設計が、被害の拡大を防ぐ鍵となります。

④ビジネスチャットツールのセキュリティ強化:メールだけでなくチャットツールにも警戒を広げ、2段階認証の必須化・アカウント管理の徹底など、攻撃経路の多様化に対応した対策が求められます。

FAQ

Q. なりすましメールはどのように送られてきたのですか? A. 公表されたリリースでは、なりすましメールの具体的な送信経路や手口の詳細は明らかにされていません。「自社役職員を装った第三者」という記述から、経営幹部等になりすました偽のメールアドレスが使われた可能性が考えられます。

Q. 流出した資金は回収できる見込みはありますか? A. 同社は「捜査および回収状況により変動する可能性がある」としており、現時点で回収状況は明らかにされていません。被害届が正式に受理されたことで、今後の捜査の進展が注目されます。

Q. 同様の被害は他にもありましたか? A. 同社は今回の事案を受けて全件の振込確認を実施しましたが、過去現在に至るまで他の被害事例は発生していないと説明しています。

参考情報

関連記事

ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】ビジネスメール詐欺やなりすまし チャットによる不正送金 被害 まとめ-はてな など上場企業関連6社で-被害総額約15億円超。手口別に事例と対策を解説【最新版】 「韓国のAmazon」クーパン、3,367万件の個人情報漏洩に史上最大の課徴金6,247億ウォン(約660億円)を命令「韓国のAmazon」クーパン、3,367万件の個人情報漏洩に史上最大の課徴金6,247億ウォン(約660億円)を命令 大阪国税局、警察官なりすまし詐欺で納税者情報259件を漏洩した職員を停職6か月の懲戒処分-本人は同日辞職大阪国税局、警察官なりすまし詐欺で納税者情報259件を漏洩した職員を停職6か月の懲戒処分-本人は同日辞職 不正アクセスとは 具体的な手口や被害事例を解説不正アクセスとは-定義・件数・手口・目的・防止策を専門家が解説【2026年最新】 ノボノルディスクが不正アクセスで臨床試験患者情報の流出の恐れ-日本への影響は不明ノボノルディスクが不正アクセスで臨床試験患者情報の流出の恐れ-日本への影響は不明 アサヒグループHDがランサムウェアによるサイバー攻撃の最終業績を開示-営業利益△27.5%・当期利益△28.4%に予想修正アサヒグループHDがランサムウェアによるサイバー攻撃で業績を下方修正 マツダ系最大手樹脂部品メーカー、ダイキョーニシカワのインドネシア子会社で不正アクセスマツダ系最大手樹脂部品メーカー、ダイキョーニシカワのインドネシア子会社で不正アクセス 阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納阿波銀行 OAテスト環境への不正アクセスの原因が判明-頭取含む役員3名が報酬30%・1カ月自主返納 Google、Chromeの脆弱性 33件を修正(CVE-2026-12437,CVE-2026-12443)他Google、Chromeの脆弱性 33件を修正(CVE-2026-12437,CVE-2026-12443)他