山陰合同銀行、ボイスフィッシング 対策で法人向けネットバンキングの一部を緊急停止

セキュリティニュース

投稿日時: 更新日時:

山陰合同銀行、ボイスフィッシング 対策で法人向けネットバンキングの一部を緊急停止

山陰合同銀行(ごうぎん)は12月4日、同行を装った偽サイトが複数確認されたことを受け、ビジネスインターネットバンキング(法人向けネットバンキング)の一部資金移動取引を緊急停止したと発表しました。
2025年は全国でボイスフィッシング(電話を使ったフィッシング詐欺)による法人口座の不正送金被害が相次いでおり、山陰合同銀行も被害拡大を未然に防ぐ措置として、一部機能の停止に踏み切った形です。

関連:2025年に発生したボイスフィッシング(ビッシング)の事例

偽サイト確認を受け、ビジネスIBの一部取引を停止

同行によると、山陰合同銀行を装った偽サイトが複数確認され、ボイスフィッシング詐欺を起点とした不正送金被害が発生する可能性が高まっていると判断。12月4日から、法人向けのビジネスインターネットバンキングについて、次の取引を当面のあいだ停止しています。

停止される取引(ビジネスインターネットバンキング)

  • 都度指定方式かつ当日扱いの振込(他行あて)

  • 都度指定方式かつ予約扱いの振込(当行あて・他行あて)

  • サービス指定口座間の予約扱いの資金移動(振替)
    (取引履歴からの振込や、他業務で登録済みの振込先口座を使った振込も停止対象)

一方で、次の取引は引き続き利用できます。

  • 都度指定方式の当行あて振込(当日扱い)

  • 総合振込(他行あてを含む)

  • 給与振込(他行あてを含む)

すでに12月3日までに予約扱いで手続き済みの資金移動取引については、予定どおり処理されます。

急ぎの振込は窓口・ATMで対応 手数料はネット扱いに

停止対象となるオンライン振込が急ぎで必要な場合は、店頭窓口またはATMでの手続きが案内されています。

ビジネスインターネットバンキング契約者が窓口やATMを利用した場合でも、振込手数料はビジネスインターネットバンキング規定の手数料で受け付けるとしています。

ATMで手続きした場合は、取引明細書を最寄りの窓口へ持参するよう呼びかけています。

同行は「大変ご不便をおかけするが、お客様の大切な預金を守るための措置」として理解を求めています。

山陰合同銀行が警告するボイスフィッシングの手口

今回の偽サイトは、電話と組み合わせたボイスフィッシングの一環とみられ、同行は典型的な手口を次のように説明しています。

  1. 銀行のサポートを名乗る自動音声電話がかかってくる

    • インターネットバンキングの契約情報の更新が必要などと告げる

  2. ガイダンスに従って操作すると、自動音声から“担当者”と名乗る人物に切り替わる

    • 自動音声から有人対応に変わるケースは危険性が高いと注意喚起

  3. 犯人がメールアドレスを聞き出し、そのアドレス宛に偽サイトへのURLを送付

  4. 偽サイト上で会社情報やインターネットバンキングの契約情報、認証情報などの入力を求める

  5. 盗み取った情報を使い、犯人がインターネットバンキングやハードトークンを操作して不正送金を行う

同行は、

  • 銀行が自動音声や電話、メール等で契約情報やパスワードなどを尋ねることは一切ない

  • 不審な電話やメールには応答せず、ただちに銀行へ連絡すること

  • もし操作してしまった場合もすぐに連絡してほしい
    と改めて強く呼びかけています。

2025年は全国でボイスフィッシング被害が連鎖

2025年は、山陰合同銀行以外にも、法人向けインターネットバンキングを狙ったボイスフィッシングが全国各地で確認されています。共通するのは「電話+偽サイト+即時振込」を組み合わせた“リアルタイム窃取型”の手口です。

主な事例として、次のようなものが報告されています。

  • 新潟県内の企業
    取引先金融機関を名乗る自動音声からの電話を受け、「会社情報の未更新による取引停止」を口実に操作を誘導。後日送られてきたメールのリンクから偽サイトにアクセスし、IDやパスワードを入力した結果、約1億9,000万円が別口座に不正送金されたことが判明。

  • 山形鉄道(山形銀行を装う音声詐欺)
    山形銀行を名乗る自動音声から偽サイトに誘導され、ログイン情報やワンタイムパスワードを入力したことで、約1億円の不正送金被害が発生。県内のほかの企業や報道機関にも同様の電話が確認され、警察がフィッシング詐欺として捜査中。

  • 琉球銀行(法人向けIBで約1億円)
    法人向けネットバンキング「りゅうぎんBizネット」で複数の不正送金が判明し、被害額は約1億円。同行を名乗る自動音声でパスワード入力を促し、盗んだ情報で第三者が送金。即時振込機能を一時停止し、予約振込は行員審査のうえ実行する運用に変更。

  • 北陸銀行・北國銀行(即時振込の一部停止)
    双方とも自行を名乗る自動音声や電話を起点とした不正送金を受け、法人向けインターネットバンキングの「他行あて即時振込」などを一時停止。電話やメールで契約情報やパスワードを尋ねることはないと強調し、疑わしい連絡には応答せず、正規窓口で確認するよう注意喚起。

  • 福岡銀行(取引先企業6社で総額約8,000万円)
    自動音声で「情報が更新されていない」「更新しないと口座凍結」などと不安をあおり、オペレーターを名乗る人物につなぐ手口で、企業6社が合計約8,000万円の被害。

このほか、海外でも大手企業のCRM環境をめぐるボイスフィッシングが報告されており、SalesforceやクラウドCRMのアカウント情報が電話を起点としたソーシャルエンジニアリングで盗まれ、API経由で大量データが持ち出される事案も表面化しています。

ボイスフィッシング(ビッシング)とは何か

ボイスフィッシング(ビッシング)とは、電話(自動音声やオペレーター)を入り口として、受け手に操作や入力を促し、

  • インターネットバンキングのID/パスワード

  • ワンタイムパスワード

  • 認証コードや取引番号

などの機密情報を盗み取る詐欺手口です。

典型的な流れは次のとおりです。

  1. 銀行や公的機関、取引先企業などを名乗る自動音声電話がかかってくる

  2. 「口座凍結」「セキュリティ強化」「情報未更新」などの名目で不安や危機感をあおる

  3. 指示された番号を押すと“オペレーター”につながる

  4. メールやSMSで偽サイトのURLが送られてくる

  5. ログイン情報やワンタイムパスワードを入力させ、その情報を使って即時に不正送金・不正ログインを行う

来電表示のなりすましや、実在する窓口名を騙ることで、本物のサポート窓口と誤認させるのが特徴で、メールだけのフィッシングよりも心理的な圧力が強く、だまされやすい点が問題視されています。

企業・利用者が今すぐ取るべき対策

今回の逮捕を受けても、ボイスフィッシングの脅威そのものがなくなるわけではありません。企業・団体・個人がそれぞれ対策を徹底することが重要です。

「電話でパスワードは絶対に教えない」を徹底

  • 銀行や公的機関は、電話や自動音声でパスワードやワンタイムパスワードを尋ねることはありません。

  • 企業では、経理・財務・総務部門などに対し「電話で認証情報は渡さない」というルールを明文化し、研修で繰り返し周知することが重要です。

メールやSMSのリンクからログインしない

  • 山形県警も呼びかけているように、インターネットバンキングを利用する際は、

    • メールやSMS内のリンクをクリックせず、

    • ブラウザのブックマークや公式アプリ、正規URLから直接アクセスする
      ことを習慣にしてください。

不審な電話は一度切って、正規窓口に自分でかけ直す

  • 「●●銀行を名乗る自動音声」や「折り返しを求める電話」があった場合、

    • いったん電話を切り、

    • 銀行の公式サイト等で自分で電話番号を調べ、正規窓口へ相談する
      ことで真偽を確認できます。

技術的な防御策

企業側では、次のような技術的対策も有効です。

  • 法人口座にアクセスする端末やIPアドレスを限定する

  • ワンタイムパスワードや多要素認証(MFA)の必須化

  • 振込限度額の引き下げ・ホワイトリスト化

  • 2人以上の承認がないと送金完了しないワークフローの導入

もし入力してしまったら、すぐ連絡

  • 認証情報やワンタイムパスワードを入力してしまった場合は、

    • 直ちに金融機関へ連絡し、口座の凍結やトークン失効を依頼

    • 社内のパスワード変更、セッション失効、アクセスログの確認
      まで含めた「緊急対応手順」をあらかじめ決めておくことが重要です。