Loading
社長を装った不審メールを確認するビジネスパーソンたち|ニセ社長詐欺(BEC)への警戒イメージ

社長や役員になりすました「LINE誘導型」の詐欺メールにご注意を(ニセ社長詐欺/BEC)

ひとことで言うと:
社長や役員の名前で「LINEグループを作って、そのQRコードを送り返してくれ」というメールが来たら、ほぼ詐欺です。返信せず、必ず本人に電話で確認してください。上場企業(株式会社はてな)の被害額は特別損失として確定し、2026年6月にも中小企業での被害が全国で相次いでいます。

最終更新日

社長を装った詐欺メールを見抜く4コマ漫画|①不審なメールに気づく ②QRコード送信を止める ③送信元アドレスの違いを発見 ④電話で本人に別経路確認

いま何が起きているのか

2025年12月ごろから、社長・役員の名前を使った業務指示メール(通称「ニセ社長詐欺」)が日本企業に大量に送られています。警察庁のまとめによると、2026年1〜2月の2か月間だけで、全国の被害総額は20億円を超えました。NHKニュース
被害は大企業だけではありません。中小企業はもちろん、保育園・病院・農協など、業種を問わず代表者をかたるメールが送りつけられています。民間アンケートでは、会社員のおよそ4人に1人が、自分か周囲にこの手のメールが届いた経験があると答えています。NHKニュース
埼玉県では2026年1月、ある法人で従業員が「社長」を名乗る相手の指示に従い、グループチャットを作成→口座残高を送付→7回にわたって計2億1,900万円をネットバンキングで送金してしまうという被害が発生しています。埼玉県警察

その後、被害はさらに大型化しています。2026年4月には、東証グロース上場の株式会社はてなが、悪意ある第三者からの虚偽の送金指示によって、最大約11億円の資金が外部口座へ送金される被害に遭ったと発表しました。従業員のアカウントから2日間で送金が実行され、取引先銀行からの「不審な送金」の連絡で発覚しています。上場企業であっても、人がだまされて“自分で”送金してしまう——これがこの詐欺の本当の怖さです。「うちは大企業ではないから関係ない」とは言い切れません。Impress Watch

【2026年7月追記】その株式会社はてなの被害額は、その後の会計処理で確定しました。同社の開示によると、本件による特別損失は約11.79億円、これに特別調査委員会の費用などを加えた特別損失の合計は約12.4億円にのぼり、通期の当期純損益は黒字予想から一転して約7.7億円の赤字へ修正されています。現預金残高の約7割に相当する規模であり、被害の深刻さを裏付ける形となりました。なお、資金の一部または全部が金融機関等との連携により回収された場合は、確定次第、特別利益として計上される予定です。特別調査委員会による詳しい手口の調査は現在も継続しており、報告書の受領時期は未定とされています。

同時に、この詐欺は上場企業だけでなく、地方の中小企業にも確実に広がっています。2026年6月には、鹿児島県内の2社が同様の手口で合計約1,500万円をだまし取られる被害が相次いで発生したほか、秋田県内の会社支社でも6月29日付で社長を名乗るメールが届き、120万円の被害が確認されています。和歌山市の企業でも約3,800万円のビジネスメール詐欺被害が報告されました。セキュリティ対策Lab秋田魁新報
被害額の大小や企業規模に関わらず、手口自体はほぼ同一(社長を名乗るメール→SNS/LINEグループ作成の依頼→QRコード送付→送金指示)である点に変わりはありません。「うちの規模では狙われない」という思い込みこそが、最大のリスクです。

攻撃者の実態も次第に判明

トレンドマイクロの継続調査によると、国内でのCEO詐欺メールの検出は2025年12月7日ごろから始まり、12月15日ごろには1日あたり1,000件規模に急増、2026年1月5日には1日1万件を超える検出があったことが確認されています。同社の分析では、これに先立って2025年11月ごろから台湾の法人組織が先に標的にされており、その後日本への攻撃割合が増加した経緯があるとされ、タイ・インドネシア・シンガポール・ベトナム・インド・韓国・香港など、周辺国・地域の法人組織も同様の被害に遭っていることが分かっています。トレンドマイクロ

攻撃者集団や関与国を断定できる情報は現時点でないものの、多くのメールで中国製のメール配信ソフトが使われていること、差出人名の一部に簡体字が使われた形跡があることなど、攻撃の自動化にAIが関与していると見られる痕跡も報告されています。また2026年1月下旬以降は、LINEなどへの誘導だけでなく、遠隔操作を狙うマルウェアが添付されたパターンや、Teamsアカウント情報の窃取を狙うパターンも確認されており、手口は今も変化を続けています。「日本だけの一過性の流行」ではなく、アジア圏全体を対象にした組織的なばらまき型攻撃として、今後も警戒が必要な状況です。

なぜ、わざわざLINEに誘うのか

これまでの詐欺メールは「偽の請求書を送って振り込ませる」というシンプルな型が主流でした。しかし最近は、まずメールで接触し、LINEなどのチャットアプリに移ってから本題に入る手口に変わっています。理由は3つあります。第一に、会社のメールはセキュリティソフトで監視されているが、LINEは監視されにくいという点。第二に、「社長と直接LINEでつながっている」という感覚が、警戒心をゆるめてしまうこと。第三に、メールには送金や金額の話を一切書かないため、迷惑メールフィルタに引っかかりにくいことです。メールセキュリティ製品は「送金」「至急」などの言葉で詐欺を検知しますが、犯人はメールでの接触を最低限にすることで、これを意図的に回避しています。トレンドマイクロ

典型的な手口(3ステップ)

  • 第1段階(メール):
    「新プロジェクトの件で」「業務調整のため」などの口実で、会社用のLINEグループを新規作成し、招待用のQRコードを画像で返信するよう指示してきます。「他のメンバーは入れないでほしい」と必ず付け足してくるのが特徴です(相談を封じるため)。
  • 第2段階(LINE):
    グループ参加後、「会社の口座残高を確認したいので、画面の写真を送ってほしい」と要求してきます。
  • 第3段階(送金):
    「取引先への支払いを代行してほしい」「至急この口座に送金を」と、犯人の口座へ振り込ませます。

なお、誘導先はLINEだけではありません。2026年に入ってからは、Teams・Slackのような社内チャットや各種ビジネスチャットを舞台にした被害も相次いで報告されています。ある企業ではビジネスチャット上のなりすまし指示で約9,600万円、別の建設設備会社では5,000万円が流出しました。「LINEではないから安全」ではなく、普段と違う経路で“送金・残高写真・社員名簿の提出”を求められたら、まず疑う——と覚えておいてください。ScanNetSecurity

メールの見分け方──ここを必ず確認してください

  • 1. 差出人のアドレスを「@より後ろ」まで見る(最重要)
    スマホやメールソフトでは「○○社長」と名前だけが大きく表示されますが、これは詐欺師が自由に書ける部分です。重要なのは@マークから後ろのドメインです。実際の詐欺メールでは、表示名は本物の社長名なのに、アドレスは outlook.com、outlook.jp、hotmail.com、gmail.com といったフリーメールや、無関係なプロバイダーのアドレスが使われています。自社の正規ドメインでないなら、その時点で詐欺と判断して構いません。トレンドマイクロ
  • 2. 「LINEのQRコードを画像で送って」は普通ない
    通常の業務で、社長が部下にこんな依頼をすることはまずありません。URLが書かれていない=安全、ではありません。むしろ犯人はURLを使わないことで検知をすり抜けようとしています。
  • 3. 「他の人を入れるな」「至急」「極秘」が並んでいたら危険
    相談されるとバレてしまうので、犯人は必ず孤立させようとします。これらの言葉が揃っていたら、まず疑って構いません。
  • 4. スマホで読むときは特に要注意
    スマホは画面が狭く、差出人アドレスの全文が表示されないことが多いため、見落としが起きやすい環境です。差出人をタップして詳細を開き、ドメインまで確認する習慣をつけてください。

「これは詐欺かも」と思ったときの正しい対応

返信せず、別の手段で本人に確認する──これが鉄則です。
電話、対面、社内チャット(TeamsやSlackなど社内で正規に使っているもの)など、メール以外のルートで本人に「こういうメールが届きましたが、本物ですか?」と聞いてください。本物であれば、社長は「あぁ、あれね」と即答します。詐欺なら、社長は驚きます。

ただし、ここに最新の注意点があります。社内チャットでの確認も万能ではありません。チャットのアカウントが乗っ取られたり、なりすまされたりする例もあるためです。さらに最近は、AIで本人そっくりの声を合成した「偽音声の電話」も国内で確認されています(詳しくはAIなりすましの最新手口を参照)。声が本人に聞こえても、油断はできません。
だからこそ、確認は「届いたメッセージにそのまま返信」「かかってきた番号にそのまま応答」ではなく、次の2つをセットにしてください。①名刺や社内名簿に載っている“いつもの番号”に、自分からかけ直す(コールバック)。②その場にいる別の人にも声をかけ、複数人で確認する。この一手間が、巧妙ななりすましを最後で止めます。

もし、すでにQRコードを送ってしまったら

慌てる必要はありませんが、すぐに次の対応をしてください。

  • 1. やり取りを即停止する。
    残高写真の送付や送金など、追加の指示には絶対に応じない。
  • 2. 証拠を保全する。
    受信したメール本文・ヘッダー情報、添付画像、日時、指示内容のスクリーンショットなどを保存。
  • 3. 社内に共有する。
    同じメールが他の社員にも届いている可能性が高いので、全社へ注意喚起。
  • 4. 金銭が絡みそうなら、経理・管理部門にすぐ連絡。
    送金前に二重承認・電話確認を必須化する。
  • 5. 警察への相談も検討する。
    都道府県警の特殊詐欺対策窓口へ。
    ※万一すでに送金してしまった場合は、振込手続をした銀行へできるだけ早く「組み戻し」を依頼してください。時間が経つほど資金回収は難しくなります。

なお、最近は金銭ではなく「社員名簿(連絡先リスト)をExcelで送ってほしい」と要求するパターンも確認されています。応じてしまうと、全社員の個人情報が一気に流出します。サイバーセキュリティナビ

会社として整えておきたい3つの仕組み

  • 送金プロセスの固定化:
    急な振込・支払先の変更は、必ず「電話による本人確認+複数人による承認」を必須にし、例外を作らない。これだけで被害の大半は防げます。
  • なりすまし検知の設定:
    メールサーバー側で「社長・役員名 × フリーメールや社外ドメイン」の組み合わせを警告・隔離する設定を入れておく。あわせて、自社ドメインのなりすましを防ぐ送信ドメイン認証(SPF・DKIM・DMARC)を正しく設定し、DMARCは「なりすましメールを拒否する」運用にしておくと効果的です。SPF・DKIM・DMARCの具体的な設定や、メールが届かない場合の対処はこちらでも解説しています(IT担当者・委託先と相談)。設定代行のご相談はこちら
  • 定期的な社内周知:
    「LINE・チャット誘導+QRコード返信は詐欺」という定型の注意喚起を、四半期ごとなど定期的に流す。新入社員や中途入社者にも忘れずに伝える。

そのセキュリティ対策、サイトの“土台”は大丈夫ですか? 
中小企業のホームページ、“狙われにくい”作り方から見直しませんか?

「だまされない」だけでなく、「なりすまされない」会社へ。

この詐欺が成立するのは、受け手が“本物か偽物か”を見分けられないからです。裏を返せば、自社の正規ドメインの公式サイトに会社情報や正しい連絡窓口を明示しておくことは、お客様や取引先が「これが本物」と確かめる手がかりになり、なりすましの被害を間接的に防ぎます。

ホームページを「作って終わり」にせず、ドメイン・SSL・サーバー・運用までまとめて整える——その考え方を、専門知識がなくてもわかるようにまとめました。

情報漏えい対策は、
社員の“うっかり”を防ぐ教育から見直しませんか?

結局、最後の砦は「人」でした。

ここまで読んでお気づきの通り、ニセ社長詐欺は高価なセキュリティ製品では止められません。だまされるのも、踏みとどまるのも、メールを開いた社員一人ひとりです。「LINE誘導+QRコードは詐欺」「急な送金は電話でかけ直し」——この判断を“全員の習慣”にするには、現場の言葉で伝わる教育がいちばんの近道です。

バンブーハウスでは、本記事のような最新の実例をそのまま教材にした情報セキュリティ講習会(出張・オーダーメイド)をご提供しています。

よくあるご質問(FAQ)

Q1. 社長の名前で来ているのに、本当に詐欺ですか?

表示名は誰でも自由に設定できます。差出人アドレスの@以降が自社の正規ドメインでないなら、ほぼ詐欺と考えて差し支えありません。

Q2. URLが貼られていないので、開いても安全では?

逆です。URLを貼ると検知されるため、犯人はあえて貼らず、LINEに誘導してから本題(送金)に進みます。本文が短く、URLもないのに「至急」と書かれていたら、むしろ警戒すべきサインです。

Q3. 「他の人は招待しないで」と書かれているのはなぜ?

周囲に相談されると詐欺だとバレてしまうからです。これは詐欺の典型的なサインです。

Q4. うっかりQRコードを送ってしまいました。どうすれば?

追加の指示には一切応じないこと。証拠を保存し、すぐに社内(情報システム部門・直属の上司)に報告してください。金銭の話が出ていたら経理・管理部門に即連絡を。

Q5. 社内で最低限決めておくべきルールは?

「急な振込や支払先変更は、必ず電話で本人確認+二重承認」、これ一つを徹底するだけで被害はほぼ防げます。例外を作らないことが重要です。

Q6. 上場企業でも被害が出ていますが、中小企業でも対策できますか?

できます。2026年4月に発生した東証グロース上場企業(株式会社はてな)の被害は、その後の会計処理で特別損失として確定し、当初の「最大約11億円」から、特別調査委員会費用等を含めた合計で約12.4億円の特別損失、当期純損益は約7.7億円の赤字へと修正されています。上場企業でもこれだけの規模の被害が確定する一方、2026年6月には鹿児島・秋田など地方の中小企業でも同様の被害が発生しており、防ぎ方の基本は会社の規模を問いません。「急な送金・支払先変更は、電話のかけ直しで本人確認+複数人で承認」を“例外なく”ルール化すること。これが、もっとも費用がかからず効果の高い対策です。

Q7. 「電話で確認」と言いますが、AIで声を偽装されることはありませんか?

その懸念は正しく、国内でもAIで合成した偽音声による電話が確認されています。だからこそ、相手からかかってきた番号ではなく、こちらが把握している“いつもの番号”に自分からかけ直すこと、可能であれば複数人で確認することが大切です。声が本物そっくりに聞こえても、手順を省略しないでください。

Q8. そもそも「ニセ社長詐欺」「BEC」とは何ですか?

BEC(ビジネスメール詐欺=Business Email Compromise)とは、社長・役員・取引先などになりすましたメールで、従業員に送金や情報提供をさせる詐欺の総称です。「ニセ社長詐欺」はそのうち、自社の経営者を装うパターンを指します。近年はメールからLINEや社内チャットへ誘導する「LINE誘導型」が主流になっています。

Q9. LINEではなくTeamsやSlackなら安全ですか?

いいえ、安全とは言えません。2026年に入ってからは、Teams・Slackなどの社内チャットを舞台にした被害も報告されています。重要なのは「どのアプリか」ではなく「普段と違う経路で、急に送金・残高写真・社員名簿を求められていないか」です。経路を問わず、その場合はまず疑ってください。

Q10. 不審なメールを受け取ったら、まず何をすればいいですか?

第一に「返信しない」こと。第二に、メール以外の手段で本人に確認します。このとき、届いたメッセージへの返信やかかってきた番号への折り返しではなく、名刺や社内名簿の“いつもの番号”に自分からかけ直してください。可能であれば複数人で確認します。送金や金銭の話が出ていれば、経理・管理部門にもすぐ共有してください。

Q11. すでにお金を振り込んでしまった場合はどうすればいいですか?

できるだけ早く、振込手続をした銀行へ「組み戻し」を依頼してください。時間が経つほど資金の回収は難しくなります。あわせて、都道府県警の特殊詐欺対策窓口へ相談し、メール本文・ヘッダー・やり取りのスクリーンショットなどの証拠を保全してください。社内にも速やかに共有し、二次被害を防ぎます。

Q12. 費用をかけずに今日からできる対策はありますか?

あります。「急な送金・支払先の変更は、電話のかけ直しで本人確認+複数人で承認」という一つのルールを、例外なく全社で徹底することです。これは費用がかからず、もっとも効果の高い対策です。あわせて「LINE・チャット誘導+QRコード返信は詐欺」という注意喚起を定期的に社内へ流すと、さらに有効です。

公的機関の参考情報

  • 警察庁・SOS47「法人を対象とした詐欺(ニセ社長詐欺)に注意!」(2026年2月13日 注意喚起)警察庁
  • IPA(情報処理推進機構)「情報セキュリティ10大脅威 2026」組織編:ビジネスメール詐欺(BEC)が10位(2018年から9年連続選出)、「AIの利用をめぐるサイバーリスク」が3位に初選出。
  • IPA 相談窓口:2025年12月16日〜2026年3月10日の約3か月間で、本手口に関する相談が106件。
  • トレンドマイクロ「社長を騙りLINEに誘導する『CEO詐欺』の手口を解説」(2026年6月23日更新)トレンドマイクロ
  • 株式会社はてな「資金流出事案に伴う業績予想の修正に関するお知らせ」ほか一連の適時開示(2026年4月〜)
  • LINE公式:詐欺に関する注意喚起

WEB制作をご検討の皆様へ
「守り」を固めたら、次は“選ばれる”サイトへ。
リニューアルからAI検索対策まで。

守りを固めたサイトは、次に「見つけてもらう・選ばれる」段階へ。古いホームページの運用型リニューアルから、ChatGPTなどのAI検索で引用されるための対策まで、創業27年のワンストップでご相談を承ります。

  • 公開日  更新日
  • 監修 情報セキュリティ統括責任者 竹内勇人
お問い合わせ