ひとことで言うと:
社長や役員の名前で「LINEグループを作って、そのQRコードを送り返してくれ」というメールが来たら、ほぼ詐欺です。返信せず、必ず本人に電話で確認してください。上場企業(株式会社はてな)の被害額は特別損失として確定し、2026年6月にも中小企業での被害が全国で相次いでいます。
最終更新日
2025年12月ごろから、社長・役員の名前を使った業務指示メール(通称「ニセ社長詐欺」)が日本企業に大量に送られています。警察庁のまとめによると、2026年1〜2月の2か月間だけで、全国の被害総額は20億円を超えました。NHKニュース
被害は大企業だけではありません。中小企業はもちろん、保育園・病院・農協など、業種を問わず代表者をかたるメールが送りつけられています。民間アンケートでは、会社員のおよそ4人に1人が、自分か周囲にこの手のメールが届いた経験があると答えています。NHKニュース
埼玉県では2026年1月、ある法人で従業員が「社長」を名乗る相手の指示に従い、グループチャットを作成→口座残高を送付→7回にわたって計2億1,900万円をネットバンキングで送金してしまうという被害が発生しています。埼玉県警察
その後、被害はさらに大型化しています。2026年4月には、東証グロース上場の株式会社はてなが、悪意ある第三者からの虚偽の送金指示によって、最大約11億円の資金が外部口座へ送金される被害に遭ったと発表しました。従業員のアカウントから2日間で送金が実行され、取引先銀行からの「不審な送金」の連絡で発覚しています。上場企業であっても、人がだまされて“自分で”送金してしまう——これがこの詐欺の本当の怖さです。「うちは大企業ではないから関係ない」とは言い切れません。Impress Watch
【2026年7月追記】その株式会社はてなの被害額は、その後の会計処理で確定しました。同社の開示によると、本件による特別損失は約11.79億円、これに特別調査委員会の費用などを加えた特別損失の合計は約12.4億円にのぼり、通期の当期純損益は黒字予想から一転して約7.7億円の赤字へ修正されています。現預金残高の約7割に相当する規模であり、被害の深刻さを裏付ける形となりました。なお、資金の一部または全部が金融機関等との連携により回収された場合は、確定次第、特別利益として計上される予定です。特別調査委員会による詳しい手口の調査は現在も継続しており、報告書の受領時期は未定とされています。
同時に、この詐欺は上場企業だけでなく、地方の中小企業にも確実に広がっています。2026年6月には、鹿児島県内の2社が同様の手口で合計約1,500万円をだまし取られる被害が相次いで発生したほか、秋田県内の会社支社でも6月29日付で社長を名乗るメールが届き、120万円の被害が確認されています。和歌山市の企業でも約3,800万円のビジネスメール詐欺被害が報告されました。セキュリティ対策Lab秋田魁新報
被害額の大小や企業規模に関わらず、手口自体はほぼ同一(社長を名乗るメール→SNS/LINEグループ作成の依頼→QRコード送付→送金指示)である点に変わりはありません。「うちの規模では狙われない」という思い込みこそが、最大のリスクです。
トレンドマイクロの継続調査によると、国内でのCEO詐欺メールの検出は2025年12月7日ごろから始まり、12月15日ごろには1日あたり1,000件規模に急増、2026年1月5日には1日1万件を超える検出があったことが確認されています。同社の分析では、これに先立って2025年11月ごろから台湾の法人組織が先に標的にされており、その後日本への攻撃割合が増加した経緯があるとされ、タイ・インドネシア・シンガポール・ベトナム・インド・韓国・香港など、周辺国・地域の法人組織も同様の被害に遭っていることが分かっています。トレンドマイクロ
攻撃者集団や関与国を断定できる情報は現時点でないものの、多くのメールで中国製のメール配信ソフトが使われていること、差出人名の一部に簡体字が使われた形跡があることなど、攻撃の自動化にAIが関与していると見られる痕跡も報告されています。また2026年1月下旬以降は、LINEなどへの誘導だけでなく、遠隔操作を狙うマルウェアが添付されたパターンや、Teamsアカウント情報の窃取を狙うパターンも確認されており、手口は今も変化を続けています。「日本だけの一過性の流行」ではなく、アジア圏全体を対象にした組織的なばらまき型攻撃として、今後も警戒が必要な状況です。
これまでの詐欺メールは「偽の請求書を送って振り込ませる」というシンプルな型が主流でした。しかし最近は、まずメールで接触し、LINEなどのチャットアプリに移ってから本題に入る手口に変わっています。理由は3つあります。第一に、会社のメールはセキュリティソフトで監視されているが、LINEは監視されにくいという点。第二に、「社長と直接LINEでつながっている」という感覚が、警戒心をゆるめてしまうこと。第三に、メールには送金や金額の話を一切書かないため、迷惑メールフィルタに引っかかりにくいことです。メールセキュリティ製品は「送金」「至急」などの言葉で詐欺を検知しますが、犯人はメールでの接触を最低限にすることで、これを意図的に回避しています。トレンドマイクロ
なお、誘導先はLINEだけではありません。2026年に入ってからは、Teams・Slackのような社内チャットや各種ビジネスチャットを舞台にした被害も相次いで報告されています。ある企業ではビジネスチャット上のなりすまし指示で約9,600万円、別の建設設備会社では5,000万円が流出しました。「LINEではないから安全」ではなく、普段と違う経路で“送金・残高写真・社員名簿の提出”を求められたら、まず疑う——と覚えておいてください。ScanNetSecurity
返信せず、別の手段で本人に確認する──これが鉄則です。
電話、対面、社内チャット(TeamsやSlackなど社内で正規に使っているもの)など、メール以外のルートで本人に「こういうメールが届きましたが、本物ですか?」と聞いてください。本物であれば、社長は「あぁ、あれね」と即答します。詐欺なら、社長は驚きます。
ただし、ここに最新の注意点があります。社内チャットでの確認も万能ではありません。チャットのアカウントが乗っ取られたり、なりすまされたりする例もあるためです。さらに最近は、AIで本人そっくりの声を合成した「偽音声の電話」も国内で確認されています(詳しくはAIなりすましの最新手口を参照)。声が本人に聞こえても、油断はできません。
だからこそ、確認は「届いたメッセージにそのまま返信」「かかってきた番号にそのまま応答」ではなく、次の2つをセットにしてください。①名刺や社内名簿に載っている“いつもの番号”に、自分からかけ直す(コールバック)。②その場にいる別の人にも声をかけ、複数人で確認する。この一手間が、巧妙ななりすましを最後で止めます。
慌てる必要はありませんが、すぐに次の対応をしてください。
なお、最近は金銭ではなく「社員名簿(連絡先リスト)をExcelで送ってほしい」と要求するパターンも確認されています。応じてしまうと、全社員の個人情報が一気に流出します。サイバーセキュリティナビ
「だまされない」だけでなく、「なりすまされない」会社へ。
この詐欺が成立するのは、受け手が“本物か偽物か”を見分けられないからです。裏を返せば、自社の正規ドメインの公式サイトに会社情報や正しい連絡窓口を明示しておくことは、お客様や取引先が「これが本物」と確かめる手がかりになり、なりすましの被害を間接的に防ぎます。
ホームページを「作って終わり」にせず、ドメイン・SSL・サーバー・運用までまとめて整える——その考え方を、専門知識がなくてもわかるようにまとめました。
結局、最後の砦は「人」でした。
ここまで読んでお気づきの通り、ニセ社長詐欺は高価なセキュリティ製品では止められません。だまされるのも、踏みとどまるのも、メールを開いた社員一人ひとりです。「LINE誘導+QRコードは詐欺」「急な送金は電話でかけ直し」——この判断を“全員の習慣”にするには、現場の言葉で伝わる教育がいちばんの近道です。
バンブーハウスでは、本記事のような最新の実例をそのまま教材にした情報セキュリティ講習会(出張・オーダーメイド)をご提供しています。
表示名は誰でも自由に設定できます。差出人アドレスの@以降が自社の正規ドメインでないなら、ほぼ詐欺と考えて差し支えありません。
逆です。URLを貼ると検知されるため、犯人はあえて貼らず、LINEに誘導してから本題(送金)に進みます。本文が短く、URLもないのに「至急」と書かれていたら、むしろ警戒すべきサインです。
周囲に相談されると詐欺だとバレてしまうからです。これは詐欺の典型的なサインです。
追加の指示には一切応じないこと。証拠を保存し、すぐに社内(情報システム部門・直属の上司)に報告してください。金銭の話が出ていたら経理・管理部門に即連絡を。
「急な振込や支払先変更は、必ず電話で本人確認+二重承認」、これ一つを徹底するだけで被害はほぼ防げます。例外を作らないことが重要です。
できます。2026年4月に発生した東証グロース上場企業(株式会社はてな)の被害は、その後の会計処理で特別損失として確定し、当初の「最大約11億円」から、特別調査委員会費用等を含めた合計で約12.4億円の特別損失、当期純損益は約7.7億円の赤字へと修正されています。上場企業でもこれだけの規模の被害が確定する一方、2026年6月には鹿児島・秋田など地方の中小企業でも同様の被害が発生しており、防ぎ方の基本は会社の規模を問いません。「急な送金・支払先変更は、電話のかけ直しで本人確認+複数人で承認」を“例外なく”ルール化すること。これが、もっとも費用がかからず効果の高い対策です。
その懸念は正しく、国内でもAIで合成した偽音声による電話が確認されています。だからこそ、相手からかかってきた番号ではなく、こちらが把握している“いつもの番号”に自分からかけ直すこと、可能であれば複数人で確認することが大切です。声が本物そっくりに聞こえても、手順を省略しないでください。
BEC(ビジネスメール詐欺=Business Email Compromise)とは、社長・役員・取引先などになりすましたメールで、従業員に送金や情報提供をさせる詐欺の総称です。「ニセ社長詐欺」はそのうち、自社の経営者を装うパターンを指します。近年はメールからLINEや社内チャットへ誘導する「LINE誘導型」が主流になっています。
いいえ、安全とは言えません。2026年に入ってからは、Teams・Slackなどの社内チャットを舞台にした被害も報告されています。重要なのは「どのアプリか」ではなく「普段と違う経路で、急に送金・残高写真・社員名簿を求められていないか」です。経路を問わず、その場合はまず疑ってください。
第一に「返信しない」こと。第二に、メール以外の手段で本人に確認します。このとき、届いたメッセージへの返信やかかってきた番号への折り返しではなく、名刺や社内名簿の“いつもの番号”に自分からかけ直してください。可能であれば複数人で確認します。送金や金銭の話が出ていれば、経理・管理部門にもすぐ共有してください。
できるだけ早く、振込手続をした銀行へ「組み戻し」を依頼してください。時間が経つほど資金の回収は難しくなります。あわせて、都道府県警の特殊詐欺対策窓口へ相談し、メール本文・ヘッダー・やり取りのスクリーンショットなどの証拠を保全してください。社内にも速やかに共有し、二次被害を防ぎます。
あります。「急な送金・支払先の変更は、電話のかけ直しで本人確認+複数人で承認」という一つのルールを、例外なく全社で徹底することです。これは費用がかからず、もっとも効果の高い対策です。あわせて「LINE・チャット誘導+QRコード返信は詐欺」という注意喚起を定期的に社内へ流すと、さらに有効です。
守りを固めたサイトは、次に「見つけてもらう・選ばれる」段階へ。古いホームページの運用型リニューアルから、ChatGPTなどのAI検索で引用されるための対策まで、創業27年のワンストップでご相談を承ります。