近年、経営者や上司を装って金銭の支払いを指示する詐欺が、中小企業を中心に広がっています。
この手口について、警視庁匿名・流動型犯罪グループ対策本部は2026年1月13日付で、「社長・上司を装った不審なメール事案が急増している」と公式に注意喚起を行いました。
注意喚起では、経営者名をかたって社員に連絡し、LINEなどのメッセージアプリへ誘導したうえで、「至急」「極秘」といった言葉で振り込み対応を求める事例が紹介されています。
こうした詐欺は、メールやチャットの文面だけを見ると一見不自然さがなく、経理・総務担当者が判断を誤りやすい点が特徴です。
警察以外にも金融機関、セキュリティ関連機関からも注意喚起が出ており、企業規模を問わず被害が発生していることが分かっています。特に、経営者と現場の距離が近い中小企業では、確認プロセスの甘さを突かれやすい状況にあります。
本記事では、経営者詐欺(CEO詐欺/ビジネスメール詐欺)について、実際に確認されている事例を踏まえながら、代表的な手口、その見抜き方、そして中小企業として取るべき具体的な対策を整理して解説します。
経営者詐欺(CEO詐欺)とは、社長や役員、上司になりすまして社員に連絡し、金銭の振り込みや情報提供を指示する詐欺手口です。
英語では Business Email Compromise (BEC)とも呼ばれ、日本でも被害が拡大しています。
典型的な手口としては、経営者を名乗ったメールやチャットが突然届き、
- 至急対応してほしい案件がある
- 極秘なので他言しないでほしい
- 今日中にこの口座へ振り込みしてほしい
といった形で、経理担当者や総務担当者の判断を急がせるのが特徴です。
なりすましは「メール」だけではない
従来はメールによる手口が中心でしたが、近年は
- メールからチャットツール(LINE、Teams など)へ誘導する
- 実在の社長名・役職名・社内の呼び方を使った巧妙な文面を用いる
など、実際の業務連絡と見分けがつきにくい形に進化しています。
なぜ中小企業が狙われやすいのか
経営者詐欺は、大企業よりも中小企業で被害が発生しやすい傾向があります。その背景には、
- 経営者と現場の距離が近く、指示に疑問を持ちにくい
- 振り込みや決裁のルールが属人的になりがち
- 「確認すると失礼かもしれない」という心理が働く
といった事情があります。
攻撃者はこうした組織の特徴を理解したうえで、人の判断や心理を突く形で詐欺を仕掛けてくるのです。
経営者詐欺では、社長や役員を名乗るメールやSNSでの連絡が届くところから始まります。こういった連絡は、次のような特徴を持っています。
- 差出人名や表示名に、実在する経営者や役員の名前が使われている
- 文面が業務連絡を思わせる自然な表現になっている
- 社内で日常的に使われている言い回しや役職名が含まれている
このように、受信者が疑念を持ちづらい点が特徴です。
そのうえで、文面では対応を急がせたり、周囲に相談させない状況を意図的につくり出す表現が使われます。緊急性や秘匿性を強調することで、担当者に冷静な確認や別ルートでの裏取りをさせず、そのまま判断させることが狙いです。
狙われやすいのは、経理・総務・情報システム部門など、振り込みやシステム操作、社内調整に関与する担当者です。特に中小企業では、業務が少人数に集中しているケースも多く、「いつもの業務の延長」として対応してしまうリスクがあります。
これらの事例から分かるのは、経営者詐欺が特定の業種や企業規模に限られたものではなく、日常業務の流れを理解したうえで仕掛けられる、極めて実務寄りの詐欺だという点です。
なお、実際に発生したビジネスメール詐欺(BEC)の被害事例については、情報処理推進機構(IPA)が公開している事例集でも整理されています。
ビジネスメール詐欺の事例集を見る
https://www.ipa.go.jp/security/bec/bec_cases.html
具体的な流れや判断ミスのポイントを知りたい場合は、参考情報として確認するとよいでしょう。
経営者詐欺の代表的な手口
経営者詐欺は、単一の手法ではなく、複数の要素を組み合わせて仕掛けられるのが特徴です。ここでは、実際の事例でも多く確認されている代表的な手口を整理します。
なりすましアドレス・偽アカウントによる接触
最初の接触では、社長や役員になりすましたメールアドレスや偽のSNS・チャットアカウントが使われます。表示名には実在する経営者名が設定されており、一見すると本人からの連絡に見えるため、受信者が違和感を覚えにくい点が特徴です。
特に、メールでの連絡後にチャットツールへ誘導するなど、普段の業務フローに近づけることで、疑念を持たせない工夫がされています。
事前調査による自然な文面と役職指定
攻撃者は、企業のWebサイトやSNS、採用情報などから事前に情報収集を行っています。そのため、文面には社内で実際に使われていそうな言い回しや、特定の役職・担当者名が自然に盛り込まれます。
「誰に」「どんな依頼を出せば動くか」を理解したうえで送られてくるため、通常の業務連絡と区別しづらい点がリスクになります。
例外対応や緊急性を強調して判断を急がせる
経営者詐欺では、時間的な制約を強調する表現が多用されます。あわせて、周囲に相談させない状況を意図的につくり出すことで、冷静な確認を妨げます。
通常の承認フローや確認手続きを省略させ、担当者が単独で判断してしまう状態に追い込むのが狙いです。
金銭・支払い・請求先変更への誘導
最終的な目的は、金銭の支払いに関する行動を取らせることです。急な振り込み依頼や、請求先・振込先の変更といった形で指示が出されます。
内容自体は「業務上あり得そう」なものが多く、やり取りの流れも自然なため、確認を怠るとそのまま振り込みに進んでしまうリスクがあります。
経営者詐欺を見抜くためのチェックポイント
経営者詐欺は、文面や流れが自然なため、業務中に受け取ると違和感に気づきにくいのが特徴です。判断に迷った場合は、以下の点を確認することが重要です。
送信元アドレスやドメインに違和感はないか
表示名が社長や役員の名前でも、実際の送信元アドレスやドメインが正規のものとは異なるケースがあります。文字の置き換えや、よく似た別ドメインが使われることも多く、見た目だけで判断するのは危険です。
特に、フリーメールアドレスや海外ドメインが使われている場合は注意が必要です。
連絡手段が普段と異なっていないか
たとえば、これまでメール中心だったやり取りが、突然チャットツールや個人アカウントに切り替わる場合も警戒すべきポイントです。「今はこの手段で」といった説明があったとしても、普段の業務フローと異なる連絡には一度立ち止まって確認をする必要があります。
単独承認や例外対応を求められていないか
「今回は特別」「他の人には共有しないでほしい」といった依頼は、承認プロセスを意図的に外させるためのサインです。経営者詐欺では、担当者に一人で判断させる状況をつくることが重要な要素になっています。
通常の確認手続きから外れていないかを意識することが大切です。
別チャネルでの確認が取れているか
少しでも不安を感じた場合は、別の連絡手段で本人確認を行うことが有効です。電話や社内チャット、対面確認など、詐欺側がコントロールできないチャネルで確認が取れない場合、その依頼は実行すべきではありません。
「確認する時間がない」と言われた場合こそ、確認が必要な場面だと考えるべきです。
中小企業が取るべき経営者詐欺への対策
経営者詐欺は、個人の注意力だけで防ぐのが難しい詐欺です。
技術・運用・教育を組み合わせて対策することが、中小企業にとって現実的かつ効果的なアプローチになります。
技術的な対策
まず重要なのが、なりすましメールを入口で減らすための技術的対策です。
メールセキュリティ製品の導入や設定強化により、怪しいメールの検知や隔離を行うことで、担当者の判断負荷を下げることができます。特に、経営者や役員を装ったメールは狙われやすいため、役職者アカウントを重点的に保護する設定が有効です。
また、送信ドメインの正当性を検証するために、SPF/DKIM/DMARCといったなりすまし対策の設定を行うことも重要です。これらが未設定、もしくは適切に運用されていない場合、第三者が自社ドメインを装ったメールを送信できてしまうリスクがあります。
運用・ルール面の対策
経営者詐欺では、例外対応や単独判断を狙われるケースが非常に多いため、運用ルールの整備が欠かせません。
金銭の振り込みや支払い指示については、必ず複数人で確認・承認するルールを設けることが重要です。「急ぎ」「今回だけ」といった理由で例外を認めないことが、被害防止につながります。
あわせて、経営者自身が例外的な指示を出さないという姿勢を明確にすることも大切です。トップの振る舞いがルールを崩してしまうと、現場は判断に迷い、詐欺に付け入る隙を与えてしまいます。
また、情シスや経理担当者に対して、判断を個人に押し付けない体制をつくることも重要です。迷ったときに相談できる仕組みや、「確認してよい」という文化を明示することで、冷静な対応が可能になります。
教育・意識づけ
最後に欠かせないのが、人への対策です。
経営者詐欺という手口そのものを、社内で正しく共有しておくことが第一歩になります。
特に、経理・総務・情シスといった狙われやすい部門には、どのような流れで詐欺が進むのかを具体的に伝えておくことが有効です。名前を知っているだけでも、初動の警戒心は大きく変わります。
加えて、定期的な注意喚起や事例共有を行うことで、「今も起きている脅威」であるという認識を維持できます。一度きりの研修ではなく、短時間でも繰り返し触れることが、実際の行動につながります。
まとめ:経営者詐欺は「個人の注意」では防ぎきれない
経営者詐欺(CEO詐欺/ビジネスメール詐欺)は、
単なる不審メールではなく、社内の環境や業務フロー、人の心理を理解したうえで仕掛けられる詐欺です。
そのため、「気をつけよう」「怪しいと思ったら確認しよう」といった個人任せの対策だけでは限界があります。
重要なのは、
- 技術的に入口を減らすこと
- 例外対応を生まない運用ルールを整えること
- 経営者を含めて、社内全体で手口を共有すること
この3つを組み合わせて、詐欺が成立しにくい状態をつくることです。
特に中小企業では、判断や業務が特定の人に集中しやすいため、仕組みとしての対策がより重要になります。
経営者詐欺は、「知らなかった」「忙しかった」という隙を突いてきます。
だからこそ、平時のうちに備えておくことが、最も効果的な対策と言えるでしょう。
経営者詐欺対策に不安がある場合はまず相談してみてください
経営者詐欺への対策は、
- 何から手を付ければいいか分からない
- ルールはあるけれど、実際に運用が守られているかどうかはわからない
と感じやすい分野です。
もし少しでも不安がある場合は、まずは気軽に相談してみることをおすすめします。
当社では、中小企業向けのセキュリティ運用支援サービスの知見を活かし、現状の課題や確認ポイントを整理する無料相談を行っています。
「今の体制で十分か知りたい」「まずは何を優先すればいいか相談したい」など、どのフェーズでもまずはお気軽にご連絡ください。
