この記事でわかること
- 株式会社はてなで起きた「資金流出事案」の全容
- なぜ11億円もの大金が流出したのか
- BEC(ビジネスメール詐欺)の手口と最新の脅威動向
- 企業・社会への影響
- 同じ被害を防ぐために企業が今すぐとるべき対策
はてな資金流出事件とは?──まず何が起きたのかを整理
2026年4月24日、インターネット関連企業の株式会社はてな(東証グロース市場上場・本社:京都市中京区)が、約11億円もの資金が外部の銀行口座へ不正に送金されたと公表しました。
これは状況からみると「振り込め詐欺(BEC:ビジネスメール詐欺)」と呼ばれる手口によるものと想像され、上場企業が標的になった事案として大きな注目を集めています。
※現段階で発表されている情報をもとに弊社コンサルティングチーム判断のため事実と異なる可能性があります。
時系列で見る事件の経緯
4月20日・21日:不正送金が実行される
はてなの適時開示によると、2026年4月21日、取引先銀行から不審な送金が行われているとの連絡があり、確認したところ、4月20日と21日に従業員のアカウントから、はてなの銀行口座の資金が外部口座へ送金されていました。
4月21日:従業員が異変に気づき警察へ連絡
当該従業員に確認したところ、悪意ある第三者からの虚偽の送金指示があり、これに従い外部口座への送金を実行したことが判明しました。当該従業員は、21日の送金完了後、当該指示が虚偽であること、ならびに犯罪に巻き込まれた可能性が高いと考え、警察へ連絡を行ったとのことです。
4月24日:東証へ適時開示・対策本部の設置
4月24日時点の被害対象額は最大約11億円で、発生日は4月20日および21日とされています。同社は代表取締役を中心とする対策本部を設置。外部専門家である弁護士等による事実関係の調査も進めており、捜査機関の捜査にも全面的に協力しています。
—
なぜ11億円もの資金が流出したのか?──原因を解説
「振り込め詐欺」ではなく「BEC(ビジネスメール詐欺)」の疑い
今回の事案は、一般的な「オレオレ詐欺」とは異なります。企業を狙ったBEC(Business Email Compromise=ビジネスメール詐欺)と呼ばれる手口と考えられています。
BECとは、攻撃者が経営幹部や取引先を装い、従業員に対して「至急、この口座へ送金してください」という虚偽の業務指示を送りつけるサイバー犯罪です。メールやチャットツールを通じて非常にリアルな内容で指示が届くため、担当者でも本物と区別するのが難しいという特徴があります。
今回の構図(弊社の推定)
※下記内容は弊社が公開されている情報から推察している内容ですので事実と異なる可能性があります。
1. 悪意ある第三者が、社内で権限を持つ人物を装う
2. 資金管理の権限を持つ従業員に対して「外部口座へ送金せよ」と指示
3. 従業員が指示を信じ、2日間にわたって送金を実行
4. 送金完了後に指示が偽物だったと気づく
この事件の影響はどのくらい大きいのか?
業績への深刻なダメージ
はてなの2026年7月期通期業績予想は、売上高38億5900万円、営業利益1億3600万円、経常利益1億4600万円、当期純利益1億100万円です。最大約11億円という被害対象額は、通期営業利益予想の約8.1倍に相当する水準です。
これは「1年間の利益の8倍以上」が一瞬で失われる可能性があることを意味します。はてなのような中堅企業にとって、これは経営の根幹を揺るがしかねない規模の被害です。
### 現預金の大半が消える危機
はてなは現預金が17億円しかないにもかかわらず、最大11億円の振り込め詐欺に遭っています。会社の現金のおよそ65%が失われた計算となります。
事業への影響は限定的(現時点)
一方、はてなは顧客データの流出はないと説明しており、「はてなブログ」「はてなブックマーク」などサービスの運営に支障はないとしています。
特別損失として計上予定
はてなは、損失額について、今後の捜査および回収状況により変動する可能性があるとしており、確定次第、特別損失として計上する予定で、通期業績予想への影響は精査中だということです。
BEC(ビジネスメール詐欺)とは何か?──詳しく解説
ビジネスメール詐欺を受け取ったことがある人は50%以上
弊社で緊急でビジネスメール詐欺にあったことがあるかアンケートをした結果、50名の回答で下記のような結果となった。実に半分以上が受け取ったことがあるという回答だった。
BECの定義
BEC(Business Email Compromise=ビジネスメール詐欺)とは、企業・組織に偽のメールやメッセージを送りつけ、従業員をだまして犯罪者の口座へ送金させる詐欺の手口です。
一般的な「フィッシング詐欺」と異なる点は、不特定多数に同じメールを送るのではなく、特定の企業・特定の担当者を徹底的に調べたうえで、精巧にカスタマイズされた指示を送ってくるところです。犯罪者は事前に標的企業のメールのやり取りに不正アクセスし、取引先の名前、言葉遣い、送金の手続き方法まで把握したうえで偽の指示を送ります。そのため、受け取った担当者が「本物の連絡」と信じてしまうのです。
被害額は1件あたり1億円以上も珍しくなく、数十億円規模の被害も発生しています。
BECの主な4つの手口
手口①:取引先をかたる手口
取引先になりすまして偽の請求書をメールで送り、代金を犯罪者の口座に振り込ませる手口です。犯罪者はあらかじめ取引先のシステムに侵入し、請求が発生するタイミングを見計らって偽の請求書を送りつけます。「いつもの取引先からの請求」に見えるため、担当者は疑わずに送金してしまいます。「いつもの口座が監査中で使えない」などともっともらしい理由を添えることもあります。
手口②:CEO詐欺(経営幹部なりすまし)
親会社のCEO・社長など経営幹部になりすまし、「M&Aの資金を至急送金してほしい」などと指示する手口です。「極秘」「至急」「上には話さないように」という言葉で担当者を焦らせ、誰にも相談できない状況を意図的に作り出します。経営幹部からの依頼とあって、確認せずに従ってしまうケースが多いのが特徴です。
手口③:ディープフェイクを使った音声・動画詐欺
近年、AI技術を悪用した「ディープフェイク」による手口も海外で多数確認されています。経営幹部がメディアに出演した際の音声情報をもとに偽音声を生成し、CEOになりすまして電話で直接送金指示をしてくるというものです。テキストではなく「声」で届くため、より信じやすく危険度が高い手口です。
手口④:ニセ社長詐欺(LINEグループを悪用した新手口)
2025年末から日本国内で急増している最新の手口です。実在する社長の名前を使い、メールで「新しいプロジェクトのためLINEグループを作ってほしい」と指示します。LINEグループが作られると、そのグループ内で会社の口座残高を聞き出し、「決済資金を至急送金してほしい」と送金を要求します。実在する社長名が使われるうえ、LINEというなじみのあるツールを経由するため気づきにくいのが特徴です。
2025年12月中旬以降、この手口は東京都内の43社で確認(2026年1月19日時点)されており、そのうち金銭をだまし取られた被害は14社で計6億7,000万円に上っています。
BECが見破りにくい理由
BECが他の詐欺と一線を画す理由は、純粋な「技術的攻撃」ではなく「人間の心理」を徹底的に利用した攻撃である点にあります。
- 情報収集が緻密:攻撃者はSNS・会社のウェブサイト・メールのハッキングを通じて、担当者の名前・役職・文体・取引先まで把握しています
- 信頼できる人物を装う:上司・社長・取引先という「逆らえない相手」からの指示として届きます
- 焦りを煽る:「今すぐ」「今日中に」という言葉で冷静な判断を奪います
- 秘密を強要する:「他の人には話さないように」と周囲への確認を封じます
これらが組み合わさることで、普段は慎重な担当者でも被害に遭ってしまうのです。
社会的背景──この手口は増加している
今回の事件は決して「他人事」ではありません。日本では近年、企業を狙った特殊詐欺・サイバー詐欺の被害が急増しています。
警察庁によると、特殊詐欺やSNSを介した投資詐欺、ロマンス詐欺の被害額は、2023年に907億円、2024年には1990億円と増加し、2025年の暫定値は3241億円で過去最悪を記録しています。
個人だけでなく、今や上場企業でさえも被害を受ける時代になっています。
BEC被害を防ぐために──企業が今すぐとるべき対策
BEC対策は「事前」の予防と「事後」の初動対応の2つに分けて考えることが重要です。
【事前対策】被害が起きる前にできること
対策1:送金の「二重承認(ダブルチェック)」ルールの制度化
一定金額以上の送金には、必ず2名以上の承認を必要とするルールを社内規程として明文化しましょう。今回のはてなの事案も、1人の従業員が送金指示に従った可能性があり、複数人によるチェック体制があれば被害を防げた可能性があります。金額の閾値は業種・規模によって異なりますが、まず「100万円以上は必ず上長承認」など具体的な基準から始めるのが現実的です。
対策2:送金指示は必ず「登録済みの電話番号」で本人確認
メールやチャット・LINEで届いた送金指示は、必ず別の手段(電話)で相手に直接確認するルールを設けましょう。重要なのは「偽メールに書かれた電話番号」ではなく、名刺・社内電話帳・以前から登録している番号に電話することです。犯罪者がメール内に偽の電話番号を記載している場合があるため、「同じメールの連絡先に電話して確認した」では意味がありません。
対策3:「至急」「秘密に」「今日中に」というワードを詐欺のサインと認識する
BEC詐欺に共通する言葉があります。「至急対応してほしい」「誰にも言わないように」「今日中に送金を」という表現です。これらのワードが送金指示に含まれていた場合、詐欺の可能性が極めて高いと社内全体で認識できるよう教育・周知しましょう。経営幹部からの指示であっても、この確認ルールは例外なく適用することが重要です。
対策4:「社長からLINEグループに誘導されたら詐欺」を全社周知
最新のニセ社長詐欺では、LINEグループを入口として送金指示が行われます。「社長・役員からLINEでグループ作成を指示された場合は必ず直接電話確認する」というルールを全社で共有しておくことが、この新手口への有効な防衛策となります。
対策5:メール送信元ドメインの認証技術を導入する(技術対策)
DMARC・DKIM・SPFと呼ばれるメール認証技術を導入することで、自社のドメインになりすましたメールの送信を防いだり、受信時に検知したりできます。これらはなりすましメール対策の標準的な技術であり、ITシステム担当者やベンダーに相談して導入を検討しましょう。
対策6:定期的なセキュリティ教育とBEC訓練の実施
座学だけでなく、「実際に偽の送金指示メールを社員に送り、どう対応するか確認する」訓練(フィッシングシミュレーション)を定期的に実施することが効果的です。人間の「慣れ」と「思い込み」がBEC被害を生むため、繰り返しの訓練が最も確実な予防策のひとつです。
対策7:大口送金のリアルタイム検知アラートを設ける
社内の会計・銀行システムと連携し、一定額以上の送金が行われた際に自動でアラートが上長・経営者に届く仕組みを導入しましょう。今回のはてなの事案は取引先銀行からの連絡で発覚しましたが、社内システムで先に検知できていれば、被害をより早い段階で止められた可能性があります。
【事後対策】万が一、送金してしまったときの初動
BECの被害に遭った場合、時間との勝負です。資金が海外口座へ転送される前に手を打つことが、回収の可否を左右します。
Step 1:すぐに送金手続きをした銀行へ連絡し「組み戻し」を依頼する
送金後、1分でも早く取引銀行へ連絡し、「組み戻し(送金取り消し)」手続きを依頼してください。時間が経つほど資金回収の可能性は低下します。特に海外送金の場合、その傾向が顕著です。
Step 2:警察(サイバー犯罪相談窓口)へ被害を届け出る
最寄りの警察署または都道府県警察のサイバー犯罪相談窓口に被害を届け出ましょう。証拠となるメール・チャットのログはすべて保全しておくことが重要です。
Step 3:経営幹部・法務・外部弁護士を交えた対策本部を設置する
被害が判明した直後から対策本部を設置し、事実関係の調査・広報対応・株主への開示対応(上場企業の場合)を並行して進める体制を整えます。
Step 4:社内全体へ速やかに情報共有する
被害が発生した事実を隠すと二次被害・情報漏えいのリスクが高まります。社内への情報共有と、関係者へのセキュリティ意識の再徹底を速やかに行いましょう。
まとめ
| 被害者 | 株式会社はてな(東証グロース上場) |
| 被害金額 | 最大約11億円 |
| 発生日 | 2026年4月20日・21日 |
| 手口(予想) | 第三者による虚偽の送金指示(BEC詐欺の疑い) |
| 現状(2026年4月24日) | 警察へ相談済み・金融機関と被害回復に向けた対応中 |
BEC対策チェックリスト──自社の対策状況を確認しよう
以下の項目を確認し、できていないものから優先的に取り組みましょう。
- 一定金額以上の送金に2名以上の承認が必要なルールがある
- 送金指示は必ず「登録済みの電話番号」で本人確認するルールがある
- 「至急」「秘密に」という送金指示を詐欺サインとして周知している
- 「社長からLINEグループへの誘導」を詐欺として社内周知している
- メール認証技術(DMARC・DKIM・SPF)を導入している
- 定期的なセキュリティ教育・フィッシング訓練を実施している
- 大口送金のリアルタイム検知アラートを設けている
- 被害発生時の初動対応フローが社内で共有されている
はてなの事件は、どんな企業でも明日起きうる問題です。BECは技術の隙ではなく「人間の心理の隙」を狙います。「自分の会社は大丈夫」という油断こそが、詐欺グループの狙い目になります。送金フローの見直し、社員教育、システムによる検知体制の整備を、今すぐ検討することをおすすめします。
本記事は2026年4月24日時点で公開されている情報をもとに作成しています。今後、捜査の進展や企業の発表により内容が変わる可能性があります。
BEC対策ならサイバーセキュリティ総研
弊社サイバーセキュリティ総研では、メール訓練を公開情報をもとに、不定期&取引先などを模した実践に近い訓練を開発・提供しています。ぜひご相談ください。