はじめに——4月24日、衝撃のニュース
2026年4月24日、インターネット関連サービスを幅広く展開する株式会社はてな(東証グロース市場上場)が、最大約11億円にのぼる資金流出事案が発生したと公表しました。「はてなブログ」「はてなブックマーク」など、国内のネット文化を長年支えてきた企業が被害を受けたというニュースは、セキュリティ業界だけでなく、広くビジネスパーソンの間に衝撃を与えました。
発表によると、4月20日と21日の2日間、ある従業員のアカウントを通じて、会社の銀行口座から外部の口座へと送金が実行されていました。事案が判明したのは、取引先銀行から「不審な送金が行われている」との連絡があったためです。当該従業員に確認したところ、「悪意ある第三者から虚偽の送金指示があり、それに従って送金を行った」ことが明らかになりました。
この事案は、サイバーセキュリティの世界で「BEC(Business Email Compromise:ビジネスメール詐欺)」と呼ばれる手口、あるいはそれに類する攻撃によるものと見られています。マルウェアや不正アクセスを使わず、人間の判断そのものを騙す——その巧妙さが、この攻撃の本質です。
そして、このニュースが駆け巡ったまさにその日、私たちサイバーセキュリティ総研はアンケートを実施しました。「ビジネス取引相手を装った詐欺メールを受け取ったことがありますか?」——その結果は、日本のビジネス現場が抱えるリスクの深さを、あらためて浮き彫りにするものでした。
アンケートが示した、驚くべき現実
191名の方にご回答いただいたアンケートの結果は、以下のとおりです。
- 受け取ったことはない:40.8%
- 受け取ったことはあるが無視した:48.2%(最多)
- 受け取ったことがあり、対応しようとした:5.2%
- 受け取ったことがあり、詐欺にあった:5.8%
まず注目すべきは、回答者の約6割——実に59.2%が「詐欺メールを受け取ったことがある」と回答していることです。ビジネス取引相手を装ったなりすましメールは、もはや「珍しい攻撃」ではなく、多くのビジネスパーソンが日常的に直面している脅威だということが分かります。
なかでも特に重要なのが、最多回答となった「受け取ったことはあるが無視した」の48.2%という数字です。
“無視した”は、本当に正解なのか
「詐欺メールを受け取ったが無視した」——この回答を、単純に「正解行動」と捉えていいでしょうか。答えは、一概にそうとは言えません。
確かに、怪しいメールに返信したり、添付ファイルを開いたりしないことは正しい行動です。しかし「無視した」という回答の背後には、大きく分けて2つのケースが混在していると考えられます。
ケース①:正しく「不審だ」と判断して無視した
差出人のメールアドレスが微妙に違う、文面が不自然、取引先に確認したら心当たりがないと言われた——そうした根拠に基づいて無視した場合は、適切な判断です。
ケース②:「なんとなく怪しい」と思ったが、理由が曖昧なまま無視した
ここが問題です。今日のBEC攻撃の恐ろしさは、「なんとなく怪しい」とは感じさせないほど精巧に作られている点にあります。攻撃者は事前に標的企業のメールのやり取りに不正アクセスし、取引先の名前、担当者の言葉遣い、送金の手続き方法まで把握したうえで偽の指示を送ってきます。過去に「怪しかったが無視して正解だった」という成功体験が、「次も直感で判断できる」という油断につながりかねません。
はてなのケースで被害を受けた従業員も、きっと「おかしい」と感じるシグナルがあったはずです。しかし、巧みに演出された「緊急性」や「権威性」がその疑念を押しつぶしました。BEC攻撃は人間の心理の隙間を突く攻撃であり、どれだけ優秀なビジネスパーソンでも、無防備では騙される可能性があるのです。
5.8%の被害者——数字の裏にある現実
「詐欺にあった」と回答した5.8%という数字は、一見小さく見えます。しかし191票という母数に対して、実に11名が「実際に被害を受けた」と回答していることになります。
また、「対応しようとした」5.2%の方は、被害に至らなかったかもしれませんが、一歩間違えれば同様の結果になっていた可能性があります。つまり回答者の約11%が「実際に攻撃に引っかかった、または引っかかりかけた」経験を持つということです。
この数字は、実社会の被害実態とも符合します。警察庁の統計によれば、特殊詐欺やSNSを介した詐欺などの被害額は年々増加を続けており、個人だけでなく企業も標的にされる時代が到来しています。はてなのような上場企業でさえ被害を受けるという現実が、それを証明しています。
上場企業が狙われる時代——BECの全貌
ビジネスメール詐欺(BEC)とは、取引先や社内の役員・上司などになりすましたメールを送り、受取人に振込などの金銭的な操作を実行させる手口です。マルウェアを使わないため、ウイルス対策ソフトでは検知できないという特性があります。
一般的なフィッシング詐欺と一線を画す点は、「不特定多数への無差別攻撃」ではなく、「特定の企業・特定の担当者を徹底的に調べたうえでのカスタマイズ攻撃」である点です。
攻撃者はまず、ターゲット企業に関するあらゆる情報を収集します。企業のウェブサイト、SNS、プレスリリース、場合によっては過去にメールボックスへの不正アクセスを行い、取引先の名前、普段のやり取りの文体、経理担当者の名前、送金手続きの慣行——こうした情報をすべて把握したうえで、精巧な偽メールを作成します。
そして攻撃には、必ずといっていいほど「緊急性」が演出されます。「本日中に送金が必要」「今すぐ対応しないと契約が破談になる」——時間的プレッシャーをかけることで、受信者が「別の手段で確認する」という行動を取る前に振り込ませてしまうのです。
2025〜2026年、企業被害が相次ぐ深刻な状況
はてなの事案は、決して孤立した出来事ではありません。2025年後半から2026年にかけて、国内の上場企業を含む複数の企業で同種の被害が相次いで発生しています。
ビジネスチャット上でのなりすましによる数千万円規模の被害、サポート詐欺を経由したネットバンキング不正送金による数億円の被害、ボイスフィッシング(電話による詐欺)を使った数億円の流出——手口は多様化を続けており、メールにとどまらずSMS・ビジネスチャット・SNS・電話と、あらゆるコミュニケーションチャンネルが攻撃の舞台になっています。
特に最近増えているのが、実在する社長の名前を使ったLINEグループを経由した詐欺です。経営者に成りすましたメールでLINEグループへ誘導し、そこで口座残高を聞き出したうえで「至急送金してほしい」と指示するという手口で、2026年初頭の時点で東京都内だけでも複数社が被害を受けています。
テクノロジーを扱うIT企業でさえ被害を受けるという事実は、「うちのような会社は大丈夫」という思い込みが、最大のリスク要因であることを示しています。
なぜ、優秀な従業員が騙されるのか——心理的メカニズム
「なぜ、何億円もの送金指示に従ってしまったのか」——多くの人が疑問に思うことでしょう。しかし、これはその従業員が特別に不注意だったわけでも、セキュリティ意識が低かったわけでもありません。
BEC攻撃が利用する心理的メカニズムは、行動経済学や社会心理学の観点から非常に巧妙に設計されています。
① 権威への服従:社長や上司、あるいは取引先の重要人物からの指示という形式を取ることで、受信者は「確認して時間を取らせるより、早く実行すべき」と感じさせられます。
② 緊急性バイアス:「今日中に」「今すぐ」という言葉は、人間の思考を「確認」から「実行」モードに切り替えさせます。十分な確認を行うゆとりを奪うのです。
③ 社会的証明:攻撃者が事前に収集した情報によって、メールの内容が実際の業務の文脈と一致している場合、受信者は「これは本物だ」と信じてしまいます。
④ 一貫性の原理:一度「この指示に従う」という判断をすると、次の指示にも従いやすくなります。複数回に分けて少額から送金を誘導する場合もあります。
これらの心理的トリガーは、どれだけ経験豊富なビジネスパーソンにも有効です。「自分は騙されない」という自信そのものが、注意を下げる要因になりかねません。
今すぐできる、5つの対策
では、企業はどのような対策を取ればいいのでしょうか。技術的な対策も重要ですが、BEC攻撃は「人間」を標的にするため、組織的・文化的な対策が特に効果的です。
1. 送金前の別経路確認を義務化する
これが最も重要かつ確実な対策です。メール・チャット・SNSで送金指示を受け取った場合、必ず電話や対面など「別の通信手段」で本人に直接確認する。これをルール化し、「急いでいる場合でも確認を省略しない」という文化を作ることが重要です。
2. 多重承認フローを整備する
一定金額以上の送金には、複数人の承認を必要とする社内ルールを設けましょう。「担当者一人の判断で送金できる」という構造そのものが、BEC攻撃の温床になります。
3. 定期的なセキュリティ訓練を実施する
不審なメールの見分け方を「座学」で学ぶだけでなく、模擬フィッシングメールを実際に送るなどの実践的な訓練が効果的です。「体験して気づく」ことが、意識の定着につながります。
4. 「変だと思ったら言える」文化を作る
「これは怪しいかもしれない」と感じたとき、上司や同僚に気軽に相談できる職場環境が重要です。「今さら確認するのが恥ずかしい」「上司からの指示を疑うのは失礼だ」という心理が、被害を生む最後のボタンになります。
5. インシデント発生時の初動フローを用意する
「おかしいと思ったらどうするか」の手順を、事前に定めておきましょう。誰に報告し、どの銀行に連絡し、何を確認するか——慌てた状況でも迷わず動ける体制が被害額を最小化します。
「無視」から「報告」へ——次の一歩を踏み出す
今回のアンケートで最も多かった「受け取ったことはあるが無視した」という回答は、個人として詐欺被害を免れたという意味では適切な行動だったかもしれません。しかし、組織全体のセキュリティという観点では、「無視」だけでは不十分です。
詐欺メールを受け取ったという事実そのものが、貴重なセキュリティ情報です。どんな組織が、どんな手口で、どんな担当者を狙っているか——この情報を社内のセキュリティ担当者やIT部門に共有することで、組織全体の防衛力が高まります。
「受け取ったが無視した」を「受け取ったので報告した」に変える。その一歩が、次のはてなのような事案を防ぐために、今の私たちにできることかもしれません。
おわりに——「他人事」から「自分事」へ
はてなの11億円流出事件は、日本のビジネス社会に大きな問いを投げかけました。IT業界の中でも高い技術力と知名度を誇る企業でさえ被害を受けるという現実を前に、「うちは大丈夫」という安心感はもはや根拠を持ちません。
今回のアンケートが示した「約6割の回答者が詐欺メールを受け取った経験を持つ」という事実は、この問題がすでに多くのビジネスパーソンの目の前にある脅威であることを示しています。
攻撃者は常に進化しています。AIの活用によって詐欺メールの文章はますます自然で説得力を増し、音声合成によって電話口の「上司の声」さえも偽造できる時代が来ています。この流れに対抗できるのは、技術的な防御策と同時に、一人ひとりのセキュリティ意識と、組織として「確認する」文化を根付かせることしかありません。
あなたの会社は、今日届いた一通のメールに、11億円を失う準備ができていませんか?
本記事は、2026年4月24日時点で公開されている情報をもとに作成しています。はてな社の事案については、現在も調査・対応が継続中であり、今後新たな情報が明らかになる可能性があります。
【関連記事】
・ビジネスメール詐欺(BEC)とは?手口・事例・対策を徹底解説
・上場企業6社で計15億円超の被害——なりすまし送金詐欺の最新動向まとめ
・フィッシングメール訓練サービス比較ガイド2026年版