企業を狙ったCEO詐欺・BEC(ビジネスメール詐欺)・なりすましメールの被害が2026年も急増し続けています。本記事では、国内外の具体的な被害事例と金額、AI技術を使ったなりすましの新手口、そして企業が取るべき対策を解説します。

CEO詐欺(BEC詐欺)の被害規模

CEO詐欺(BEC詐欺:Business Email Compromise)とは、CEOや社長・CFOなどの経営幹部を装い、従業員に対して不正な送金や機密情報の提供を指示するサイバー詐欺の一種です。

FBIが公表した被害統計(IC3 2023 Annual Report):

指標 数値
2023年単年の被害総額 約29億ドル(約4,400億円)
2019〜2023年の5年間累計被害 500億ドル(約7兆5,000億円)超
サイバー犯罪の中での位置づけ 金融被害額が最大の犯罪類型

国内外のCEO詐欺・BEC詐欺の主要事例

海外事例

【2024年・香港】ディープフェイクビデオ会議で約37億円被害(最大規模)

多国籍企業の香港支社で財務担当者がCFOと複数の同僚を装ったディープフェイク映像のビデオ会議に参加させられ、約2,500万ドル(約37億円)を送金した事件。ビデオ通話の参加者全員がディープフェイクだった可能性が指摘されており、被害者は終始疑わなかったとされる(Reuters, 2024年2月報道)。

ビデオ通話の信頼性が根底から揺らいだ事件として、金融機関・多国籍企業に大きな衝撃を与えた。

【2023年・米国】なりすましメールで約7億円被害

エネルギー会社でCEOになりすましたメールがCFOに送られ、「M&A交渉の秘密保持のため他言無用」という典型的な文言で急ぎの送金を指示。初動の確認プロセスが整備されていなかったことで被害が発生した。

【2019年・英国】CEO音声クローニングで約2,500万円被害

英国企業の子会社CFOが、ドイツ親会社CEOの声を模倣した音声通話に騙され、24万2,000ユーロ(約2,500万円)を送金した事件。ボイスクローニングが企業詐欺に初めて大規模に利用された事例として広く報告された(Wall Street Journal, 2019年報道)。

国内事例

【2025年・日本国内】CEO音声クローニング詐欺(複数確認)

経営幹部の音声をAIでクローニングし、経理担当者に電話して緊急送金を指示するケースが複数確認されている。音声の自然さから本人と信じ込んだ担当者が送金する被害が発生。被害額の多くは非公開だが、警察庁・業界団体への報告件数は2024年比で急増している。

【2024年・日本の中堅製造業】取引先なりすましメールで約1,200万円被害

仕入先業者を装った「口座変更通知」メールに経理担当者が騙され、正規業者への支払い予定代金を攻撃者口座に振り込んだ事例。本物のドメインとわずかに異なるドメイン(字体の酷似した文字を使用)を利用した偽装が原因。メールだけで確認を完結させてしまったことが被害拡大の要因となった。

社長・経営幹部の「なりすましメール」手口と見分け方

なりすましメール(ビジネスメール詐欺)には主に以下の3つの手口があります。

手口1:ドメイン偽装型

本物のメールアドレスに酷似した偽ドメインを使用する。

手口2:表示名偽装型

送信者の「表示名」だけを本物の社長名に設定し、実際のメールアドレスは全く無関係のアドレスを使用。メールクライアントによっては表示名しか表示されないため、見落とされやすい。受信メールの送信元アドレス全体を必ず確認することが重要。

手口3:メールアカウント乗っ取り型(最も危険)

取引先や社内の実際のメールアカウントを不正アクセスで侵害し、正規のアドレスから詐欺メールを送信する。フィッシング攻撃やパスワードリストを使った不正ログインで実現されるため、技術的なフィルタリングでは検知が非常に困難。

CEO詐欺・なりすましに共通する「危険な文言パターン」

以下のような要素を含む送金指示は、CEO詐欺・なりすましの可能性が高い。

  • 「緊急で今日中に」「今すぐ送金が必要」:時間的プレッシャーで確認を省略させる
  • 「M&Aや機密案件なので他言無用」「絶対に誰にも言わないで」:社内確認を阻止する
  • 「いつもと違う口座に振り込んでほしい」「新しい振込先に変更した」:攻撃者口座への誘導
  • 「自分の携帯から連絡しているのでメールは使えない」:別チャンネルでの確認を阻止する

2026年の新手口:AIを使ったなりすまし採用面接

採用面接(特にオンライン面接)でのAIなりすましが急増しています。米国FBIは2024年に、リモートワーク職の採用面接でディープフェイク技術を使って別人になりすます手口を公式に警告しています。

AIなりすまし採用面接の目的

目的 内容
機密情報へのアクセス権取得 IT系・金融系職種に採用され内部システムへ侵入
なりすまし採用による報酬詐取 実在しない人物として採用し給与を詐取
国家レベルの潜入工作 北朝鮮系ITワーカー等が欧米・日本企業への潜入を試みる事例(FBI・CISA, 2024年警告)

AIなりすまし採用面接を見破るポイント

  • 予期しない動作の要求:「少し右を向いてください」「ペンを見せてください」などの即興動作を求める
  • 音声の均質性:自然な会話に現れる「えー」「あー」などのフィラーが少ない場合は要注意
  • 照明・輪郭の違和感:顔と背景の光源方向が異なる、首元・髪の毛との境界が不自然
  • AI検知ツールの活用:人間による判断には限界があるため、ディープフェイク検知ソリューションの導入が有効

企業が取るべき対策

対策1:業務プロセスへの確認ステップ組み込み

最も効果的な対策は技術ではなく業務プロセスの設計です。

シチュエーション 推奨する確認プロセス
メールで送金指示を受けた 登録済みの番号へコールバックで口頭確認
電話で緊急送金を求められた メール+承認システムでの多段階確認を義務付け
口座変更の通知が来た 取引先へ直接電話で確認(メールへの返信での確認は不可)
経営幹部からの高額指示 金額閾値(例:50万円以上)を設けて多段階承認フローを適用

対策2:メール技術的対策(DMARC/DKIM/SPF)

なりすましメールを技術的にブロックするために、メール認証プロトコルを正しく設定します。

  • SPF:自社ドメインから送信できるサーバーを制限し、偽ドメインからの送信を検知
  • DKIM:送信メールにデジタル署名を付与し、改ざんを検知可能に
  • DMARC:SPF・DKIMの認証失敗時の処理方針を定義(受信者側での拒否・隔離を実現)

対策3:AIによる音声・映像の検知

電話・ビデオ会議でのなりすましは人間の感覚では識別困難です。G1 TechnologyのSpellbreakerは、音声クローニングやディープフェイク映像の痕跡をAIが検知します。

  • 録音された通話の事後検証
  • リアルタイム音声監視(コールセンター等)
  • ビデオ面接の真正性確認

対策4:従業員への定期的な訓練

年2回以上、実際の被害事例を使ったシミュレーション訓練を実施。「社長からの電話でも確認する」という文化を組織全体に醸成することが被害防止の根本的な対策です。

インシデント発生時の対応フロー

詐欺被害が発覚した場合の初動対応:

  1. 直ちに送金の停止・取り消しを試みる(数時間以内が勝負)
  2. 証拠保全(メールヘッダー・通話録音・振込記録など)
  3. 金融機関へ即時連絡し、振込先口座の凍結を要請(振り込め詐欺救済法を活用)
  4. 警察(サイバー犯罪相談窓口)への届け出
  5. 経営幹部・セキュリティ部門への報告
  6. 社内での再発防止策の検討

よくある質問(FAQ)

Q. CEO詐欺のなりすましメールは迷惑メールフィルターで防げますか?

A. 単純なフィルターでは防ぎにくいケースがあります。特に、取引先の実際のメールアカウントが乗っ取られた場合(正規アドレスからの送信)や、巧妙なドメイン偽装の場合は通過することがあります。DMARC/DKIM/SPFの適切な設定と組み合わせることで検知精度が向上します。

Q. CEO詐欺の被害に遭った場合、振込した資金は戻りますか?

A. 迅速に対応すれば口座凍結・資金回収できる可能性があります。振込後数時間以内に金融機関と警察に連絡することが最重要です。日本では「振り込め詐欺救済法」により、一定の条件下で被害回復分配金の請求が可能です。ただし海外口座への振込は回収が非常に困難なため、予防措置が最重要です。

Q. なりすましメールと本物のメールを見分けるポイントは?

A. メールの「表示名」ではなく「実際の送信元アドレス」を確認することが基本です。メールヘッダーの「Return-Path」や「X-Originating-IP」を確認することで実際の送信元を特定できます。また「緊急」「秘密」「口座変更」などのキーワードを含む送金指示メールは、必ず別手段で送信者本人に直接確認するルールを設けることが重要です。

Q. AIなりすましを使った採用面接詐欺への対策は?

A. 採用プロセスに以下の対策を追加することを推奨します。①最終面接を対面または厳格な本人確認付きで実施する ②面接中に予期しない動作・質問を求める ③採用後の身元調査を徹底する ④IT職など権限の大きい職種の採用時はAIなりすまし検知ツールの活用を検討する。

Q. 中小企業もCEO詐欺の標的になりますか?

A. はい、中小企業も頻繁に標的にされています。むしろセキュリティ体制が手薄な中小企業は標的にされやすい傾向があります。規模を問わず確認プロセスの整備と従業員教育が重要です。

まとめ

CEO詐欺・なりすましメール・AIなりすましは、2026年現在も被害が拡大し続けています。被害を防ぐための最重要ポイントは2点です。

  1. 「急いで」「秘密で」という言葉には必ず疑念を持ち、別手段で確認する業務プロセスを整備する
  2. AIによる音声・映像の検知技術を活用し、人間の感覚を技術で補強する

G1 Technologyでは、ディープフェイク・なりすまし検知ソリューション「Spellbreaker」をご提供しています。企業のセキュリティ担当者・情報システム部門の方はお気軽にお問い合わせください。

関連記事: