CEO詐欺とは？手口・被害事例・企業が今すぐ取るべき対策を解説

ある日の朝、経理担当者のもとに一通のメールが届きます。送信者名には自社の社長の名前が表示されており、内容はこうです。
「今、出張中で電話が難しい。今日中に取引先へ300万円を送金してほしい。詳細は後で説明する」。
緊急性と権威を帯びたこの一文に、担当者は疑うことなく送金処理を実行してしまいます——。これがCEO詐欺の典型的な手口です。

IPA（独立行政法人情報処理推進機構＝情報セキュリティを専門とする国の機関）が2026年1月に発表した「情報セキュリティ10大脅威2026」では、ビジネスメール詐欺が組織向け脅威の第10位に選ばれており、2018年以降9年連続で10位以内にランクインしています。

本記事では、CEO詐欺の定義・仕組みから最新の手口、国内外の被害事例、そして企業が講じるべき具体的な対策まで、IT担当者やビジネスパーソンが知っておくべき情報を体系的に解説します。

CEO詐欺とは何か

ビジネスメール詐欺（BEC）との関係

CEO詐欺を正確に理解するには、まずビジネスメール詐欺（BEC）の全体像を把握する必要があります。

BECとは、会社の経営層や従業員を巧みなメールで騙し、不正な送金をさせる詐欺の総称です。ウイルスを使ったり、システムを攻撃したりするのではなく、「人をだます」ことに特化しているのが最大の特徴です。攻撃者は事前に標的企業のメールのやりとりをひそかに盗み見て、社内の人間関係・言葉遣い・送金の流れなどを把握した上で、本物そっくりのメールを送ってきます。

その中でも特に、社長やCEOなど上位の役員になりすまして「指定口座に振り込め」と命令する手口が「CEO詐欺」です。お金を動かす権限を持つ経理・財務担当者が主なターゲットになります。

つまり、CEO詐欺はBECという大きな枠組みの中の、最も被害額が大きく頻度の高い手口の一つといえます。

CEO詐欺が危険な理由

通常のフィッシング詐欺やマルウェア攻撃と異なり、CEO詐欺には次のような特徴があり、既存のセキュリティ対策では検知が難しい点が挙げられます。

• マルウェアや悪意あるURLを使わない：技術的な検知ツールをすり抜けやすい
• 人間の心理を巧みに利用する：権威（上司・役員）への服従心や、緊急性による判断力低下を悪用する
• 高度に個別化されている：ターゲット企業を事前に調査した上で、リアリティの高いメールを作成する

BEC攻撃は、ウイルスや不審なURLを使わないため、セキュリティソフトでは検出が困難です。代わりに、「上司に言われたら従う」「急いでいるから確認を省く」という人間の自然な心理を巧みに突いてきます。

CEO詐欺の主な手口

手口1：メールによるなりすまし

最も基本的な手口であり、今なお広く使われています。攻撃者は社長や役員のメールアドレスに酷似した偽アドレスを作成し、財務・経理担当者宛に送金指示メールを送ります。

偽装の具体的な方法：

• ドメインのタイポスクワッティング：yourcompany.comの代わりにyourc0mpany.com（oを0に変える）など、一見気づきにくいドメインを使用します
• 表示名詐称：メールの「差出人名」のみ実在する役員名に偽装し、実際のアドレスは全く別のフリーメールを使います
• 返信先（Reply-To）の操作：送信元アドレスは本物に見えても、返信先を攻撃者のアドレスに設定します

日本国内では、2025年12月頃からCEO詐欺の手口が急増し、多くの法人組織が注意喚起を公表する事態となっています。病院、銀行、SIer、メディアなど業種を問わず多くの法人組織が被害に遭っています。

手口2：メールからLINEやTeamsなどのチャットへの誘導

近年増加している巧妙な手口の一つが、最初はメールでコンタクトを取り、その後LINEやTeamsなどのメッセージングアプリに誘導するパターンです。メールよりもプライベート感があり、かつ「社員に知られたくない内緒の取引」という設定を作りやすいため、被害者が疑念を持ちにくい傾向があります。

また、メッセージングアプリ上のやりとりはメールシステムのセキュリティフィルタを通過しないため、企業のIT部門による監視をすり抜けやすいという問題もあります。

手口3：AIディープフェイクを使った音声・映像詐欺

最も新しく、かつ被害規模が大きい手口が、AIによるディープフェイク（deepfake）技術を悪用したものです。

ディープフェイクとは：AI技術を用いて、実在する人物の顔や声を精巧に複製・合成する技術。近年の生成AI（Generative AI）の進歩により、一般人でも容易に利用できるレベルになっています。

2019年3月に英国のエネルギー会社に対して行われた事例では、攻撃者が音声生成AIソフトウェアを使ってドイツの親会社のCEOの声を真似し、ハンガリーのサプライヤーへ緊急送金するよう要求しました。AI で生成されたCEOを騙る音声は違和感のない自然なもので、英国のエネルギー会社のCEOはそれを疑わずに22万ユーロ（約2,600万円）を攻撃者の口座に送金してしまいました。これはAIによるディープフェイク音声を使った詐欺の初の報告事例として世界的に注目を集めました。

さらに技術は進化し、音声だけでなくリアルタイムのビデオ映像を偽装した事案も登場しています。

CEO詐欺の被害が発生するプロセス

CEO詐欺が成立するまでには、攻撃者による綿密な準備が伴います。「なぜ見破れなかったのか」を理解するためにも、攻撃の流れを整理してみましょう。

ステップ1：ターゲットの調査（偵察フェーズ）

攻撃者はまず、標的となる企業の情報を収集します。企業ウェブサイト、LinkedInやSNS、プレスリリース、登記情報などから以下の情報を入手します。

• 経営陣の氏名・メールアドレス・役職
• 経理・財務担当者の氏名と連絡先
• 取引先企業の名称や担当者情報
• 企業が使用するメールドメイン

ステップ2：なりすましの準備

収集した情報をもとに、本物に酷似した偽メールアドレスやドメインを準備します。場合によっては、実際のメールアカウントをハッキングして乗っ取る（EAC：Email Account Compromise）手法も用いられます。

ステップ3：詐欺メールの送信

財務・経理担当者に対して、権威ある立場（CEO・役員）を装った送金指示メールを送ります。このとき、次のような心理的トリガーが使われます。

• 緊急性の演出：「今日中に」「すぐに」という表現で冷静な判断を妨げます
• 機密性の強調：「他の人には話さないで」「極秘案件」という言葉で単独行動を促します
• 権威の利用：上司・役員という立場から、部下は拒否しにくいという心理を突きます

ステップ4：送金の実行と資金の移動

騙された担当者が送金を実行すると、資金は即座に複数の口座を経由して転送・洗浄されるため、回収は極めて困難になります。銀行への連絡が数時間遅れるだけで、資金が海外口座へ移ってしまうケースも少なくありません。

企業が取るべき対策

CEO詐欺への対策は、「技術的対策」と「組織的・人的対策」の両輪で進める必要があります。

技術的対策

メール認証技術の導入

メールのなりすましを防ぐ技術として、以下の3つの認証プロトコルを導入することが推奨されます。

• SPF（Sender Policy Framework）：メールの送信元IPアドレスが正当かどうかを検証する仕組みです
• DKIM（DomainKeys Identified Mail）：メールにデジタル署名を付与し、改ざんされていないことを確認する仕組みです
• DMARC（Domain-based Message Authentication, Reporting and Conformance）：SPFおよびDKIMの認証結果に基づき、不正メールの処理方法（隔離・拒否など）をドメイン所有者が指定できる仕組みです

これらを組み合わせることで、自社ドメインのなりすましを技術的に防止できます。

メールセキュリティソリューションの活用

AIを活用した高度なメールセキュリティソリューションは、ヘッダー情報の分析、送信者の行動パターン、本文の文脈などを複合的に判断し、CEO詐欺メールを検知できる可能性があります。

組織的・人的対策

送金フローの承認プロセスの多重化

金銭の送金処理には、必ず複数人の承認を必要とするルールを設けましょう。特に以下の点を明確にしておくことが重要です。

• 一定金額以上の送金には必ず上長への確認を義務化する
• 口座変更の依頼はメールのみでは受け付けず、電話や対面での二次確認を必須とする
• 「緊急」「機密」という言葉が含まれる送金依頼は、より慎重に対応する

定期的なセキュリティ教育・訓練

従業員、特に経理・財務部門や管理職に対して、CEO詐欺の最新手口を定期的に教育しましょう。模擬攻撃メールを使った訓練（標的型攻撃メール訓練）を実施することで、実際の攻撃に気づく能力を高めることができます。

見分けるためのチェックポイント

以下に、CEO詐欺メールを見分けるための実践的なチェックリストをご紹介します。不審なメールを受け取ったときは、送金を実行する前に必ずご確認ください。

メールアドレスの確認

□ 送信者の「メールアドレス」が表示名と一致しているか（表示名だけ偽装されている場合があります）
□ ドメイン名に微妙なスペルミスやすり替え（0とoの混用など）がないか
□ 「返信先（Reply-To）」アドレスが送信元と異なっていないか

内容の確認

□メール本文に不自然な日本語表現や文体の違和感がないか
□ 「緊急」「機密」「今日中に」などの煽り文句が使われていないか
□ 通常の業務フローを無視した指示になっていないか
□ 「他の人には話さないで」という不自然な秘密保持の要求がないか

対応前の確認行動

□指示を出した人物に、既知の連絡先（電話番号や別のメール）で直接確認したか
□ 送金先の口座情報を、登録済みの公式情報と照合したか
□ 口座変更の依頼がある場合、書面や公式書類で裏付けを取ったか

Q&A

Q1. CEO詐欺とフィッシング詐欺の違いは何ですか？

A. フィッシング詐欺は不特定多数を対象にした大量送信が基本ですが、CEO詐欺は特定の企業・担当者を標的に絞った「スピアフィッシング」に分類されます。攻撃者は事前に標的企業の組織構造や担当者情報を調査した上で、実在する役員になりすますため、受信者は本物と信じ込みやすいという特徴があります。また、フィッシング詐欺は偽サイトへのリンクやマルウェアを仕込むケースが多いのに対し、CEO詐欺は「送金指示」という普通のビジネスメールの形式をとるため、セキュリティツールによる検知が極めて難しい点も大きな違いです。

Q2. 中小企業でも狙われますか？

A. はい、中小企業も積極的に狙われています。むしろ中小企業はセキュリティ体制が大企業に比べて手薄なケースが多く、攻撃者にとって「成功しやすいターゲット」と見られることがあります。また、大企業のサプライチェーンに関わる中小企業を踏み台にして、最終的に大企業へ被害を拡大しようとするケースも確認されています。規模を問わず、すべての企業が対策を講じる必要があります。

Q3. セキュリティ訓練はどのくらいの頻度で実施すれば良いですか？

A. 一般的には、年に2〜4回程度の実施が推奨されています。ただし、訓練の実施自体を目的化せず、訓練後のフィードバックと教育を必ずセットで行うことが重要です。訓練メールに引っかかった従業員を責めるのではなく、なぜ引っかかったのかを一緒に振り返る機会にすることで、組織全体のセキュリティ意識を着実に高めることができます。また、CEO詐欺の手口は急速に進化しているため、最新の事例を盛り込んだ内容に定期的にアップデートすることをお勧めします。

手軽かつ効果的な対策なら「ALSOK 標的型攻撃メール訓練」にお任せ

「標的型攻撃メールの対策をしたいが、何をすればよいかわからない……」
「わざわざ対策を実施するのであれば、効果的な方法で行いたい……」
このようにお悩みであれば、弊社の「ALSOK 標的型攻撃メール訓練」の利用をご検討ください。

ALSOK 標的型攻撃メール訓練では、擬似の標的型攻撃メールを送信し、開封率やメールアドレスごとの結果を報告書にまとめてご提供します。
これにより、従業員の現在のリテラシーやセキュリティ教育の効果を確認可能です。

また、訓練を行うためのシステム構築は不要で最低限の運用負担で利用できるため、ご担当者様に大きな手間は発生しません。

効果的かつ手軽な対策をお考えであれば、お気軽にお問い合わせください。

まとめ