例えば、勤務先の社長から「至急、極秘で送金を」と指示する緊急メールを受け取り、遅れれば重大な結果を招くと警告を受けたとします。あわてて指示に従ったものの、後になってそのメールがまったくの偽物だったと知ったら——。こんな不気味なシナリオがいま世界中の企業で現実に起きており、企業に何百万もの損失をもたらしています。

なりすましの手口がますます巧妙になるなか、怪しい兆候を見抜き、手口のしくみを予め把握しておくことがこれまで以上に重要です。この記事では、CEO 詐欺の標的になりやすい人物像、典型的な兆候、このサイバー脅威から組織を守るセキュリティ対策について解説します。

CEO 詐欺 (社長なりすまし) とは

CEO 詐欺 (社長なりすまし) とは、サイバー犯罪者が企業の CEO (最高経営責任者) や役員などになりすまし、従業員に資金の送金や機密情報の開示を促すスピア フィッシング (標的型フィッシング) の一種です。これは「ビジネスメール詐欺 (BEC)」と呼ばれる広いカテゴリーのなかでも、特に巧妙で効果的な手口の一つです。

CEO 詐欺の核心は、「経営層への信頼」と「役職を伴う権威」を悪用することにあります。主な目的は金銭的な利益であり、経理部門や人事部門の従業員をだまして、犯人の口座に不正送金するように仕向けます。また、CEO 詐欺には、従業員の納税記録や顧客リストなどを販売し利用する、価値のあるデータを盗み出すのが目的の詐欺も含まれています。

CEO 詐欺とホエーリングの違い

CEO 詐欺とホエーリング (捕鯨攻撃) はいずれも特定の人物を狙った高度なソーシャル エンジニアリング (心理操作) 攻撃ですが、狙われやすい標的と目的が異なります。CEO 詐欺では、攻撃者が企業役員になりすまし、従業員をだまして不正な行動 (送金や機密データの共有など) を実行させます。この手口の標的は、従業員です。

一方、ホエーリング (捕鯨攻撃) は経営陣や役員 (つまり大口の獲物) を直接の標的とするフィッシングの一種です。捕鯨攻撃の目的は、役員に自分のログイン情報や企業の機密情報を入力させ、それを足がかりにさらに大規模な攻撃を仕掛けることにあります。

緻密に仕組まれたサイバー攻撃

CEO 詐欺は、ソーシャル エンジニアリング (心理操作) と技術的なトリックを組み合わせた、周到に計画された手口です。攻撃はまず偵察から始まります。詐欺師は組織図を調べ、経理担当者などの主要人物を突き止め、CEO のメールの文体や言葉づかいを研究します。

次に、なりすましメールを用いて、本物の役員から送られてきたように見えるメールを作成します。詐欺メールの本文は、緊急性と機密性を強調することで、受信者に疑念を抱かせないように巧妙に設計されています。例えば、攻撃者は極秘の企業合併案件や至急処理が必要な税金の納付を装い、確認する間も与えずに行動させるよう従業員に圧力をかけます。

莫大な利益を生む詐欺

CEO 詐欺が増加している背景には、サイバー犯罪者にとって非常に儲かるうえに、実行しやすいという理由があります。さらに、現代の職場で一般的になったリモート勤務やハイブリッド勤務が、知らず知らずのうちに新たな脆弱性を生み出しています。

例えば、以前のように同僚のデスクまで行って直接確認するといった簡単で非公式な確認手段が取りづらくなった結果、緊急を装った CEO 詐欺メールが疑われずに通ってしまうケースが増えているのです。

続きを読む: SNS でよく遭遇する詐欺の 9 つの手口——手遅れになる前に見抜く方法

CEO 詐欺の主なターゲット

CEO 詐欺では、攻撃者は入念に調査をして、被害者のプロフィールを作成します。そのうえで、機密性の高い財務データにアクセスできる人物や送金の権限を持つ部署や担当者を狙います。CEO 詐欺の主な標的となるのは、次のようなケースです。こうした業務に関わっている方は、特に注意を払い高い警戒心をもつとよいでしょう。

  • 経理・出納担当者:最も狙われやすい標的です。会社の資金に直接アクセスでき、支払いや送金の処理権限を持っているためです。攻撃者は、上司の依頼には即対応すべき、という責任感につけこみ、とりわけ緊急を装い不正送金を実行させます。
  • 人事担当者:人事部門は従業員の個人情報を多く保管しているため、データ窃取の格好の標的です。詐欺師は役員になりすまし、給与一覧、税務書類、個人識別情報 (PII) などを送るよう依頼し、盗んだ情報を ID・個人情報盗難や二次的な詐欺に利用します。
  • 役員秘書・庶務担当者:役員に密接に関わり、出張手配や備品購入など経理や手続き関連の業務を任されることが多い職種です。詐欺師は「ギフト カードを購入してほしい」など、一見小口で正当な支払い依頼を装って詐欺を仕掛けます。
  • 新入社員・若手社員:入社間もない社員は、会社の支払いルールをよく理解しておらず、上司の指示に応えようとする傾向があります。犯罪者はこの経験の浅さを悪用して、疑うことなく不正な依頼を実行するように仕向けます。

CEO なりすまし詐欺の兆候を見抜くには

CEO 詐欺メールは、従業員に緊急であると焦りを感じさせ、冷静な判断を失わせ間違いを犯すように巧妙に作りこまれています。したがって、最も有効な防御策は、落ち着いて考え、注意深く確認することです。微妙な違和感から明らかな不審点まで、赤信号を見抜く力をつけることで、被害を未然に防ぐことができます。また、経理担当者だけでなく、すべての従業員が次のような警告の兆候を理解しておくことが大切です。これらは悪意ある依頼の前触れであることが多いものです。

  • 強いプレッシャーをかける言い回し:メールの内容が緊急性や機密性を強調している。「今すぐやる必要がある」「内密に処理して」「今会議中なので電話できない」など、確認する時間を与えないよう急かす表現が用いられます。
  • 不自然な依頼内容:メッセージが通常の社内手続きを逸脱した行為を求めている。例えば、必要な承認手順を飛ばすよう依頼されたり、見覚えのない海外口座への送金やギフト カードの購入を求められたりします。
  • メールアドレスの不一致:送信者のメールアドレスをよく確認する。詐欺師は、送信者の名前の表示だけを本物そっくりに偽装し、実際のメールアドレスはわずかに異なるものを使うことがあります。例えば、@gmail.com のような一般的なドメインを使っていたり、自社ドメインを CEO@compaany.com のようにほんの少しだけ誤記 (一文字だけ余分・不足など) している場合があります。
  • 文体やスタイルの不自然さ:メールの文体や語調に違和感がある。例えば、いつもの役員の文体と比較して、不自然にかしこまっていたり、逆にくだけすぎていたり、文法や書き間違いが目立ったりする場合があります。
  • 連絡手段を制限する指示:送信者が「電話はしないで」「誰にも話さないで」などと、他の手段で確認することを明確に禁じている。「いま忙しい」「極秘案件だから」などの理由をつける。これは、依頼の真偽を確かめられないようにする典型的な手口です。

金銭被害だけではない、現実に起きた CEO 詐欺の代償

CEO 詐欺は、世界中の企業に数十億ドル規模の損失をもたらしている深刻な脅威です。次の実例は、どんなに信頼のある大手企業でも、巧妙なソーシャル エンジニアリングの罠に陥る可能性があることを示しています。

  • 2,500 万ドルをだまし取ったディープフェイク会議:2024 年初めに、ある多国籍企業の経理担当者が CFO や役員と信じて参加したビデオ会議に出席した後、2,500 万ドルを送金しました。この会議の同僚は、実はディープフェイクで作られた偽物だったのです。この巧妙なやり口はもともと不審なメールから始まったのですが、きわめてリアルなビデオ通話により信憑性を高め詐欺を成立させました。なりすましの手口がどれほど高度化しているかを示す衝撃的な事例です。
  • 映画会社パテの 1,900 万ユーロ詐欺事件:大手映画会社パテのオランダ支社は、典型的な CEO 詐欺の手口によって 1,900 万ユーロもの損失を被りました。詐欺師はフランス親会社の経営陣になりすまし、メールのなりすまし (スプーフィング) を使ってオランダ支社の CEO と CFO に「ドバイでの極秘買収案件のため、至急送金を」と指示しました。攻撃者は秘密性と権威性を巧みに利用し、役員に通常の手続きを省略させることに成功したのです。

CEO 詐欺による直接の金銭被害は莫大なものですが、本当の損失はそれだけにとどまりません。攻撃の後には二次的なコストが重くのしかかります。例えば、被害範囲を特定するための高額なフォレンジック調査費用、法的手続きにかかる費用、さらに機密データが流出した場合には規制当局からの制裁金などが発生することもあります。

しかし、それ以上に深刻なのは、信頼の失墜です。顧客や取引先、投資家の間で企業の信用が大きく損なわれ、取引の維持が難しくなるおそれがあります。また、社内においてもこうした事件は従業員のキャリアや士気を損ない、疑心暗鬼や責任のなすり合いといった協力や生産性の妨げになる組織文化を生み出すことがあります。このように被害が連鎖的に広がるため、CEO 詐欺の予防策を事前に講じることが企業にとって重要な経営戦略となります。

ディープフェイクと AI 音声詐欺の台頭

CEO 詐欺は次の段階へと進化しています。人工知能 (AI) を使って本物そっくりのディープフェイクを作成できるようになってきているのです。もうテキストだけのメールに頼る必要がありません。わずか数秒の公開インタビュー音声や SNS 投稿をもとに、経営陣の声そっくりに複製し、音声フィッシング (ビッシング) 攻撃に悪用できます。

例えば、社長そっくりの声で「至急支払い処理をして、終わったら SMS で返信して」と伝えるボイスメッセージが届いたとしたら——。こうした新しい手口は、文法の誤りやいつもとは違う話し方など、以前から見られる不審な兆候だけで見分けることは難しいものです。最大の防御は正しい手順を踏むことにある。その決定的な事実が浮き彫りになったのです。

どんなに本物らしいメッセージでも、必ず別のルートで確認を取りましょう。例えば、公式に登録された電話番号で役員本人に直接かけ直すなど、正規のルートで真偽を確かめてから対応することが何より重要です。

CEO 詐欺から組織を守るには

効果的な詐欺対策には、技術、強固な社内プロセス、継続的な従業員教育を組み合わせた、多層的で予防的なセキュリティ戦略が欠かせません。こうした対策によって、巧妙化する CEO 詐欺の手口から企業の資産や機密データを守ることができます。次のような推奨される手順に従うことで、強固な防御態勢を築くと同時に、社員一人ひとりが不審な依頼を疑い、確認する意識をもつセキュリティ文化を培うことができます。

  1. 標準の複数ルート確認を徹底する 送金や機密データの開示を伴う依頼を受けた場合は必ず、社内で定められた確認の手順にきちんと従いましょう。社内で知られている電話番号で本人に直接、または対面で確認するなど、メール以外の通信経路を介して依頼の正当性を確かめます。疑わしいメールに記載された連絡先には、絶対に連絡を取らないようにしてください。
  2. 定期的な従業員研修に出席する 会社で CEO 詐欺やフィッシング攻撃の危険性についてセキュリティ研修が実施されるときは、できる限りすべての回に出席しましょう。特に、経理、人事、役員秘書業務の方は必須です。実際の詐欺メールの事例を学ぶことで、怪しい兆候を見抜く力を養うことができます。
  3. 高度なメール セキュリティ対策を利用する 会社が用意した最新のメール セキュリティ対策をご自身のデバイスにも必ずインストールするようにしてください。こうしたシステムは、なりすましメールや外部送信者からの不審なメッセージを自動的に検知・警告してくれます。
  4. 明確な財務管理ルールを遵守する 経理や購買業務を担当する場合は、すべての取引で社内ポリシーを守ることを徹底しましょう。一定金額を超える送金や支払いは、必ずダブルチェックを行います。このような手順を守ることで、個人ひとりに対して圧力をかけられ不正送金してしまうリスクを防げます。

フィッシング模擬訓練の研修

フィッシング模擬訓練という効果的な予防策を打つことで、従業員を企業の強力なセキュリティ資産へと育てることができます。この訓練では、安全な環境のもと、CEO 詐欺を装った模擬メールなどの偽フィッシングメールをスタッフに送信し、実際にどのような行動をとるかを確認できます。

目的は、従業員をだましたり罰したりすることではなく、実際に使える現場のトレーニングを用意することです。誰がクリックしたかなどの反応を分析することで、セキュリティ意識向上プログラムの効果を測定し、改善が必要な項目を見つけられます。

何よりも重要なのは、こうした模擬訓練が学びのきっかけをもたらすことです。テストで引っかかってしまった従業員にはすぐにフィードバックを伝え、実際の場面で怪しい兆候を見抜く方法を身につけてもらうことができます。このプロセスを経ることで、従業員一人ひとりが人的ファイアウォールとして確かな判断ができ、組織全体が実際の社長なりすましの手口に対して強靭な防御力をもてるようになります。

CEO 詐欺被害に遭った場合にとるべき手順

万が一 CEO 詐欺の被害者になってしまった場合、きわめて動揺し、状況も切迫していることでしょう。しかし、手順にのっとりすばやく対応することで、被害を最小限におさえ、資金を取り戻すチャンスを高めることができます。もしも自分が被害に遭ったと感じたら、発覚当日から数日以内に、次の手順をすぐに実行してください。

  1. ただちに送金を止める 不正送金の疑いがあると気づいた瞬間に、振り込んだ先の口座がある銀行に連絡するとともに、必ず警察にも被害を届け出てください。金融機関は、振込先が犯罪に利用された預金口座などであることを確認し、取引の停止などの措置を講じます。時間との勝負です。これがまず優先すべき手順です。
  2. 社内関係者へ報告する 経営陣、情報セキュリティ/IT部門、法務部門へ被害発生を報告してください。会社としてインシデント対応計画を発動し、被害の範囲を特定する必要があります。
  3. 証拠をすべて保全する 何も削除せず残しておいてください。詐欺メールの原本、やりとりや送金関連の履歴などすべてを保管します。こうしたデータは、警察など捜査当局による調査や社内調査に不可欠な証拠となります。
  4. 捜査当局へ通報する すみやかに関係する捜査当局に詳細な被害報告を行ってください。米国企業の場合は、FBI のインターネット犯罪苦情センターへのすみやかな通報が推奨されています。同機関の資産回収チームでは、盗まれた資金の回収を支援できる場合があります。
  5. 事後検証を行う 緊急対応が落ち着いたら、社内で詳細な内部監査を実施してください。CEO 詐欺が発生した経緯を分析して、社内の手順やシステム上の脆弱性を判定します。そのうえで、再発防止のための是正措置と追加研修を実施します。

CEO 詐欺についてよくある質問

CEO 詐欺と一般的なフィッシング詐欺はどう違うのですか?

一般的なフィッシングは手当たり次第に広く網を広げる手口で、詐欺師は少しでも引っかかってくれることを期待して大量のユーザーにメールを送りつけます。一方、CEO 詐欺はスピア フィッシングの一種であり、特定の相手を狙ってそれに応じた罠を仕掛けます。標的を極端に絞り込んでおり、特定の役員になりすましたうえで、会社について収集した情報を用いて、狙った従業員を欺き、正式なものに見えるような要求内容を送ってきます。

そのような詐欺を食い止めるには、スパム フィルターで十分ですか?

優秀なスパム フィルターは防御の層として重要ですが、CEO になりすます巧妙な詐欺を防ぐには、まず十分とはいえません。CEO 詐欺メールは、一般的なスパム トリガーを避けるよう周到に作成されているからです。悪意のあるリンクや添付ファイルを伴うわけでも大量発信されるわけでもないため、大量メール送信型のキャンペーンを探す従来のフィルターをすり抜けることができます。

詐欺師がギフトカードを要求するのはなぜですか?

詐欺師がギフト カードを好むのは、追跡できない通貨のようなものだからです。カード番号や暗証番号を手に入れ次第、詐欺師はただちに換金するか、ダーク ウェブでカードを売却できます。電子送金であればデジタルの痕跡が残り、ときには償還が可能な場合もあります。しかし、ギフト カードの取引は高速で匿名のうえに撤回できないため、こうした CEO 詐欺を仕掛ける犯罪者にとっては、リスクが低く実入りの大きい手段になるのです。

CEO 詐欺に引っかかって、困った立場になることはありますか?

その心配はごもっともですが、この種の攻撃はプロの犯罪者が人間の心理を突いて技術上の防御策をくぐり抜ける目的で設計されるという点を忘れないでください。支援の厚い企業なら文化としてそれを踏まえています。最も大切なのは、怪しいインシデントを見かけたら、非難を恐れずただちに報告することです。迅速な報告は、責任ある従業員のしるしであり、資金回収の見込みも高くなります。実際に被害が発生した場合は、その教訓から全員に対して防御を強化することに専念するといいでしょう。

最後に

サイバー犯罪者が常にその手口を磨いている現状では、プロアクティブで統一されたセキュリティ体制こそが最も堅固な防御策となります。従業員一人ひとりが、メールなどによる指示を疑って検証する責任を自覚するような企業文化を育んでいけば、人間の強力なファイアウォールが築かれます。強力なプロセス、継続的な意識向上、検証への意識的な取り組みが、CEO 詐欺の脅威から組織を守る鍵になることを覚えておきましょう。