「うちの社長から『至急振り込んで』ってメールがきたんだけど…これ、本当に本人?」
中小企業でよくあるこんな場面。実はこれ、いま急増している「ビジネスメール詐欺(BEC)」と呼ばれる手口の可能性があります。犯人はあたかも社長や取引先になりすまし、従業員に振込を指示する──そんな巧妙な手口で企業のお金をだまし取ろうとしています。
「うちは小さな会社だから狙われない」と思っている方ほど、要注意。この記事では、今日からでも実践できる“なりすまし”対策を、ITに不慣れな方でもわかりやすく解説します。
なりすましメールとは?
送信者の名前やメールアドレスを装って、あたかも別人から届いたように見せかける手口です。最近では社長や取引先の名前をかたる手口が多く、中小企業を狙った被害も後を絶ちません。
例えばこんなメールが届きます:
- 「至急、今日中に○○円を下記口座に振り込んでほしい」
- 「今出先なので電話に出られない。メールで対応して」
- 「これは社外秘。誰にも言わないように」
実際には社長本人ではなく、犯人が送っている可能性があるのです。
被害に遭ったらどうなるのか?
この手口で振込をしてしまうと、そのお金はまず戻ってきません。銀行に連絡して口座凍結が間に合えばよいですが、犯人はすぐに現金を引き出すため、回収は困難。
また、取引先との信頼にも傷がつく可能性があります。社員が被害に遭ったことを隠そうとすれば、さらに事態は悪化。「会社の信用」「お金」「社員のメンタル」すべてがダメージを受けるのです。
なりすましメールを見抜くポイント
以下のポイントを意識するだけで、だまされるリスクをぐっと減らせます。
メールアドレスを細かく確認する
見かけは「社長の名前」でも、よく見ると全く違うメールアドレスだった──ということはよくあります。メール表示名ではなく、@以降のドメイン名をチェックしましょう。
たとえば、正しいアドレスが「@t-rel.co.jp」なのに、偽物は「@t-rel.co」や「@t-rel-corp.co.jp」など、見た目がよく似ていても1文字足りなかったり、余計な単語がついていたりします。
文体に違和感がないか確認する
普段の社長は「お願いします」なのに、今回のメールは「頼む」と書いてある。そんな微妙な違いに注目しましょう。いつもと違う口調や、言葉の選び方の変化もヒントになります。
急かしてくる場合は要注意
「すぐやって」「今だけ対応して」など、判断力を鈍らせるような表現があれば警戒しましょう。詐欺メールは感情をあおって行動を急がせます。
添付ファイル・URLはすぐ開かない
開いたことでウイルスに感染するリスクも。心当たりがない添付ファイルや、短縮URL(bit.lyなど)はクリックしないでください。
中小企業が今日からできる“なりすまし”対策
特別なシステムを導入しなくても、今日からできることがたくさんあります。
社内ルールを見直す
「振込前に必ず電話で確認」などの2段階確認ルールを徹底するだけでも、かなりの抑止力になります。
例えば、経理担当者が社長から「振込依頼メール」を受け取ったら、必ず本人に電話して確認する──というルールです。電話が難しい場合は、事前に決めた別のチャットツールや内線などを使って確認する方法も有効です。
このとき大切なのは「送られてきたメールにそのまま返信しない」こと。なりすまし犯と会話を続けてしまう可能性があるため、必ず自分で連絡手段を選びなおして確認しましょう。
また、ルールは紙や社内ポータルに書き出し、全社員がいつでも見られるようにしておくことが重要です。
メールに関する研修を行う
月に1回でも良いので、「怪しいメール事例」や「確認ポイント」を共有する時間を設けましょう。社員の「判断力」を育てることが、最大の防御策です。
メールソフトの設定を見直す
OutlookやGmailでは、「なりすましメールを自動で迷惑メールに分類する機能」があります。設定されていない場合は、IT担当者か外部サポートに相談して、整備しておきましょう。
「口座変更」などの依頼は特に注意
取引先から「振込先が変わりました」といったメールが来たときは、必ず電話など別の手段で確認を。特に中小企業では、こうした「小さな変更」が詐欺の入口になりやすいです。
メールサーバー側のセキュリティも確認
ドメイン認証(SPF、DKIM、DMARCなど)が未設定のままの企業も多くあります。これは外部からの“なりすまし”を防ぐ基本です。設定状況はメールサービス提供会社に確認してみましょう。
まとめ|“社長のフリ”に騙されない会社になるために
なりすましメールは、どんな企業でも被害に遭うリスクがあります。特に中小企業は「確認の仕組み」が弱く、攻撃者にとって“狙いやすい”存在です。
だからこそ、「たった一人が見抜けば被害は防げる」という視点で、日頃から社内全体で注意喚起と対策をしておくことが重要です。
株式会社テクノリレーションズでは、中小企業に特化したセキュリティ研修や、メール設定の見直し、簡単にできるセキュリティルールの策定支援を行っています。「何から始めればよいかわからない」という方も、お気軽にご相談ください。
文字数:10,659字
