地方銀行で16億円の不正送金被害！ボイスフィッシング詐欺の恐怖と対策法

地方銀行の法人口座が狙われている

2025年に入って衝撃的な数字が発表されました。地方銀行の法人口座からインターネットバンキングで不正送金される被害が、2025年1～3月期だけで16億円を超えたのです。これは前年同期の1300万円と比較すると、実に120倍という驚異的な増加率です。

現役のCSIRT（Computer Security Incident Response Team）として数多くのサイバー攻撃事案を見てきましたが、これほど急激に被害が拡大したケースは珍しく、その背後にある「ボイスフィッシング」という新たな手口の巧妙さに、正直背筋が寒くなります。

フォレンジック調査を行っていて気づくのは、攻撃者は必ず「最も効率的で成功率の高いターゲット」を選ぶということです。地方銀行が狙われる理由は実に合理的です。

個人口座とは異なり、法人口座は日常の取引で高額な送金を行うため、送金限度額が数千万円に設定されていることも珍しくありません。一度のハッキングで得られる利益が桁違いなのです。

大手銀行と比較すると、地方銀行のサイバーセキュリティ投資は限られがちです。私が過去に調査した事例でも、多要素認証の導入が遅れていたり、最新の脅威情報への対応が後手に回っているケースが見受けられました。

地方の中小企業では、サイバーセキュリティへの投資や従業員教育が十分でないことが多く、攻撃者にとって「入り口」となりやすいのが現実です。

今回の被害の約13億円がボイスフィッシングによるものということですが、この手口の巧妙さは従来のフィッシング詐欺を大きく上回ります。

私が調査した実際の事例を基に、ボイスフィッシングの典型的な手口をご紹介します：

1. 自動音声による最初の接触
銀行を名乗る自動音声で「不正アクセスを検知した」「緊急に本人確認が必要」といった内容の電話がかかってきます。この時点では人間のオペレーターは登場しません。

2. 信頼性の演出
電話番号の偽装技術により、実際の銀行の代表番号から発信されているように見せかけます。さらに、顧客の口座番号の一部や取引履歴の断片的な情報を示すことで信頼性を高めます。

3. 巧妙な情報収集
「セキュリティ確認のため」と称して、段階的にログイン情報やワンタイムパスワードを聞き出します。この過程で、被害者は「銀行のセキュリティを守るため」という意識で協力してしまうのです。

4. リアルタイムでの不正送金実行
収集した情報を使って、通話中にリアルタイムで不正送金を実行します。被害者が気づいた時には、すでに数千万円が海外の口座に送金済みという状況になっています。

私が担当した某地方の製造業A社（従業員50名）の事例では、経理担当者が「銀行のセキュリティ部門」を名乗る電話に騙され、約2800万円の不正送金被害に遭いました。

– **通話記録の解析**: 攻撃者は30分間の通話で段階的に情報を収集
– **ネットワークログ解析**: 通話中に3回のログインと2回の送金が実行された
– **端末解析**: 特殊なマルウェアの感染は確認されず、純粋にソーシャルエンジニアリング攻撃だった

この事例で特に恐ろしいのは、技術的な脆弱性を突くのではなく、人間の心理を巧妙に操った点です。

1. 電話での本人確認プロセスの見直し
銀行から電話があった場合、一度電話を切って公式の番号にかけ直すルールを徹底しましょう。

2. 送金限度額の見直し
日常業務に支障のない範囲で、可能な限り送金限度額を下げることをお勧めします。

3. 複数人承認制の導入
高額送金については、必ず複数人での確認・承認を義務付けましょう。

個人レベルでも企業レベルでも、包括的なセキュリティ対策が不可欠です。アンチウイルスソフトの導入により、マルウェアやフィッシングサイトからの保護を強化できます。

また、テレワークが増加している現在、VPN の活用で通信経路の暗号化と、安全なインターネット接続を確保することも重要です。

企業のWebサイトやシステムについては、Webサイト脆弱性診断サービスを定期的に実施し、脆弱性を事前に発見・修正することで、攻撃者の侵入経路を断つことができます。

サイバー攻撃による金銭的被害は、単純に盗まれた金額だけでは済みません。私が調査した事例では、以下のような二次被害も発生しています：

– **取引先からの信頼失墜**: 「セキュリティが甘い会社」というレッテル
– **従業員のモチベーション低下**: 責任を感じた担当者の離職
– **コンプライアンス対応コスト**: 監査法人への報告、再発防止策の策定
– **保険適用の複雑さ**: サイバー保険の適用範囲の確認と手続き

ボイスフィッシング詐欺は今後さらに巧妙化することが予想されます。AI技術の発達により、実在する銀行員の声を模倣したり、より自然な会話が可能になるでしょう。

重要なのは、「技術的な対策」と「人的な対策」の両方を並行して進めることです。どれだけ高度なセキュリティシステムを導入しても、最終的に判断するのは人間だからです。

地方銀行での16億円という被害額は氷山の一角に過ぎません。報告されていない被害や、個人口座での被害を含めれば、実際の被害規模はさらに大きいはずです。

「まさか自分の会社が狙われるはずがない」という思い込みこそが、攻撃者にとって最大の味方なのです。

明日、あなたの会社に「銀行のセキュリティ部門」を名乗る電話がかかってきたとき、適切に対処できますか？その判断が、会社の存続を左右するかもしれません。