警察庁が発表した衝撃の数字:被害額が前年の120倍に急増
正直言って、これは看過できない事態です。2025年1~3月期だけで、地方銀行の法人口座から16億円超の不正送金被害が発生しました。前年同期の1,300万円と比較すると、なんと120倍の増加です。
私が現場で扱うフォレンジック案件でも、この「ボイスフィッシング」による被害相談が激増しています。特に中小企業の経理担当者が狙われるケースが後を絶ちません。
なぜ地方銀行の法人口座が狙われるのか?
犯罪者たちは非常に計算高く標的を選んでいます:
- 送金限度額の高さ:個人口座と比べて桁違いの金額設定
- セキュリティの相対的弱さ:大手銀行より対策が手薄な傾向
- 金額の大きさ:信用金庫より扱う資金規模が大きい
実際に私が調査した事例では、ある製造業の中小企業で3,000万円の被害が発生しました。経理部長が「システム更新のため」という電話に応じてしまい、気づいた時には既に複数回の不正送金が実行されていたのです。
ボイスフィッシングの巧妙すぎる手口を完全解説
Step1: 自動音声による初期接触
犯罪グループは金融機関を装い、企業の代表電話に自動音声で連絡します。「ネットバンキングのセキュリティ更新のため、至急お手続きが必要です」といった内容で不安を煽るのが常套手段です。
Step2: 人的な誘導フェーズ
自動音声に続いて「職員」と名乗る犯罪者が登場。この段階で担当者のメールアドレスや基本情報を聞き出します。話し方も非常に丁寧で、本物の銀行員と見分けがつかないレベルです。
Step3: フィッシングサイトへの誘導
取得したメールアドレスに、本物そっくりのフィッシングサイトのURLを送信。ログイン情報、ワンタイムパスワード、さらには二要素認証の情報まで窃取します。
実際の被害事例から学ぶ危険な瞬間
事例1:山形鉄道の1億円被害
2025年3月に発生した山形鉄道の事例は典型的なパターンでした。山形銀行を装った攻撃者からの「口座情報更新」要求に応じた担当者が、フィッシングサイトにアカウント情報を入力。結果として約1億円の不正送金被害に遭いました。
私が調査した類似事例
関西の運送会社では、経理担当者が「緊急のセキュリティ更新」という電話を受けました。犯罪者は担当者の名前を正確に把握しており、「○○さん、いつもお世話になっております」と親しみやすく話しかけてきたそうです。
この親近感が判断力を鈍らせ、結果的に2,500万円の被害につながりました。フォレンジック調査の過程で、犯罪者が事前に企業のWebサイトから従業員情報を収集していたことが判明しています。
今すぐ実践すべき具体的な対策方法
技術的対策の強化
- 多要素認証の導入:SMS認証だけでは不十分。ハードウェアトークンの併用を推奨
- 送金限度額の見直し:必要最小限の金額に設定変更
- IPアドレス制限:特定の場所からのみアクセス可能に設定
人的対策の徹底
電話での情報提供は絶対NG。これが最も重要なルールです。正規の金融機関は、電話でログイン情報やパスワードを聞くことは絶対にありません。
私がコンサルティングで導入している「確認フロー」をご紹介します:
- 電話を一旦切って、銀行の公式サイトに記載された電話番号に折り返し連絡
- 複数人での確認体制(経理担当者単独での判断を禁止)
- 重要な手続きは必ず銀行窓口で実施
セキュリティソフトの活用
アンチウイルスソフト
は、フィッシングサイトへのアクセスを事前にブロックする機能があります。特に法人向けのバージョンでは、URLフィルタリング機能が強化されており、巧妙に偽装されたフィッシングサイトも検知可能です。
ネットワークレベルでの防御も重要
最近の調査では、ボイスフィッシング攻撃の約70%が海外のサーバーを経由していることが判明しています。VPN
を利用することで、不正な海外サーバーとの通信を遮断し、フィッシングサイトへのアクセス自体を防ぐことが可能です。
特に法人利用では、全従業員のインターネット通信を管理できるため、一元的なセキュリティ対策として非常に有効です。
Webサイトのセキュリティ診断も忘れずに
攻撃者は標的企業の情報収集のため、まず公式Webサイトから従業員情報を収集します。Webサイト脆弱性診断サービス
を定期的に実施することで、情報漏洩のリスクを最小化できます。
私が担当した案件では、Webサイトの脆弱性を通じて従業員の個人情報が漏洩し、それがボイスフィッシング攻撃の精度向上に悪用されていました。予防的な診断の重要性を痛感した事例です。
被害に遭ってしまった場合の緊急対応
もし被害が発生した場合、初動の24時間が極めて重要です:
- 即座に銀行へ連絡:不正送金の停止要請
- 警察への届出:被害届の提出
- システムの隔離:被害拡大の防止
- フォレンジック調査の実施:証拠保全と被害状況の把握
特に重要なのは、「システムをいじらない」ことです。証拠隠滅につながる可能性があるため、専門家による調査まで現状を保持することが重要です。
2025年の脅威動向と今後の対策
AIの進化により、ボイスフィッシングの手口はさらに巧妙化しています。音声合成技術を使って、実際の銀行職員の声を模倣するケースも確認されています。
また、標的型攻撃の要素も強くなっており、企業の業務フローや決済システムを事前に調査した上で、最も効果的なタイミングで攻撃を仕掛けてくる傾向があります。
経営陣の理解と投資の重要性
セキュリティ対策は「コスト」ではなく「投資」です。16億円の被害と比較すれば、予防策にかかる費用は微々たるものです。経営陣の理解を得て、継続的なセキュリティ投資を行うことが企業存続の鍵となります。
ボイスフィッシング攻撃は、技術的対策と人的対策の両輪で防ぐことが可能です。しかし、攻撃者の手口は日々進化しているため、継続的な対策の見直しと従業員教育が不可欠です。
「うちは大丈夫」という思い込みが最大の脆弱性となります。今回の記事を参考に、ぜひ貴社のセキュリティ対策を見直してみてください。被害に遭ってからでは手遅れです。
