企業口座が狙われている!中小企業を標的にするボイスフィッシングの手口と対策
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
「オレオレ詐欺には気をつけて」という言葉が、家庭でも職場でも当たり前に交わされるようになりましたよね。
警察庁や金融機関、自治体による長年の啓発活動が実を結び、個人を狙った特殊詐欺への警戒心は確実に高まったといえます。
ところが、その成果が思わぬ副作用を生んでいのです。個人への詐欺が難しくなった分、詐欺グループが標的を法人にシフト。
2025年、企業の法人口座を狙ったボイスフィッシング(電話を使ったフィッシング詐欺、ビッシングとも呼ばれる)による不正送金被害は約47億円に達しました。
件数は143件。1件あたりの平均被害額は3,000万円を超え、1社だけで4億円超の被害を受けた事例も複数あります。
狙われているのは大企業ではなく、セキュリティ担当者が専任でおらず、経理担当者が一人で判断を迫られることの多い、地方の中小企業です。
この記事では、法人を狙うボイスフィッシングの具体的な手口と2025〜2026年の被害実態、そして経営者から現場の従業員まで今すぐ取れる対策を解説します。
個人向けの手口やAI音声クローニングについてはそれぞれ別記事で詳しく取り上げているので、あわせてご覧ください。
なぜ企業が狙われるのか
詐欺グループが法人にシフトする理由は、突き詰めると効率の問題といえます。
個人の銀行口座は、1日あたりの振込限度額が数十万円程度に設定されていることが多い。
対して法人口座なら、数百万円から億単位の取引が日常的に行われます。
1件成功させれば、個人を何十件も狙うより大きな利益が得られますよね。
中小企業には、詐欺グループが狙いやすい構造的な弱点があります。
経理や財務を担当する社員が少なく、急ぎの振込判断を一人で下さなければならない場面などですね。
セキュリティ研修を定期的に行う余裕がなく、「うちは関係ない」という油断が残りやすい。
また、社長や上司への確認ルートが整備されておらず、電話口の指示をそのまま実行してしまいやすいベースがある。
オレオレ詐欺対策が進んだことで、個人、特に高齢者に「知らない電話はまず疑う」という習慣が根づていた結果、攻撃の費用対効果が下がった詐欺グループは、警戒の薄い法人へと目を向けたのです。
対策の成功は新しい標的を生んだことにもなるでしょう。
ボイスフィッシングの基本的な流れ
法人を狙うボイスフィッシングは、自動音声電話によるアプローチから始まります。
その後段階を経て、あなたに信頼を植え付けていくのです。
自動音声電話によるアプローチ
企業の代表番号や財務・経理担当者の直通電話を狙い、銀行や信用金庫、大手決済事業者を装った自動音声の着信が入ります。
ガイダンスの内容は、「お客様の法人口座で不正アクセスを検知しました」「本日中に電子証明書の更新手続きを行わない場合、口座が凍結されます」といった、極めて緊急性が高く、業務停止の不安を煽るものです。
犯行グループが自動音声(IVRシステム)を使用するのには、明確な狙いが2点あります。
低コストでの大量爆撃
クラウド型のIP電話などを悪用し、全国の中小企業へ同時に数千、数万件の電話を一斉にかけられるため。
公式らしさによる錯覚
人間の声よりも、洗練された機械音声のほうが「大手金融機関の正式なセキュリティシステムからの自動通知である」と錯覚させやすく、受電者の警戒心を瞬時に解くことができる。
機械音声のガイダンスが浸透しているから、詐欺師はそこも悪用するということ。
人間の偽オペレーターへの転送
自動音声で「確認される方は『1』を押してください」といったガイダンスが流れ、従ってダイヤルを入力すると、「カスタマーサポートの担当者」を名乗る人間のオペレーターという名の詐欺師に接続。
ここから、劇場型の心理戦開始。オペレーターは非常に礼儀正しく、専門用語を交えながら「ご不安を与えてしまい申し訳ございません。すぐに対応いたします」と、いかにも被害者を助けるプロのように振る舞います。
そして、「セキュリティ解除の手続き案内、および修正用リンクをお送りしますので、担当者様のメールアドレス、または法人の共通メールアドレスを教えていただけますでしょうか」と、ごく自然な会話の流れでメールアドレスを聞き出すのです。
受電者は「自動音声から本物のサポート窓口に繋がった」と完全に思い込んでいるため、一切の疑いを持たずに社内情報を開示してしまいます。
精巧なフィッシングサイトへの誘導
電話口で伝えたメールアドレス宛に、数秒から数分で「【重要】〇〇銀行 セキュリティ解除手続きのご案内」といった件名のメールが届きます。
本文に記載されたURLをクリックすると、画面に表示されるのは、本物のインターネットバンキングと寸分違わない、極めて精巧に作られた偽のログイン画面。
通常であれば「不審なメールのURLは開かない」という鉄則があっても、「今、まさに銀行のサポートスタッフと電話で話しながら進めている」という状況が、被害者の客観的な判断力を完全に奪い去っています。
「リアルタイムでサポートを受けている」というのが、この手口の肝ですね。
リアルタイム連携でワンタイムパスワード奪取
詐欺グループの狙いである、リアルタイムの乗っ取りが行われます。
偽オペレーターは電話を切らずに繋いだまま、「今、画面は開けましたか?」「では、そのまま画面の指示に従って、ログインIDとパスワードを入力してください」と、まるでリモートサポートをしているかのように、リアルタイムで操作を指示してきます。
1. 被害者が偽サイトに「ログインID・パスワード」を入力すると、その情報は裏で待機している詐欺師のシステムへリアルタイムに転送されます。
2. 詐欺師はその情報を使って、本物の銀行サイトへ同時にログインを試みます。
3. 本物の銀行サイトから、被害者のスマートフォンやトークンへワンタイムパスワードが発行されます。
4. 偽オペレーターはすかさず、「今、お手元に届いた6桁の数字を画面に入力してください」と指示します。
5. 被害者が偽サイトにその数字を入力した瞬間、詐欺師は本物の銀行画面にそのコードを打ち込み、認証を突破します。
詐欺師は事前に登録しておいた偽の振込先へ、法人口座の送金限度額いっぱいの資金を一瞬で送金します。
操作の開始から資金が奪われるまで、わずか数分の出来事です。電話が切れた時には、すでに口座の中身はもぬけの殻となっています。
実際の被害例と今後の展開
元々アメリカが震源地の一つだったボイスフィッシングですが、日本でも被害の広がりを見せています。
AI音声クローニングを使ったディープフェイクビッシングで更に被害は加速。
2025年日本の実被害事例
被害は特定の地域や業種に限らず、全国で起きています。
2025年に報告された主な事例を見ると、その規模がわかります。
滋賀県(2025年11月)
滋賀銀行を装った自動音声電話が県内の中小企業に集中的にかかり、25日から27日の3日間で少なくとも18社が被害に遭った。
被害総額は約3億4,000万円。銀行側は他行宛の当日振込を一時停止する緊急対応を取った。
福岡県(2025年11月)
福岡銀行を装った同様の手口で、27日頃に6社が被害。総額は約7,900万円にのぼった。
銀行は法人向けインターネットバンキングの一部サービスを緊急停止した。
新潟県(2025年)
取引先銀行を装う自動音声電話で、1社が約1億9,000万円の不正送金被害を受けた。
山形県(2025年3月)
山形電鉄が山形銀行を装う手口で約1億円の被害。
琉球銀行関連(2025年4月頃)
法人ネットバンキングのヘルプデスクを装った自動音声で複数社が被害を受け、1社最大5,000万円、総額約1億円にのぼった。
2026年の進化 遠隔操作との組み合わせ
2026年に入り、手口がさらに一段階進化。
これまでの手口は、被害者自身に偽サイトへの入力をさせるものでした。
ところが2026年5月頃から確認されている新手口では、偽サイトやメールにAnyDeskなどの遠隔操作ソフトのインストールリンクを仕込み、被害者のPCを攻撃者が直接操作して不正送金を実行するケースが増えています。
被害者がパスワードを入力する必要すらないのです。「サポートのために画面を共有させてください」という案内に応じた瞬間、PCの操作権限が奪われます。
「操作中に不審な動きに気づいて電話を切ろうとしたが、オペレーターに『今切ると手続きが中断されます』と制止された」という証言も。
この手口による1社あたりの被害は4億円超に達したケースもあります。
AI音声クローニング(社長や上司の声をAIで再現して電話をかける手口)については、2026年はリアルタイム変換が実用レベルに達しており、日常的に会話している相手でも気づきにくい精度になっています。
こちらの詳細は別記事で解説していますが、
【AIボイスクローン詐欺】の恐怖 なぜ「声」だけであなたは騙されるのか?
法人狙いのビッシングと組み合わさることで被害の深刻さが増しています。
アメリカ発、AIで加速中
ボイスフィッシングは元々アメリカが震源地の一つであり、そこで実証された手口が世界に広がっているんですね。
2021年、アメリカでは約5,940万人がビッシング被害に遭い、電話詐欺全体で約298億ドル(約4兆円超)の損失が生じることに。
2024年後半にはビッシング攻撃が前半比で442%急増し、AI音声クローニングを使ったディープフェイクビッシングは2025年第1四半期だけで前四半期比1,600%超増加したという報告もあります。
アメリカでは、インドやナイジェリアなどに拠点を置く詐欺グループがコールセンターを運営し、英語圏を狙うビジネスが長年続いてきました。
AIの登場で言語の壁が下がり、日本語対応も容易になっています。
日本の法人を狙う現在の手口は、こうしたグローバルな詐欺産業が日本市場に本格参入している状況の表れです。
企業として今すぐできる対策
被害を防ぐために有効な対策は、技術的なものより「ルール」と「文化」の整備が先になります。
サイバー攻撃と違いボイスフィッシングは、ソーシャルエンジニアリングだからなんですね。
ソーシャルエンジニアリングとは、人間の心理や行動の隙を突いて情報を盗み出したり、不正な操作をさせたりする攻撃手法の総称。
技術を攻撃するのではなく、人を騙すのです。
経営者や管理職が整備すべきこと
電話でメールアドレスや口座情報を教えないという社内ルールを明文化します。
「銀行から電話がかかってきたらすぐに切り、銀行の公式サイトに掲載されている代表番号に折り返す」という手順を全員に周知。
遠隔操作ソフト(AnyDesk、TeamViewerなど)のインストールには上司の承認が必要というルールも有効。
インターネットバンキングの送金操作に複数人の承認を必要とする設定(ダブルチェック体制)を銀行に確認し、導入。
多要素認証はアプリ系(スマートフォンの認証アプリ)に変更しておくと、SMS経由のワンタイムパスワードを奪われても送金されにくくなります。
定期的なシミュレーション訓練も効果的です。
実際に「銀行を装った電話」をかけて社員の反応を確かめる訓練を行っている企業では、被害が減る傾向がありますよ。
現場の従業員が今日からできること
知らない番号からの電話には出ない、あるいは折り返しを基本にする。
銀行から電話がかかってきた場合は、一旦「確認してから折り返します」と告げて電話を切ます。これだけで多くのビッシングは防げるのです。
「今すぐ操作しないと口座が止まります」「今日中に手続きが必要です」という、緊急性を煽る言葉は詐欺の典型的なサイン。
急かされるほど、一呼吸置いて確認します。
電話越しに指示されたURLは絶対に開かない。
メールで届いたURLも、銀行の公式アプリやブックマークから直接アクセスして確認します。
画面共有やリモートアクセスを求められたら、どんな理由があっても断って。銀行や正規のサポートが画面共有を求めることはないのですから。
疑う文化を組織に根づかせる
オレオレ詐欺対策が個人に「まず疑う」習慣を育てたように、法人を守るのも最終的には一人ひとりの習慣が大切になります。
「銀行からの電話なら本物だろう」「急いでいるから確認を省略しよう」「上司(に似た声)が言うなら大丈夫だろう」といった思い込みを狙って、ボイスフィッシングは設計されています。
技術的な手口より、この「思い込みの三段重ね」が本質的に怖い、しかも三つが同時に来るんですよ。
銀行(権威)+緊急性(焦り)+上司の声(信頼)を一本の電話に詰め込んで、判断する時間を奪う。
個人がターゲットのオレオレ詐欺と構造がまったく同じで、「家族(信頼)+事故(緊急性)+警察や弁護士(権威)」を同じく一本の電話に詰め込んで、判断する時間を奪う。
ちょっと位何か変だなと思ってても、急かされてつい・・・ってありそうで本当に怖いと思いませんか。「ちょっと変だな」は正しい直感なんですよね。
その直感が正解なのに、急かされることで「でも銀行だし」「確認している時間がない」と上書きされてしまう。
詐欺の設計が巧妙なのは、その「ちょっと待って」という感覚を潰すことに全力を注いでいる点なんです。焦らせる、権威を使う、会話を切らせない。
全部その直感を封じるための仕掛け。
経営者が先頭に立ってルールを整備し、現場が「疑うことは失礼ではない」と感じられる雰囲気を作ること。
それが、AIで武装した詐欺グループに対抗でき、最もコストのかからない防御になります。
ビジネスメール詐欺(BEC)はメールだけでなく、声と顔まで偽造する複合型攻撃へと進化しています。
【マルチモーダルBEC】声と顔まで偽造する時代|会議の出席者が全員偽物かも
あわせて読みたい
こちらは一般家庭に向けた偽電話詐欺、ボイスフィッシング対策です。
【巧妙化する「偽電話詐欺」から家族を守る!最新手口と今日からできる対策
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは