学校や自治体もサポート詐欺・BECの標的に!進化する手口と対策を解説

公開日:

※当サイトはアフィリエイトプログラムを利用しています。

ビジネスメール詐欺(BEC)や、それに類する企業向け詐欺は、もはやメールだけの世界ではありません。
人間の心理を突くソーシャルエンジニアリングを入り口として、日本国内で巨額の被害をもたらし続けています。

しかも被害は大企業や中小企業だけでなく、学校や自治体にまで広がっているのが、この1〜2年の大きな変化です。

詐欺の心配一切なし!ワクワクメールへGO

日本の企業で実際に起きている被害事例

これまでビジネスメール詐欺(BEC)の類は海外の事例が多く、日本の場合は企業がサイバー攻撃に遇ったといったニュースが中心だったように思いますが。

日本でも被害が出ているのが明らかになっています。
これらの事例は公表されているものに過ぎませんので、統計にも乗らない被害は一体どの程度あるのか想像できません。

サポート詐欺からの巨額不正送金

サポート詐欺の仕組みと対策

仕事中に突然「ウイルスに感染しました」という警告画面を表示させ、従業員の「自分のせいで業務を止めてしまったらどうしよう」という焦りや責任感を煽ります。
指示通りにサポート窓口へ電話させ、遠隔操作ソフトを導入させてパソコンの制御権を奪うというのがサポート詐欺の基本型です。

実例
仮設資材販売大手・信和株式会社(東証スタンダード)の子会社が、2025年11月29日にこのサポート詐欺をきっかけに約2億5000万円を不正送金される事件が発生しました。
上場企業がIR上で損失確定を開示するほどの規模です。

サポート詐欺は個人だけでなく法人口座も標的です。

ネットバンキングの不正送金対策(ワンタイムパスワードや電子証明書)は「システムを乗っ取られること」を前提に作られていますが、サポート詐欺は利用者自身に正規の手順でログイン・送金操作させるため、こうした対策が機能しません。

IPAへの「ウイルス検出の偽警告」相談件数は2024年に4,791件と過去最多を記録しており、この傾向は法人・個人を問わず広がっている状況。

なりすまし送金は15億円超の被害

ビジネスメール詐欺の仕組みと対策

サポート詐欺以外にも、経営者や取引先になりすます古典的なビジネスメール詐欺やビジネスチャット詐欺が依然として猛威を振るっています。
2025年後半から2026年にかけて判明しているだけでも、上場企業を含む複数社が被害を公表。

各社被害額のグラフ
被害企業・組織 手口 被害額(目安)
株式会社はてな ビジネスメール詐欺(虚偽の送金指示) 最大約11億円
信和(子会社) サポート詐欺 約2億5,000万円
山形鉄道 ボイスフィッシング(自動音声) 約1億828万円
ベルトラ子会社・リンクティビティ フィッシングメール→SNS誘導 約5,000万円
群馬・前橋市の建設設備会社 社長なりすましビジネスチャット 約5,000万円
ZUU ビジネスチャットなりすまし 約9,600万円

これらを合計すると、判明分だけで約15億1,600万円に。
共通するのは、マルウェアや不正アクセスを一切使わず、人間の判断そのものを直接狙っている点。

従来型のセキュリティ製品では検知できない攻撃だからこそ、被害が繰り返されているのです。

参考までに、はてなの事案では従業員が2日間にわたって送金を実行し、送金完了後に自ら虚偽に気づいて警察に連絡したという経緯が公表されています。
「一度騙されると、担当者本人が違和感に気づくまで送金が続いてしまう」という怖さがよく分かる事例ですよね。

あわせて読みたい

【ビジネスメール詐欺(BEC)の脅威】その取引先は本物ですか?

目次へ

二要素認証への過信は危険

多くの企業が二要素認証を入れているから安全と過信しています。

しかし犯罪者は銀行のログイン画面を精巧に模したフィッシングサイトを用意し、経理担当者を誘導。
担当者がスマホに届いたワンタイムパスワードを入力した瞬間、犯罪者はリアルタイムで本物の銀行サイトへその情報を転送し、ログインして不正送金を成立させています。

これもシステムではなく、利用者本人に正しい認証操作をさせているのが特徴です。
ボイスフィッシングと組み合わされるケースも増えており、2024年11月以降だけで全国50社以上・累計20億円超のボイスフィッシング被害が報告されています。

あわせて読みたい

企業口座が狙われている!中小企業を標的にするボイスフィッシングの手口と対策

身近な連絡ツールを悪用したCEO詐欺

従来の経営者になりすましたメールだけでなく、心理的ハードルの低いLINEを悪用する手口が登場しています。
従業員に対して「LINEグループを作ってほしい」と指示し、そのグループ内で社長を装って送金指示を出すといったもの。

やはり日本国内だとLINEですよね。
普及しているLINEだからこそ、「メールより信頼しやすい」という心理の隙を突かれています。

また、Slackも含め、AI機能の統合が進むビジネスチャットツールの導入は世界的に加速しているので、そういったツールにも注意しましょう。

統計で見るなりすまし送金の規模

個別事例だけでなく、警察庁IPAの一次データを見ても、なりすまし送金詐欺は着実に増加しています。

法人のインターネットバンキング不正送金被害額
警察庁の集計によれば、2025年上半期だけで22億7,500万円にのぼり、これは2024年通年の被害額(約11億2,600万円)を上半期の時点ですでに上回っています。

サポート名目の架空請求詐欺
2025年上半期の認知件数は679件、被害額は約8億5,000万円(前年同期比+34.8%)と、件数は減っても被害額は増えるという傾向が見られます。
犯行グループが検挙されると一時的にIPAへの相談件数が急減する(2025年5月:438件→6月:85件)ものの、7月以降は別のグループが参入して再び増加、いたちごっこが続いています。

IPA「情報セキュリティ10大脅威」でのランキング
「ビジネスメール詐欺(BEC)」は2018年の初選出以来、2026年版まで9年連続で組織編トップ10入りしています。
2026年版では新たに「AIの利用をめぐるサイバーリスク」が初選出でいきなり3位にランクインし、その内容としてBECの高度化とディープフェイクを使ったソーシャルエンジニアリングの拡大が明記されています。

海外に目を向けると、FBIのIC3(インターネット犯罪苦情センター)はBEC被害額をサイバー犯罪関連被害額全体の27%と見積もっていて、1件あたりの平均コストは12万4,000ドル(当時のレートで約1,600万円)とされています。

件数自体はフィッシング全体に比べて少ないものの、狙いを定めた分だけ被害額が跳ね上がるというBECの構造的な怖さは、日本国内の事例とも重なりますね。

詐欺の心配一切なし!
信頼のワクワクメールへGO

目次へ

学校・自治体もサポート詐欺の標的

セキュリティ体制が手薄になりがちな教育機関・自治体が、この半年で立て続けに被害に遭い、もう大企業だけの問題ではなくなっています。
手口はほぼ共通しており、「偽の警告画面→電話→遠隔操作」という流れ。

実例:静岡県牧之原市・市立相良中学校(2026年5月)

事務を担当する女性職員(60代)が有給休暇について調べ物をしていた際、Microsoft社を装う偽のセキュリティ警告画面が表示されました。
表示された番号に電話をかけると、相手の指示通りに操作させられ、遠隔操作ソフトが導入されます。

この状態で「ネットバンキングに正常にログインできるか確認しましょう」と促され、職員自身がログイン。
そのまま「大量のデータを1つずつ消去するように」と指示されます。

ようやく不審に思った職員が、電話を繋いだまま別回線でネットワーク管理業者に相談。
配線を抜いて電源を落としましたが、時すでに遅く、999万9999円+100円が不正送金された後でした。

皮肉にも、金融機関からの「本当に999万9999円の引き落としがあったのか」という、本物の確認電話で発覚したのです。

被害口座は修学旅行の積立金や卒業アルバムの製作費など、保護者から預かった学年会費を管理していたもの。
市長は保護者説明会で「知らないでは許されない」と述べ、職員研修や対応マニュアルの不備を認めています。

また同校では保護者の口座番号・名義が閲覧された可能性があることも判明しました。

同時多発するサポート詐欺 in 学校

相良中学校は決して特殊な例ではありません。
同時期・近い時期に、同じ手口による被害が全国で報告されています。

高知市立神田小学校(2026年5月
教員が教材を印刷しようとした際に偽警告が表示され、電話をかけた別の教職員が遠隔操作を許してしまい、児童・保護者・教職員あわせて約1,800人分の個人情報が外部から閲覧可能な状態になりました。

犯人は途中で「ファイアウォールを購入しないか」と営業をかけてきたのも特徴的。

香川県三豊市の中学校
業務中に偽警告が表示され、遠隔操作ツールが起動していた約10分間で、生徒約660人分の氏名・住所・電話番号が閲覧可能な状態に。
相手の指示は「片言の日本語」だったと報告されています。

大阪府熊取町立中央小学校(2024年)
30代の女性教師が同様の手口で被害に遭い、児童約200人分の個人情報が流出。
代金3万円を請求され、校長に電話を代わったところ、相手は「私はあなたのお父さんです」などと片言の日本語で話したといいます。

これらのケースに共通するのは、被害に遭った教職員自身が「サポート詐欺というものを知らなかった」と証言している点です。
学校という組織はITの専門部署を持たないことが多く、PCに見慣れない画面が出たら誰かに相談するというルール自体が確立していない場合も多いかと。

個人情報を扱う端末をインターネットに接続したまま運用していたことも、被害拡大の一因になっています。

ただ、これを個々の教職員の不注意として片付けるのは酷でしょう。
相良中学校の事務職員も、高知・香川・大阪の教員も、授業・部活・保護者対応・事務処理を一人何役もこなす中で、たまたまその日その端末に触れていた人が矢面に立たされた、というのが実態に近いはず。

学校現場は慢性的な人手不足と多忙さで知られていて、IT担当者を専任で置く余裕がある学校はごく一部でしょう。
相良中学校の市長は保護者説明会で「知らないでは許されない」と述べましたが、それを個人の責任で終わらせてしまうと、来年また別の学校で同じことが繰り返されかねません。

むしろ「現場の教職員が知らなくて当然の環境だった」という前提に立ち、教育委員会レベルで対応マニュアルを一括配布する、IT相談窓口を一本化するといった構造的な対策のほうが、実効性は高いのはないでしょうか。

あわせて読みたい

「Windowsセキュリティシステムが破損しています」は嘘!偽警告画面の正体と消し方

目次へ

すでに一大産業へと進化

犯罪は単発のハッキングではなく、情報奪取から詐欺の実行までがシームレスに繋がった一大産業へと進化。
今後はより巧妙かつ広範囲なターゲットへと拡大していくと考えられます。

盗まれた情報は一過性で済まない

犯罪者は、企業のホームページだけでは分からない内部事情、例えば社長名、担当者名、取引銀行、主要取引先、請求時期などを正確に把握して騙しにきます。

どこかの企業から不正アクセスで盗まれた情報がダークウェブ等で売買され、別の詐欺グループがそれを購入してターゲットへの攻撃に悪用しているためです。
今後は情報漏洩が発生した時点で、次の超高精度ななりすまし詐欺へ直結する時代になります。

もう一つ厄介なのは、こうした情報がダークウェブで一度売られると、買い手側の詐欺グループは何度も使い回せるという点。
一回の攻撃に失敗しても、同じ情報セットを使って半年後に別の切り口、LINEでのCEOなりすまし、ボイスフィッシング、ディープフェイクビデオ通話などで再挑戦してくるかもしれません。

一度漏れた情報の脅威は一過性じゃなく、長期間くすぶり続けるということになるのです。

CEO詐欺やサポート詐欺は更に見抜けなくなる

今後CEO詐欺やサポート詐欺はAIの進化と共に、詐欺だと見抜くのが難しくなるのは容易に想像できます。
だだ、現時点でもAIの進化は凄まじく、詐欺自体がどう変化して行くのかは中々想像しにくいとも思います。

マルチモーダル化やAIディープフェイクの本格化

日本国内ではまだメール・LINE・電話(音声)が中心ですが、海外ではすでに一歩先の脅威、顔も声も全員AIの事件が起きています。

香港・多国籍企業の事例(2024年)
財務担当者が本社CFOからビデオ会議に招待され、画面には見知った同僚の顔も映っていました。
「極秘の企業買収案件がある、至急送金してほしい」という指示に従い、担当者は15回にわたり合計2億香港ドル(約38億円)を送金してしまいます。

後に判明したのは、画面に映っていたCFOも同僚も、全員がAI生成のディープフェイクだったという事実です。
犯人グループは、企業の公式サイトや講演動画など公開されている映像・音声データから、対象者の顔と声を学習していました。

あわせて読みたい

見抜けるか?AIが仕掛けるディープフェイク詐欺と論文不正の衝撃

一方で、同様の手口を仕掛けられながら被害を防いだ企業もあります。

フェラーリCEO偽装未遂事件(2024年7月)
フェラーリ役員のもとに、CEOのベネデット・ヴィーニャ氏を名乗るWhatsAppメッセージが届き、「極秘のM&A案件」と「為替ヘッジ取引」の実行を要求。
続いてヴィーニャ氏の南部イタリア訛りまで再現したクローン音声で電話がかかってきます。

声の再現精度は高かったのですが、役員はわずかに機械的なイントネーションがあることに気づき疑念を抱ていたのです。
そこで役員が取った行動は、本人確認の質問を一つ投げることでした。

高度なAI検出システムがなくても、本人しか知り得ない情報での確認というローテクな対策が有効だったケースです。

あわせて読みたい

【マルチモーダルBEC】声と顔まで偽造する時代|会議の出席者が全員偽物かも

日本国内でもすでに著名人の顔・音声データを使ったディープフェイク投資詐欺は確認されているのはご存じの通り。
企業の資金移動プロセスを狙う「なりすましビデオ会議詐欺」が本格化するのは時間の問題と見られています。

あわせて読みたい

【AIボイスクローン詐欺】の恐怖 なぜ「声」だけであなたは騙されるのか?

学校、自治体、中小企業への標的拡大

大企業だけでなく、セキュリティの薄い中小企業や、個人情報が集まる教育機関・自治体がさらに狙われます。

前述の通り、すでに静岡・高知・香川・大阪と、地域を問わず学校が標的になっている実態があり、学校関係者が日常的に使う業務用サイトや教材配信システムが入り口になるケースが今後も増えると予測されます。

対策に必要な視点を改めて考える

攻撃対象はシステムではなく、あなた自身
犯罪者は利用者の信頼、不安、責任感を巧みに利用し、自ら認証させ、自ら操作させる。

企業がどんなに最新のセキュリティ製品を導入しても、入り口となる人間の心理を突破されてしまえば、二要素認証すら意味をなしません。

相良中学校の職員も、高知・香川・大阪の教職員も、サポート詐欺というものの存在を知らなかったという一点で被害に遭っています。
逆に言えば、フェラーリの事例が示すように、知っていること、確認する手順を持っていることだけで防げるケースは少なくありません。

これからの企業・組織に求められるのは、単に不審なURLをクリックしないといったルールだけではなく、

「なぜ画面共有や遠隔操作ソフトの導入が危険なのか」
「なぜ二要素認証があっても騙されるのか」
「なぜビデオ会議の相手が本物とは限らないのか」

という仕組みの理解です。人間の心理を狙う攻撃、ソーシャルエンジニアリングだからこそ、職場の一人ひとりが仕組みを理解し、異常に気づいて立ち止まれる組織づくりが最大の防御策となります。

攻撃側の技術がどれだけ高度化しても、サポート詐欺の遠隔操作にしろ、リアルタイム・フィッシングにしろ、香港の事例のようなディープフェイクにしろ。
突破口になっているのは結局「経理担当者の焦り」「教職員の善意」「電話口の権威への弱さ」という、大昔からある人間の心理そのものです。

ソーシャルエンジニアリング詐欺の共通点

フェラーリの担当者が「先日あなたが私に薦めた本は何でしたか」というひと言で偽CEOを見破れたように、最先端のAI検出システムより、合言葉ひとつのローテクな確認が効く場面は少なくありません。

今年はAnthropi社が開発した、最先端AIモデルClaude Mythos(クロード・ミュトス)が、サイバー攻撃に悪用されたら云々といった理由から、一般公開停止になるという騒動がありました。
大規模なサイバー攻撃はニュースにもなりやすく、あなたもご存じかと思います。

でも結局、人間の心理を突くソーシャルエンジニアリングなんだよなって、つくづく感じますね。
コンピューターが生まれるずっと前からある古典的な手口が、AI時代になっても、いえ、AI時代だからこそ変わらず有効であり続けている。

この事実そのものが、私たちに一番伝えたいメッセージなのかもしれませんね。

目次へ