結論:「電話1本」で法人口座から4億円が消える時代が来た
「銀行のセキュリティ部門です。御社の口座で不審な取引を検知しました。至急、本人確認をお願いします」——この電話に応じた経理担当者が、指示通りにワンタイムパスワードを伝えた結果、1社で4億円超が不正送金された。
2024年秋から2025年4月にかけて、ボイスフィッシング(電話を使ったフィッシング詐欺)による法人口座の被害が急増している。個人を狙う手口が法人へ拡大し、1件あたりの被害額が桁違いに大きくなっている。
この記事では、セキュリティ専門外の管理部門担当者でも理解・実行できるよう、被害データ、急増の原因、そして今日から始められる防御策3ステップを解説する。
被害データ:法人口座を狙うボイスフィッシングの実態
被害額の推移
| 時期 | 法人口座の不正送金被害 | 特徴 |
|---|---|---|
| 2024年上半期 | 個人口座が中心 | 法人被害は散発的 |
| 2024年秋〜 | 法人口座への攻撃が急増 | 1件4億円超の事例が発生 |
| 2025年1〜3月 | 高水準で継続 | 電話+メール+SMSの複合型が主流 |
関連するサイバー脅威の全体像
警察庁の統計によれば、2025年のランサムウェア被害は226件と高水準が続いている。ボイスフィッシングの急増もこの流れの一部であり、攻撃者は「システムを暗号化して身代金を要求する」手口だけでなく、「人間を騙して直接送金させる」手口にも力を入れている。
トレンドマイクロの分析では、ボイスフィッシングは従来型のフィッシングメール単体と比較して成功率が約3倍とされる。人間の声による「緊急性」の演出が、冷静な判断力を奪うためだ。
なぜ法人口座が狙われるのか——急増の原因3つ
原因1:1件あたりの「うまみ」が桁違いに大きい
個人口座の不正送金は1件あたり数十万〜数百万円が相場だ。しかし法人口座は日常的に数千万円単位の取引が発生するため、1回の攻撃で数億円を抜き取れる可能性がある。攻撃者にとって、同じ手間をかけるなら法人を狙う方が効率的になっている。
原因2:法人の「電話文化」が弱点になっている
法人取引では銀行からの電話連絡は珍しくない。「銀行から電話が来た」こと自体に違和感を持たないため、攻撃者の「なりすまし電話」が成立しやすい。特に以下の状況で被害が発生している。
- 経理担当者が1人しかいない中小企業
- 承認フローが口頭ベースで運用されている組織
- 銀行の正規電話番号を発信者番号偽装(スプーフィング)で表示されたケース
原因3:多要素認証の「人間」が突破口になっている
法人向けインターネットバンキングはワンタイムパスワードやトークンによる多要素認証が導入されている。しかしボイスフィッシングでは、電話口で「今表示されているワンタイムパスワードを読み上げてください」と指示することで、技術的なセキュリティを人間経由で突破する。システムではなく「人」が最大の脆弱性になっている。
「電話1本で口座が空になる」リスク、自社で対策できていますか?
ボイスフィッシング対策は技術だけでは不十分です。社内ルールの整備と従業員教育を組み合わせた防御体制の構築を支援しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中小企業の防御策3ステップ——今日から実行できる対策
ステップ1:「電話では認証情報を伝えない」を社内ルール化する
最も効果的で、最もコストがかからない対策がこれだ。
具体的なルール例:
- ワンタイムパスワード、暗証番号、ログインID/パスワードは電話で聞かれても絶対に答えない
- 銀行を名乗る電話を受けた場合、いったん切って、自分で銀行の代表番号に折り返す
- 送金指示は電話単独では実行しない。必ずメールまたは書面で確認する
このルールをA4用紙1枚にまとめて経理部門の全員のデスクに貼るだけでも効果がある。ルールが存在しなければ、担当者は個人の判断で対応せざるを得ない。判断の基準を組織として明文化することが第一歩だ。
ステップ2:送金の「ダブルチェック体制」を構築する
1人の判断で高額送金が実行できる体制は、ボイスフィッシングに対して極めて脆弱だ。
導入すべき仕組み:
| 送金額 | 承認フロー |
|---|---|
| 100万円未満 | 経理担当者1名で実行可 |
| 100万円〜1,000万円 | 経理担当者+管理部長の2名承認 |
| 1,000万円以上 | 経理担当者+管理部長+代表取締役の3名承認 |
ステップ3:四半期に1回の「模擬訓練」を実施する
ルールを作っても、実際に電話を受けたときに冷静に対応できるかは別問題だ。訓練によって「体験」させることで、本番での対応力が大幅に向上する。
訓練の進め方:
- シナリオ作成(15分):銀行を名乗る不審電話のスクリプトを用意する
- 抜き打ち実施:IT担当者または外部業者が経理部門に模擬電話をかける
- 振り返り(30分):対応の良かった点・改善点を全員で共有する
- ルールの更新:訓練結果を踏まえて社内ルールを改訂する
外部の訓練サービスを利用しなくても、社内だけで実施できる。まずは簡易的な形でも「やってみる」ことが重要だ。
まとめ:技術ではなく「人と仕組み」で守る
ボイスフィッシングは、ファイアウォールもEDRもすり抜ける。攻撃対象が「システム」ではなく「人間」だからだ。
中小企業が今日から取るべきアクションは3つ。
- 電話で認証情報を伝えない——社内ルールとして明文化し、全員に周知する
- 送金のダブルチェック体制——1人で高額送金を実行できない仕組みを作る
- 四半期に1回の模擬訓練——ルールを「知っている」から「できる」に変える
4億円の被害は、電話1本から始まった。防御も、ルール1枚から始められる。
ボイスフィッシング対策、何から始めればいいかわからない方へ
GXO株式会社では、中小企業のセキュリティ体制構築を支援しています。社内ルールの策定から模擬訓練の設計まで、御社の状況に合わせたプランをご提案します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q1. ボイスフィッシングとフィッシングメールの違いは何ですか? A. フィッシングメールは偽サイトに誘導してID/パスワードを入力させる手口です。ボイスフィッシングは電話(音声)を使って直接情報を聞き出す手口で、「vishing(ヴィッシング)」とも呼ばれます。電話による緊急性の演出が加わるため、メール単体より成功率が高いとされています。
Q2. 銀行から「不審な取引がある」と電話があった場合、本物かどうかどう見分ければよいですか? A. 見分ける必要はありません。いったん電話を切り、銀行の公式サイトや通帳に記載された代表番号に自分から折り返してください。 正規の銀行であれば、折り返しの電話で対応してもらえます。本物の銀行員が電話でワンタイムパスワードや暗証番号を聞くことは絶対にありません。
Q3. 発信者番号が銀行の番号と一致していても偽物の可能性はありますか? A. はい。発信者番号偽装(スプーフィング)という技術で、攻撃者は任意の電話番号を表示させることが可能です。発信者番号が正しいからといって、電話の相手が本物とは限りません。番号の一致を信頼の根拠にしないでください。
参考情報
- トレンドマイクロ「2025年 サイバー犯罪動向レポート」
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(ランサムウェア被害226件)
- 金融庁「インターネットバンキングによる預金の不正送金事案について」
- 全国銀行協会「フィッシング詐欺・ボイスフィッシングにご注意ください」