結論:「電話1本」で法人口座から4億円が消える時代が来た
「銀行のセキュリティ部門です。御社の口座で不審な取引を検知しました。至急、本人確認をお願いします」——この電話に応じた経理担当者が、指示通りにワンタイムパスワードを伝えた結果、1社で4億円超が不正送金された。
2024年秋から2025年4月にかけて、ボイスフィッシング(電話を使ったフィッシング詐欺)による法人口座の被害が急増している。個人を狙う手口が法人へ拡大し、1件あたりの被害額が桁違いに大きくなっている。
この記事では、セキュリティ専門外の管理部門担当者でも理解・実行できるよう、被害データ、急増の原因、そして今日から始められる防御策3ステップを解説する。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
被害データ:法人口座を狙うボイスフィッシングの実態
被害額の推移
| 時期 | 法人口座の不正送金被害 | 特徴 |
|---|---|---|
| 2024年上半期 | 個人口座が中心 | 法人被害は散発的 |
| 2024年秋〜 | 法人口座への攻撃が急増 | 1件4億円超の事例が発生 |
| 2025年1〜3月 | 高水準で継続 | 電話+メール+SMSの複合型が主流 |
関連するサイバー脅威の全体像
警察庁の統計によれば、2025年のランサムウェア被害は226件と高水準が続いている。ボイスフィッシングの急増もこの流れの一部であり、攻撃者は「システムを暗号化して身代金を要求する」手口だけでなく、「人間を騙して直接送金させる」手口にも力を入れている。
トレンドマイクロの分析では、ボイスフィッシングは従来型のフィッシングメール単体と比較して成功率が約3倍とされる。人間の声による「緊急性」の演出が、冷静な判断力を奪うためだ。
なぜ法人口座が狙われるのか——急増の原因3つ
原因1:1件あたりの「うまみ」が桁違いに大きい
個人口座の不正送金は1件あたり数十万〜数百万円が相場だ。しかし法人口座は日常的に数千万円単位の取引が発生するため、1回の攻撃で数億円を抜き取れる可能性がある。攻撃者にとって、同じ手間をかけるなら法人を狙う方が効率的になっている。
原因2:法人の「電話文化」が弱点になっている
法人取引では銀行からの電話連絡は珍しくない。「銀行から電話が来た」こと自体に違和感を持たないため、攻撃者の「なりすまし電話」が成立しやすい。特に以下の状況で被害が発生している。
- 経理担当者が1人しかいない中小企業
- 承認フローが口頭ベースで運用されている組織
- 銀行の正規電話番号を**発信者番号偽装(スプーフィング)**で表示されたケース
原因3:多要素認証の「人間」が突破口になっている
法人向けインターネットバンキングはワンタイムパスワードやトークンによる多要素認証が導入されている。しかしボイスフィッシングでは、電話口で「今表示されているワンタイムパスワードを読み上げてください」と指示することで、技術的なセキュリティを人間経由で突破する。システムではなく「人」が最大の脆弱性になっている。
「電話1本で口座が空になる」リスク、自社で対策できていますか?
ボイスフィッシング対策は技術だけでは不十分です。社内ルールの整備と従業員教育を組み合わせた防御体制の構築を支援しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中小企業の防御策3ステップ——今日から実行できる対策
ステップ1:「電話では認証情報を伝えない」を社内ルール化する
最も効果的で、最もコストがかからない対策がこれだ。
具体的なルール例:
- ワンタイムパスワード、暗証番号、ログインID/パスワードは電話で聞かれても絶対に答えない
- 銀行を名乗る電話を受けた場合、いったん切って、自分で銀行の代表番号に折り返す
- 送金指示は電話単独では実行しない。必ずメールまたは書面で確認する
このルールをA4用紙1枚にまとめて経理部門の全員のデスクに貼るだけでも効果がある。ルールが存在しなければ、担当者は個人の判断で対応せざるを得ない。判断の基準を組織として明文化することが第一歩だ。
ステップ2:送金の「ダブルチェック体制」を構築する
1人の判断で高額送金が実行できる体制は、ボイスフィッシングに対して極めて脆弱だ。
導入すべき仕組み:
| 送金額 | 承認フロー |
|---|---|
| 100万円未満 | 経理担当者1名で実行可 |
| 100万円〜1,000万円 | 経理担当者+管理部長の2名承認 |
| 1,000万円以上 | 経理担当者+管理部長+代表取締役の3名承認 |
金額の閾値は自社の取引規模に応じて調整する。重要なのは、「1人では送金できない」仕組みを制度として確立することだ。インターネットバンキングの権限設定で技術的に制御できる場合は、必ず設定する。
ステップ3:四半期に1回の「模擬訓練」を実施する
ルールを作っても、実際に電話を受けたときに冷静に対応できるかは別問題だ。訓練によって「体験」させることで、本番での対応力が大幅に向上する。
訓練の進め方:
- シナリオ作成(15分):銀行を名乗る不審電話のスクリプトを用意する
- 抜き打ち実施:IT担当者または外部業者が経理部門に模擬電話をかける
- 振り返り(30分):対応の良かった点・改善点を全員で共有する
- ルールの更新:訓練結果を踏まえて社内ルールを改訂する
外部の訓練サービスを利用しなくても、社内だけで実施できる。まずは簡易的な形でも「やってみる」ことが重要だ。
まとめ:技術ではなく「人と仕組み」で守る
ボイスフィッシングは、ファイアウォールもEDRもすり抜ける。攻撃対象が「システム」ではなく「人間」だからだ。
中小企業が今日から取るべきアクションは3つ。
- 電話で認証情報を伝えない——社内ルールとして明文化し、全員に周知する
- 送金のダブルチェック体制——1人で高額送金を実行できない仕組みを作る
- 四半期に1回の模擬訓練——ルールを「知っている」から「できる」に変える
4億円の被害は、電話1本から始まった。防御も、ルール1枚から始められる。
ボイスフィッシング対策、何から始めればいいかわからない方へ
GXO株式会社では、中小企業のセキュリティ体制構築を支援しています。社内ルールの策定から模擬訓練の設計まで、御社の状況に合わせたプランをご提案します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q1. ボイスフィッシングとフィッシングメールの違いは何ですか? A. フィッシングメールは偽サイトに誘導してID/パスワードを入力させる手口です。ボイスフィッシングは電話(音声)を使って直接情報を聞き出す手口で、「vishing(ヴィッシング)」とも呼ばれます。電話による緊急性の演出が加わるため、メール単体より成功率が高いとされています。
Q2. 銀行から「不審な取引がある」と電話があった場合、本物かどうかどう見分ければよいですか? A. 見分ける必要はありません。いったん電話を切り、銀行の公式サイトや通帳に記載された代表番号に自分から折り返してください。 正規の銀行であれば、折り返しの電話で対応してもらえます。本物の銀行員が電話でワンタイムパスワードや暗証番号を聞くことは絶対にありません。
Q3. 発信者番号が銀行の番号と一致していても偽物の可能性はありますか? A. はい。**発信者番号偽装(スプーフィング)**という技術で、攻撃者は任意の電話番号を表示させることが可能です。発信者番号が正しいからといって、電話の相手が本物とは限りません。番号の一致を信頼の根拠にしないでください。
参考情報
- トレンドマイクロ「2025年 サイバー犯罪動向レポート」
- 警察庁「令和7年におけるサイバー空間をめぐる脅威の情勢等について」(ランサムウェア被害226件)
- 金融庁「インターネットバンキングによる預金の不正送金事案について」
- 全国銀行協会「フィッシング詐欺・ボイスフィッシングにご注意ください」
付録:ボイスフィッシング対策チェックリスト(印刷用)
以下を印刷して経理部門に配布してください。
- 「電話で認証情報を伝えない」ルールが文書化されているか
- 全経理担当者にルールが周知されているか
- 送金の金額別承認フローが定められているか
- インターネットバンキングの送金権限が適切に設定されているか
- 銀行の正規連絡先一覧が経理部門に共有されているか
- 過去6か月以内に模擬訓練を実施したか
- 不審な電話を受けた際の報告フローが明確か
関連記事:フィッシングメール訓練ガイド 関連記事:フィッシング詐欺最新手口と従業員教育 関連記事:サイバー保険ガイド 2026年版 関連記事:導入事例一覧
<!-- GXO_QUALITY_REWRITE_20260507_START -->GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- 必須要件、将来要件、今回はやらない要件を分けたか
- 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->ボイスフィッシング法人口座被害が急増|1社4億円超の被害事例と中小企業の防御策3つを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。