CEO詐欺は、企業トップになりすましたメールを通して不正な送金を実施させるビジネスメール詐欺（BEC）の一種です。
第一の特徴は、企業トップになりすましたメールを通し、ターゲットをLINEなどの管理者の目が届きにくいSNSに誘導する点です。具体的には、「新規プロジェクト立ち上げ」などを理由に、ターゲットに新規LINEグループの立ち上げを求めるとともに、ゲスト参加QRコードの送信を求めるというのがその手口です。メールの本文は必要最小限に限られますが、「至急」「送金」などの特定のキーワードからBECメールを検知するメールセキュリティツールを回避する狙いもあると見られています。SNSに移行した後に「新たな契約のため、以下の口座に至急送金してください」など指示を送ることで、資金を窃取します。

サイバーセキュリティ大手トレンドマイクロのフィードバック分析によると、CEO詐欺は昨年11月上旬に台湾で初検出されました。その後、攻撃はタイ、インドネシア、シンガポール、ベトナム、インド、韓国、中国（香港）に広がっていますが、12月中旬以降は特に日本国内への攻撃が急増していることが判明しています。
それに伴い被害額も拡大しメディア報道によると2026年1月19日時点で国内の被害額は6億円を超えた ともいわれています。
BECメールはこれまで、深夜などビジネスメールとしては明らかに不自然な時間帯に送信されることも少なくありませんでした。それに対し、CEO詐欺メールの発信時刻は、日本企業の始業時間に集中する傾向が見られ、ここからも日本企業をターゲットにした対策が確実に進んでいることがうかがえます。

CEO詐欺メールには日本語に不自然な点はなく、発信時間も常識の範囲内に収まっています。しかしメールを細かくチェックすると、宛名の位置に代表名があったり、送信元にフリーメールやプロバイダーメールのアドレスが表示されるなど、不自然な点は少なくありません。そもそも経営トップがゲスト用QRコードの送信を求めること自体、おかしな話です。それにも関わらず、なぜ人は騙されてしまうのでしょう？その理由としては、「権威への盲信」「緊急性による思考の停止」「機密性による確認行動の遅れ」など、さまざまな要因が考えられます。CEO詐欺の場合、騙される側に「信頼に応えたい」という強い心理的トリガーが働くことも間違いないでしょう。ここで注目したいのは、人間の心理と社会的関係性の組み合わせによるCEO詐欺の手口は、「オレオレ詐欺」に代表される詐欺の常套手段にほかならない点です。
シリーズ第2回ではAI台頭に伴う新たなセキュリティリスクを考えています。CEO詐欺は、AIの進化による旧来の詐欺手口のデジタル空間への展開例といえるでしょう。

CEO詐欺はその性質上、企業ガバナンスが効いた大企業よりトップに権限が集中しがちな中小企業の方が成功率は高いと考えられます。なかでも、創業者が強いリーダーシップで率いるスタートアップ・ベンチャーはその格好のターゲットです。サイバー攻撃のターゲットはこれまで、資金力がある大企業であることが一般的でした。CEO詐欺にはこの常識が通用しない点も注目したいポイントです。

被害に遭わないためには、送金ルール整備などのガバナンス強化や従業員教育が大切です。同様に機密情報の漏えいや経理担当者のメールアドレス窃取への対策にも力を入れる必要がありますが、これまで繰り返しお伝えしてきたように、マルウェア侵入の完全な防御はきわめて困難です。
またSCS評価制度（仮称）の記事でも解説していますが、経理担当者のメールアドレスはサプライチェーンの一社にマルウェアが侵入することで簡単に漏えいしてしまいます。自社の情報が取引先へのCEO詐欺に悪用されることを避けるうえでも、マルウェア侵入後の被害を最小限に留めることを目的とした対策は有効です。マルウェアの振る舞いを検知し、被害を最小限に留める内部対策製品群であるSubGateシリーズは、CEO詐欺被害の拡大を防ぐうえでも大きな役割を果たすことが期待できます。


参考資料
https://www.trendmicro.com/ja_jp/jp-security/26/b/trendnews-20260210-01.html



ライター：滝本一帆