企業の財務・経理部門を狙い、経営層や取引先になりすまして多額の金銭を騙し取る「CEO詐欺（社長なりすましメール）」。ランサムウェア攻撃などのサイバー攻撃が高度化する中、マルウェアを使わず「人の心理と業務プロセス」の隙を突くこの攻撃は、国内のみならず世界中で甚大な被害をもたらしています。

本記事では、ビジネスメール詐欺（BEC）の一種として急増しているCEO詐欺について、最新の動向や具体的な手口を整理したうえで、技術的対策として有効な送信元の真正性を証明できる「S/MIMEによる電子署名」について詳しく解説します。

CEO詐欺とは

CEO詐欺（社長なりすましメール）は、ビジネスメール詐欺（BEC：Business Email Compromise）の代表的な手口の一つです。

攻撃者が自社の経営トップ（CEO・社長・役員など）になりすまし、財務・経理担当者に対して『極秘の買収案件』や『至急の海外送金』などを口実に、攻撃者が用意した口座へ資金を振り込ませる詐欺手法です。特に2025年12月以降、IPAおよび警察庁から繰り返し注意喚起が出されているのが、LINEグループ誘導型のニセ社長詐欺です。

通常のBECとは異なり、特に以下のような特徴があります。

• ● 権威性を悪用
  • 社長や役員という肩書きが持つ「逆らえない雰囲気」を利用し、受信者に通常の確認フローをスキップさせる。
• ● 標的が限定的
  • 財務・経理部門の担当者、特に送金実行権限を持つ少数の従業員を狙い撃ちする。
• ● 事前の念入りな調査
  • IR情報・SNS・プレスリリースから経営層の出張スケジュール、組織図、決裁ルートまで把握した上で攻撃を仕掛ける。
• ● マルウェアを使用しない
  • ウイルス対策ソフトでは検知できず、正規のメールとして受信箱に届くため、受信者の判断に依存せざるを得ない。
     

実際に、IPA（独立行政法人情報処理推進機構）によると、IPAの相談窓口には2025年12月16日から2026年3月10日までの約3か月間に、本手口に関する相談が106件寄せられているとのことです。

最新の被害状況

特に2025年12月以降、CEO詐欺の被害は拡大・巧妙化の一途を辿っており、2026年4月には国内で最大級の被害事例が発生しました。

ここでは、CEO詐欺の直近の動向と具体的な被害事例を整理します。

2026年以降のCEO詐欺被害事例

近年のCEO詐欺の被害事例の一部をまとめました。

報道によると、2025年12月~2026年1月までのたった約1か月間だけでも、合計約6億円もの被害が国内で確認されており、2026年2月まで範囲を広げると、その被害額は合計約20億円規模に拡大しています。

このように、業種や企業規模を問わず被害が発生しており、1件あたりの被害額も数千万円から10億円超まで幅広い点が特徴です。

時期	被害組織	被害金額
2026年1月5日	北海道札幌市の企業	約8000万円
2026年1月9日	酒田観光物産協会（山形県）	約2300万円
2026年1月14日	岐阜県多治見市の製造会社	約1億円
2026年2月2日	千葉県船橋市の企業	約5000万円
2026年4月21日	株式会社はてな	約11億円
2026年4月27日	ローランド株式会社（メキシコ子会社）	約1億3000万円

CEO詐欺の流れ

特に2025年末以降急増している「LINEグループ誘導型」CEO詐欺メールの流れは以下の通りです。

• ① 情報収集
  • 企業サイト・IR情報・SNSから、経営層や経理担当者の氏名・役職などを収集。
• ② なりすまし環境の設定
  • なりすまし先企業で使用しているドメインの類似ドメインを取得、または、既存のメールアカウントを乗っ取る。
• ③ 初回コンタクト（CEOなりすましメール送信）
  • 社長や役員の名前で「LINEグループを作成し、招待用QRコードを返信してほしい」という旨のメールを経理・財務担当者へ送信。
• ④ 別チャネルでのやり取りへの移行
  • QRコードを返信すると、攻撃者が社長になりすましLINE上で直接やり取りを開始（社内のメール監視を完全回避）。
• ⑤ 偽の送金指示
  • 「極秘のM&A案件」「税務調査対応」などを口実に、緊急の振込指示をLINEで送信。チャットUIの気軽さや連投されるチャットが思わず送信してしまう。
• ⑥ 送金対応
  • 担当者が言われるままに送金してしまい、被害が発生。
     

このようにフィッシングツールやマルウェアなどは使用せず、公開されている情報を用いて、担当者の心理や（承認フローなども含めた）企業のセキュリティの隙を突いて攻撃することが特徴となっています。

AIを悪用した手口の高度化

CEO詐欺が急増している背景として、攻撃者による進化したAIの悪用が挙げられます。

かつては、文字化けなどの不自然な日本語が、なりすましメールか否かを見抜く手がかりとなっていましたが、生成AIにより違和感のない日本語の社長なりすましメールが量産可能となりました。また、送信先のリサーチもAIにより、正確なデータを迅速に収集できるようにもなり、海外の攻撃者が日本を標的としやすくなっています。

その他メール以外にも、CEOの声をAIで合成し、メール送信後に「念押しの電話」をかける手口や、前述の香港事例のようにビデオ会議で経営層になりすます手口が確認されています。

企業が取るべき対策

CEO詐欺は、メールドメイン詐称などの技術的ななりすまし手口だけでなく、異例の送金が単独で実行できてしまう内部統制の隙を突く攻撃でもある点に注意が必要です。

そのため、CEO詐欺への対策は、組織的対策と技術的対策の両輪で進める必要があります。

組織的対策

• ● 送金プロセスの複数承認
  • 一定金額以上の送金は必ず複数人の承認を必須とする。
• ● コールバック確認
  • 口座変更や異例の送金指示があった場合、メール以外の手段（電話やチャット）で、あらかじめ登録された連絡先へ本人確認を行う。
• ● 社内教育・訓練
  • 最新の手口を共有し、不審なメールに気づくための標的型メール訓練を実施する。
     

技術的対策

• ● SPF / DKIM / DMARCの導入
  • 自社ドメインのなりすましを防ぐための送信ドメイン認証。
• ● メールセキュリティゲートウェイ
  • AIを用いて類似ドメインや不自然な言語パターンのメールを検知・ブロックする。
• ● S/MIMEによる電子署名
  • 送信者が本人であることを証明し、改ざん検知も可能。

S/MIMEによる送信元証明

CEO詐欺（社長なりすましメール）に対する有効な技術的対策の1つが「S/MIME（Secure/Multipurpose Internet Mail Extensions）」を用いた電子署名です。

技術的対策の中で、DMARCによる「自社ドメインのなりすまし防止」と「自社なりすましメールのフォルダ振り分け」と組み合わせることで、受信者は受け取ったメールが正規の送信者本人によって送られたものであるかを明確に確認できます。

S/MIMEとは

S/MIMEは、電子メールのセキュリティを向上させるための国際標準規格です。メールの送受信に利用するメールクライアントにS/MIMEに対応した電子証明書をインストールすることで、「メールの暗号化」と「メールへの電子署名」の2つの機能を提供します。

その中で、CEO詐欺対策として特に重要なのは「電子署名」の機能です。

電子署名がCEO詐欺対策として有効な理由

S/MIMEによる電子署名が付与されたメールは、以下の2点を保証します。

1. ① 送信者の真正性証明
2. メールが間違いなくその証明書の所有者、つまり表示名の送信元から送信されたメールであること。
3. ② 改ざん検知
4. 送信されてから受信者の手元に届くまでの間に、本文や添付ファイルが改ざんされていないこと。
    

これにより、表示名を偽装したメールや類似ドメインからのメールには正規の電子署名が付きません。

また、Outlookをはじめとする主要なメールクライアントでは、S/MIMEによる電子署名付きメールには専用アイコン（Outlookではリボンマーク）が表示されるため、受信者は直感的に正規メールと判別できます。また、S/MIMEは、ビジネスシーンで最も利用されるOutlookに対応している点で、社内も含んたBtoB間のやり取りのなりすまし被害の防止として有効な手段となっています。

S/MIME対応メーラーの一覧表

引用元：フィッシング対策協議会「2024 年度版 S/MIME のメーラー別対応状況の調査結果を発表」

まとめ

CEO詐欺は、技術と人の心理、その“間”を突く極めて巧妙な攻撃です。一見すると単純に思える手口であっても、実際には11億円規模の被害が発生している現実があります。

そこで、S/MIMEやDMARCの併用といった技術的対策と、送金プロセスの見直しや多重確認といった組織的対策を組み合わせることで、CEO詐欺のリスクを大幅に減らすことが可能です。特に、本記事で注力してご紹介したS/MIMEは、社内を含むBtoB間での正規のやり取りを把握する上で、有効な手段となります。

本記事を参考に、ぜひ自社のメールセキュリティ対策を見直してください。