CEO詐欺とは

CEO詐欺とは、企業の最高経営責任者や役員、上司等の人物になりすまして、経理担当者等の従業員を巧みに騙し、攻撃者が用意した口座へ多額の金銭を振り込ませるサイバー犯罪の一種です。ここでいうCEOは「Chief Executive Officer（チーフ・エグゼクティブ・オフィサー）」の略称であり、企業における最高意思決定者を意味します。

CEO詐欺の手法は、広く知られている「ビジネスメール詐欺（BEC）」の代表的な手口の一つとして位置づけられています。CEO詐欺の特徴は、攻撃者が標的とする組織の内部構造、役職者の氏名、取引先との関係性等を事前に徹底的に調査した上で犯行におよぶことです。

不特定多数にばらまかれる一般的なフィッシングメールとは異なり、緻密なリサーチに基づいて信憑性の高いなりすましを行うため、一度の攻撃で数千万から数十億円規模という甚大な被害額に発展しやすいという傾向があります。

【関連記事】

サイバー攻撃の被害事例と対策について解説しています。

CEO詐欺が危険と考えられている理由

数あるサイバー犯罪の中でも、なぜCEO詐欺が企業にとって特に危険な脅威として認識されているのでしょうか。その背景には、サイバー攻撃のトレンドの変化と、従来型のセキュリティ対策の限界があります。

ここでは、CEO詐欺が危険視される具体的な理由について詳しく解説します。

毎年の脅威として認識されている

CEO詐欺を含むビジネスメール詐欺は、一過性の流行ではなく、長期にわたって企業を脅かし続ける深刻なリスクとして定着しています。独立行政法人情報処理推進機構（IPA）が公表した「情報セキュリティ10大脅威2026」においても、ビジネスメール詐欺は第10位に挙げられています。

2018年以降、実に9年連続でこの10大脅威の10位以内にランクインし続けているという事実も押さえておきましょう。CEO詐欺は、ビジネスメール詐欺と関連性が高い点に注意が必要です。

特定の業界や大企業のみを狙うものではなく、製造業、金融機関、医療機関、サービス業等、さまざまな業種や規模の企業で被害事例が報告されているため、必要な対策を早期に行う必要があるといえます。

　

【関連記事】

独立行政法人情報処理推進機構（IPA）が公表している「情報セキュリティ10大脅威」ついて解説しています。

　

既存のセキュリティ対策ではうまく対応できない場合がある

CEO詐欺が企業に大きな被害をもたらす理由の一つとして、多くの企業が導入している既存のセキュリティ対策ではうまく対応できない場合があるという点が挙げられます。具体的には、次のような点です。

第一に、CEO詐欺はマルウェア（悪意のあるソフトウェア）や、不正なサイトへ誘導するための悪意あるURLを使わないことが一般的です。そのため、アンチウイルスソフト等の技術的な検知ツールを簡単にすり抜けてしまいます。

第二に、人間の心理を巧みに利用する点です。役員や上司という権威に対する従業員との「関係性」や、緊急性を装うことによる「判断力の低下」を意図的に悪用する特徴が挙げられます。

そして第三に、攻撃が高度に個別化されていることです。攻撃者はターゲット企業を事前に綿密に調査した上で、本物の業務連絡と見分けがつかないほどリアリティの高いメールを作成して送付してくるため、一律のフィルタリングが困難となっています。

【関連記事】

中小企業における情報セキュリティの取組について解説しています。

　

【関連記事】

マルウェアの種類や対策について解説しています。

　

CEO詐欺でよくある手口

攻撃者は、システムではなく「人」を騙すために、日々その手法を進化させています。企業が有効な対策を講じるためには、まずは手口を知ることが第一歩です。

ここでは、CEO詐欺において具体的にどのような手口がとられるのかを解説します。

本物に似せたメールアドレス・ドメイン名を悪用してくる

CEO詐欺において未だに高い成功率を誇る手口が、「なりすましメールの送信」です。攻撃者は、社長のメールアドレスや正規の企業ドメインに似せた手口を駆使して、経理担当者等に偽のメールを送ってきます。

標的となった従業員に対しては、言葉巧みに説得を行い、攻撃者が管理する銀行口座へ直接送金させようと試みます。さらに近年では、緊急性を演出するためにSNS等を通じて直接連絡をしてきたり、外部の会計士等になりすまして「CEOからの指示をサポートする」という名目で連絡してきたりするなど、手口の巧妙化が進んでいる点も押さえておきましょう。

メールからメッセージアプリに誘導させる

近年増加している手口の一つに、複数のコミュニケーションツールをまたいだ誘導が挙げられます。攻撃者は初めに、正規の業務連絡を装ってメールで連絡を取り、その後にLINE等のメッセージアプリへ誘導させる手口を用います。

この手口の狙いは、「メールよりも秘匿性があり、他の従業員に知られたくない特別な取引である」といった雰囲気を演出しやすくすることにあるといえるでしょう。さらに深刻な問題は、メッセージングアプリ上でのやりとりに移行してしまうとメールシステムのセキュリティフィルタを通過しないため、企業のIT部門による監視をすり抜けやすいという点です。

AIディープフェイクを使って音声や映像を送ってくる

テクノロジーの進化に伴い、AIによるディープフェイク（deepfake）技術を悪用した詐欺被害が近年多くなっています。ディープフェイクとは、深層学習等のAI技術を用いて、実在する人物の顔や声を合成し、極めてリアルな偽の動画や音声を作成する技術のことです。

CEO詐欺においては、こうした技術を用いて上司の声を合成するだけでなく、リアルタイムのビデオ会議システム上の映像を偽装した事案等も出てきており、人間の目や耳だけで真偽を判定することが困難になっています。

【関連記事】

国のサイバーセキュリティ等の取組について解説しています。

　

CEO詐欺の具体的な被害事例

CEO詐欺の脅威は、現実のビジネス環境で深刻な被害を生み出し続けています。ここでは、CEO詐欺の具体的な被害事例について、国内・海外のケース、そしてAIディープフェイクを悪用したケースに分けて紹介します。

【関連記事】

サイバー空間に関する脅威について解説しています。

　

国内の主な被害事例

日本国内においても、巧妙にローカライズされたCEO詐欺の被害が多数報告されています。国内の主な被害事例においては、医療機関、システム開発会社、NPO法人等の事例が挙げられます。

これらの組織において、経営幹部や取引先のなりすましメールによって、経理担当者が騙されて多額の資金を不正な口座に送金してしまう事案が発生しているのです。企業だけでなく、NPO法人等のさまざまな組織で被害が生じていることを押さえておきましょう。

海外の主な被害事例

海外では、被害額が数十億円規模に上るCEO詐欺の事例が発生しています。ネットワーク機器メーカーであるUbiquiti Networks社では、CEOや幹部になりすましたメールにより財務担当者が騙され、約4,600万ドル（約70億円以上）を詐取されるという深刻な事態に陥りました。

AIディープフェイクによる被害事例

近年、急速に被害が拡大しているのが、AIディープフェイク技術を悪用した次世代型のCEO詐欺事例です。2024年に香港で発生した事件では、ディープフェイク技術の悪用により約37億円もの被害が発生しました。

被害者である財務担当者が参加したビデオ会議において、画面に映っていた最高財務責任者（CFO）や他の参加者全員が、実はAIで偽造されたディープフェイク映像でした。財務担当者は、本物のCFOになりすました犯人から指示を受けたと信じ込み、計5回にわたり香港の複数の口座に2億香港ドル（約37.5億円）を振り込んでしまいました。

また、2019年に英国で発生した事件では、音声クローニングによる偽通話で24万2,000ユーロ（約4,500万円）が奪われました。攻撃者はドイツの親会社CEOの声をAIで模倣（クローニング）し、英国子会社のCEOに対して電話で送金を指示しました。

緊急性を強調された子会社CEOは疑うことなく、ハンガリーの口座へ送金させられてしまいました。

【関連記事】

標的型攻撃メールに関して解説しています。

　

CEO詐欺の被害を防ぐための対策

ますます巧妙化するCEO詐欺の脅威から企業資産を守るためには、多層的な防御網を構築することが重要です。ここでは、CEO詐欺対策としての具体策を「技術的な対策」「運用面での対策」「人材教育における対策」の視点から解説します。

技術的な対策

まず、システム側で不審な通信を遮断するための技術的な対策が求められます。基本となるのは、SPF、DKIM、DMARCといった設定です。

これらはメールの送信元を認証するための仕組みであり、なりすましメールをシステム的に検知することが重要です。加えて、Microsoft DefenderやDarktraceといったAI検知ツールの導入も効果的だといえるでしょう。

こうしたツールは、メールの本文やリンク、添付ファイルをAIで解析し、フィッシングの兆候やなりすまし、通常と異なる不審な行動を高精度に検出します。さらに、Resemble AI DetectやMicrosoft Video Authenticator等のディープフェイク検出技術の導入も、高度化する手口に対抗する上で重要視されています。

運用面での対策

技術的な対策をすり抜けられた場合に備え、業務プロセスにおける運用面での防壁を築くことも大切です。即効性のある対策としては、複数承認フローと電話確認のルール化が挙げられます。

多額の送金や重要な取引を、いかなる場合でも一人の判断で完了させない仕組みを構築することが重要です。また、緊急時の専用連絡ルートの整備も必要だといえます。

CEO詐欺の特徴として緊急であることを装うため、正規の緊急連絡ルートをあらかじめ用意しておくことで、イレギュラーな事態における社内の混乱を防ぐことができます。万が一の際に備え、セキュリティインシデント発生時に迅速対応する専門チームであるCSIRT（セキュリティ対応チーム）を社内に構築・設置しておくことも検討してみましょう。

【関連記事】

中小企業における情報セキュリティ対策について解説しています。

　

【関連記事】

CSIRTを導入するポイント等について解説しています。

　

人材教育における対策

最終的に標的となる「人」の対応力を養う教育も、並行して取り組む必要があります。メールの取扱いだけでなく、音声や動画詐欺を模擬テストに組み込んだ定期訓練を実施することが大事です。

具体的には、従業員に模擬フィッシングメールを送信し、クリック率や報告率を測定できる専用のテスト用アプリを活用・導入し、その結果をフィードバックして改善点を明確化します。さらに実践的なレッドチームによる訓練も有効です。

社内外のセキュリティ専門チームが、実際の攻撃を模したシナリオで従業員を試す「レッドチーム演習」を実施してみましょう。ディープフェイク音声や動画、チャット等の複数チャネルを使った複合攻撃を再現することで、現実に近い形での対応力を養います。

そして、「怪しいと感じたら、すぐに報告してもらう」の習慣の徹底も重要です。従業員が「自分の判断で止める」職場文化を持つこと、また報告した社員を評価する制度を導入し、「報告しても怒られない」心理的安全性を確保する社内風土づくりが重要です。

【関連記事】

標的型攻撃メールに関して解説しています。

　

CEO詐欺を見抜くためのポイント

従業員一人ひとりが日々の業務の中で、不審なアプローチに気づくことがCEO詐欺による被害を防ぐためには重要です。CEO詐欺を見抜くための具体的なチェックポイントについて解説します。

発信元情報をチェックする

第一に、発信元情報を厳密にチェックします。ドメインやメールアドレス、アカウントが正規のものと微妙に異なる偽装がないかを確認しましょう。

また、表示名だけは正しく設定されているものの、詳細アドレスを見ると不自然なメールアドレスになっている場合にも注意が必要です。さらに、メールヘッダーや送信元IPが、海外や不審な場所から発信されていないかをチェックすることも有効だといえます。

メールの内容をよく確認する

第二に、メールの内容をよく確認します。添付ファイルやリンクが不自然（短縮URLや暗号化ZIP等）である場合は警戒が必要です。

特にZIPやEXEファイルは注意し、取扱いのルールを徹底します。認証情報やログインを求めるリンクが含まれている場合は、フィッシングの兆候を疑ってみましょう。

文章の文体・トーンの違和感（過剰な丁寧さ、不自然な簡潔さ、AI生成の兆候等）や、社内文化に合わない言い回しが含まれていないかどうかも、しっかりチェックすることが求められます。

コミュニケーションの違和感を重視する

第三に、やりとりの中で生じるコミュニケーションの違和感を重視することも大切です。「至急対応してほしい」「ほかの人に確認しないで」等、緊急性とともに秘密であることを強調してくるアプローチは典型的な詐欺の手口です。

また、LINE、WhatsApp、Zoom等の社外ツールへの誘導を図る動きにも警戒しておきましょう。単なる打ち間違いではありえない不自然な日本語が使われていたり、深夜といった時間帯に連絡がきたりした場合に、むやみに対応しないことが大切です。

まとめ

ビジネスメール詐欺の一種である「CEO詐欺」は、人間の心理的な隙を突き、さらにはディープフェイク技術も悪用して、その手口は巧妙化・高度化の一途をたどっています。単なる注意喚起では防ぎきれない場面もあるため、具体的な対策を早期に実施していく必要があります。

技術的な基盤整備、厳格な運用ルールの徹底、そして実戦的な人材教育を組み合わせた多層的な防御が重要です。組織全体のセキュリティ体制と企業文化を見直し、脅威に対する備えをしっかりと整えておきましょう。

【参考情報】

2026年4月27日付　群馬銀行　「「社長」「役員」になりすました詐欺メールにご注意ください」
2026年4月10日付　独立行政法人情報処理推進機構　「情報セキュリティ10大脅威2026」