不正送金被害は103億円——フィッシングはメールの問題ではなく会社のお金の問題です

「怪しいメールを開いてしまったかもしれない」

そう感じたとき、多くの人がまず心配するのは、「開いただけでウイルスに感染したのではないか」ということです。もちろん、不審なメールには注意が必要です。

ただ、フィッシング詐欺で本当に怖いのは、メールを開いた瞬間よりも、その後に、

• 偽サイトにアクセスする

• IDやパスワードを入力する

• 認証コードを入力する

• ネットバンキングや決済サービスにログインしてしまう

といった操作をしてしまうことです。

そして今、フィッシングは単なる「迷惑メール」では済まなくなっています。

警察庁の資料によると、令和7年のインターネットバンキングに係る不正送金事犯は4,747件、被害総額は約103億9,700万円。その手口の約9割がフィッシングとされています。

引用元：https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/info_security.html

つまり、フィッシングはもはや、メールの問題ではなく、会社のお金の問題として考える必要があります。

フィッシングは「個人のうっかり」では終わらない

フィッシングというと、個人のクレジットカード情報や通販サイトのアカウントを狙うもの、という印象があるかもしれません。

しかし、会社で使っているメールやクラウド、ネットバンキング、会計サービス、請求書管理サービスなどの情報が盗まれれば、被害は会社全体に広がります。

たとえば、

• 法人口座から不正送金される

• 取引先を装ったメールで振込先を変えられる

• 経理担当者のアカウントが乗っ取られる

• クラウド上の請求書や契約書が閲覧される

• 取引先に不審メールが送られる

といった被害につながる可能性があります。

「メールを開いたかどうか」だけではなく、そのメールから何を入力したのか、どの権限を持つアカウントだったのかが重要になります。

法人被害は件数が少なくても、被害額が大きくなりやすい

特に注意したいのが、法人口座です。

警察庁の公表資料をもとにした解説では、2025年の不正送金被害において、法人の被害件数は189件で全体の一部にとどまる一方、被害額は47億900万円と、全体の約45%を占めるとされています。

これは、法人の1件あたりの被害規模が大きくなりやすいことを示しています。

個人口座と比べて、法人口座では日常的に大きな金額が動きます。

そのため、一度認証情報を盗まれると、被害額が一気に膨らむ可能性があります。

中小企業でも、例外ではありません。

むしろ、経理担当者が少人数で、確認フローが曖昧な会社ほど、

「いつもの支払いだと思った」

「社長からの指示に見えた」

「取引先からの連絡だと思った」

という流れで、被害に気づくのが遅れることがあります。

最近のフィッシングは、雑な偽メールではない

以前は、フィッシングメールというと、日本語が不自然だったり、見た目が明らかに怪しかったりするものも多くありました。

しかし最近は、かなり巧妙です。

フィッシング対策協議会の2026年3月の月次報告では、フィッシング報告件数が122,381件、フィッシングサイトのURL件数が69,936件とされています。さらに、正規サービスを悪用してフィッシングサイトへ誘導するケースも増加傾向とされています。

引用元：https://www.antiphishing.jp/report/monthly/202603.html

つまり、今は、

• 本物そっくりの画面

• 見慣れたサービス名

• もっともらしいセキュリティ通知

• 正規サービスを経由したように見えるリンク

• 認証コードまで入力させる手口

が増えています。

「怪しいメールは見れば分かる」という前提は、かなり危うくなっています。

本当に危ないのは「入力」と「承認」

フィッシングで特に危険なのは、次のような操作です。

① ID・パスワードを入力する

偽サイトにIDとパスワードを入力すると、その情報を使って本物のサービスにログインされる可能性があります。

メール、クラウド、ネットバンキング、会計サービスなど、業務で使うアカウントほど影響が大きくなります。

② 認証コードを入力する

二段階認証を設定していても、偽サイトにワンタイムコードを入力してしまうと、攻撃者がそのコードを使ってログインを試みる可能性があります。

「二段階認証を入れているから絶対安心」ではなく、認証コードをどこに入力しているのかが重要です。

③ 振込先変更や支払い指示を信じる

フィッシングによってメールアカウントが乗っ取られると、取引先や社内関係者になりすました連絡が行われることがあります。

特に、

• 振込先口座の変更

• 請求書の再送

• 緊急の支払い依頼

• 経営者や上司を装った指示

には注意が必要です。

メールの文面だけで判断せず、別の手段で確認することが大切です。

中小企業がまず決めたい「3つのルール」

高額なセキュリティ製品を導入する前に、まずは次の3つを決めておくだけでも、被害を減らしやすくなります。

① メール内リンクからログインしない

銀行、会計サービス、クラウド、ECサイトなどは、メール内のリンクからではなく、ブックマークや公式アプリから開くようにします。

特にネットバンキングは、メールやSMSのリンクからログインしない運用にした方が安全です。

② お金が動く操作は、別ルートで確認する

振込先変更、急な支払い、請求書の差し替えなどは、メールだけで判断しないルールにします。

たとえば、

• 電話で確認する

• チャットで確認する

• 2名以上で承認する

• 既存の連絡先から確認する

といった仕組みです。

ここで重要なのは、メールに書かれた電話番号ではなく、以前から使っている連絡先で確認することです。

③ 「入力してしまった後」の連絡先を決めておく

フィッシングは、気をつけていても完全には防げません。

だからこそ、

「もし入力してしまったら、誰に連絡するのか」

「ネットバンキングはどこに連絡するのか」

「パスワード変更は誰が対応するのか」

を決めておくことが重要です。

事故が起きてから相談先を探すと、対応が遅れます。

フィッシング対策は、社員の注意力だけに頼らない

もちろん、社員一人ひとりの注意は大切です。

ただ、すべてを「気をつけてください」で済ませるのは限界があります。

特に中小企業では、経理、総務、営業、経営者がそれぞれ複数の役割を兼ねていることも多く、忙しいタイミングほど判断が甘くなりやすいものです。

だからこそ、

• メール内リンクからログインしない

• お金が動く操作は二重確認する

• 重要アカウントには多要素認証を設定する

• 退職者アカウントを残さない

• 不審メールを相談できる窓口を決める

といった、仕組みとしての対策が必要です。

「開いたかどうか」より、「入力したかどうか」を確認する

怪しいメールを開いてしまったとき、まず落ち着いて確認したいのは次の点です。

• 添付ファイルを開いたか

• リンクをクリックしたか

• IDやパスワードを入力したか

• 認証コードを入力したか

• 振込や支払いに関する操作をしたか

メールを開いただけで慌てるよりも、その後に何をしたかを確認する方が重要です。

そして、IDやパスワード、認証コード、口座情報などを入力してしまった場合は、早めにパスワード変更、金融機関への連絡、関係者への共有を行う必要があります。

フィッシングは、会社のお金と信用を守る話

フィッシング対策は、単に「怪しいメールに注意しましょう」という話ではありません。

会社のお金、取引先との信頼、従業員の業務環境を守るための基本対策です。

特にネットバンキングや請求書、会計サービスを扱う会社では、

「誰が確認するのか」

「どの操作は二重確認するのか」

「入力してしまったら誰に連絡するのか」

を決めておくことが、被害を小さくするための第一歩になります。

「うちの確認ルール、大丈夫かな？」と思ったら

「フィッシング対策をしたいけれど、何から始めればいいか分からない」

「経理や総務の確認ルールを見直したい」

「メール、アカウント、ネットバンキング周りの運用が不安」

そんな場合は、ぜひ一度ご相談ください。

ITワークラボでは、中小企業の外部IT担当者として、メール・アカウント・クラウド・ネットバンキング周りの確認ルールづくりから、無理なく続けられるセキュリティ対策までサポートしています。

大がかりなシステム導入の前に、まずは会社のお金が動く場面を一緒に整理するところから始めましょう。

📖 あわせて読みたい

関連ページ

• IT・セキュリティ体制構築の支援内容は、「サービスページ」でご案内しています。

• 実際のご相談事例は、「導入事例」でもご紹介しています。

• ITワークラボの考え方は、「ITワークラボについて」をご覧ください。