「株式会社はてな」で11億円の流出も発生! 生成AI時代の"なりすまし詐欺"が日本を狙い撃つ背景とは?
「社長から急な投資案件の連絡が来て、言われた口座に3000万円を振り込んだ。あとで偽物だと気づいた」 【写真】はてなが公表した事案の経緯 ビジネスチャット「Chatwork」を使った"社長なりすまし詐欺"の被害を訴えるX投稿が、342万インプレッションを超える拡散を見せた。経理担当者がニセの社長アカウントから接触され、別チャットルームで送金指示を受けるという、いまや典型化した手口だ。 他人事ではない。4月24日、「はてなブックマーク」を運営する株式会社はてなが、約11億円の資金流出を発表した。同社によれば、4月20日と21日、従業員のアカウントを使って同社の銀行口座から外部口座へ送金が実行されていた。社員は「悪意ある第三者からの虚偽の送金指示があった」と説明しており、銀行からの不審連絡で初めて発覚したという。中小・ベンチャーから上場企業まで、同じ構造の犯罪が無差別に襲いかかっている。 【CEO・経理を狙い撃つ「標的型攻撃」の恐怖】 これは、業界では古くから知られる手口だ。「BEC(ビジネスメール詐欺)」と呼ばれ、CEOや経理責任者になりすまし、緊急性を装って送金や情報を奪う。Chatwork、LINE、メール、Telegram――使われるインフラはさまざまだが、構造は同じだ。 実際、取材した都内の中小企業では、1年ほど前にこの手口で約1300万円を抜かれていた。社長が海外に移住しており、日本の経理担当者とは普段Telegramでやり取りしていたのが運の尽きだった。 「あなたのアカウントに乗っ取りの危険がある」 そんなニセの通知に従ってログインし直したころ、犯行グループはデスクトップ版から会話のすべてを盗み見ていた。数週間後、いつものTelegramで「社長」から振込指示が来る。文面はやや片言の日本語に変わっていたが、過去のやり取りを引き継いだ自然な流れで、経理担当者は送金してしまう。1300万円は抜かれ、警察に届けても形式的に話を聞かれただけで、被害回復の見込みはゼロだった。 「犯行グループは経理担当者や経営者に狙いをつけ、つけいる隙を伺っています。今やFacebookやリンクトインで経歴は簡単に把握できる。このように特定の組織を狙い撃ちにするサイバー攻撃は標的型攻撃と呼ばれ、昔から存在していました。ただ、AIが発展を遂げた今、これまで以上の脅威として猛威をふるっています」 そう解説するのは、セキュリティコンサルティングを手がけるLRM株式会社の藤居朋之氏だ。