セキュリティ

警察庁が注意喚起「ニセ社長詐欺」とは? Microsoft 365・Google Workspaceの設定で防ぐBEC対策

#BEC#ビジネスメール詐欺#Microsoft 365#Google Workspace#フィッシング対策
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

2026年2月13日、警察庁のSOS47(特殊詐欺対策ページ)が「法人を対象とした詐欺(ニセ社長詐欺)に注意!」という注意喚起を発表しました。

これは、企業の経営者になりすましたメールを社員に送り、SNSグループへの参加を誘導した上で送金を指示するという手口で、いわゆる**BEC(Business Email Compromise / ビジネスメール詐欺)**の一種です。

「うちのような中小企業が狙われるわけがない」と思うかもしれませんが、実はBECは大企業よりも中小企業が被害に遭いやすい犯罪です。そして、Microsoft 365やGoogle Workspaceには、この種の攻撃を技術的にブロックできる機能が標準またはオプションで用意されています。

この記事では、警察庁が注意喚起した手口の詳細を整理した上で、M365とGWSの設定でどこまで防げるのかを具体的に解説します。

警察庁が注意喚起した「ニセ社長詐欺」の手口

警察庁の発表によると、攻撃の流れは以下のとおりです。

ステップ1:経営者になりすましたメールが届く

攻撃者は、インターネット等で公開されている法人のメールアドレス(info@やcontact@など)宛てに、実在する社長名や会社名を使ったメールを送信します。送信元のメールアドレスは本物とは異なりますが、表示名(差出人名)を社長の名前に偽装しているため、メールソフト上では本物からのメールに見えてしまいます。

ステップ2:SNSグループへの参加を指示

メールでは「新しいプロジェクトのため」などと業務を装い、LINEやWhatsAppなどのSNSグループの作成を指示します。振込権限を持った経理担当者をグループに含めるよう要求するケースもあります。

ここがポイントです。メールのやり取りではなく、SNSに場を移すことで、メールのセキュリティフィルタをすり抜け、より親密でリアルタイムなやり取りの中で冷静な判断を鈍らせます。

ステップ3:送金を指示

SNSグループ内で法人の口座残高を回答させた上で、「事業資金が至急必要」「取引先への支払いを代行してほしい」などと、指定口座への送金を指示します。

なぜ中小企業が狙われるのか

BECは大企業だけの問題ではありません。むしろ以下の理由で、中小企業のほうが被害に遭いやすいのが実情です。

承認プロセスが簡素: 大企業では送金に複数の承認者が必要ですが、中小企業では社長の一声で送金が実行されるケースが多く、攻撃者にとって効率が良い。

メールセキュリティが手薄: 後述するM365の偽装保護やGWSの高度なフィッシング対策を有効にしていない企業が多い。

公開情報が豊富: 会社のWebサイトに代表者名、役員名、組織構成、メールアドレスが掲載されている。攻撃者はこれらの情報をもとに精巧ななりすましメールを作成します。

ITリテラシーにばらつきがある: 経理担当者や事務スタッフが、メールの送信元アドレスと表示名の違いに気づかないケースが多い。

Microsoft 365で防ぐ:偽装保護(Impersonation Protection)

Microsoft 365には、BECを技術的にブロックするための強力な機能が用意されています。特に重要なのが、Microsoft Defender for Office 365のフィッシング対策ポリシーに含まれる「偽装保護」機能です。

ユーザー偽装保護とは

「ユーザー偽装保護」は、指定した社内ユーザー(たとえば社長、CFO、経理部長など)の表示名やメールアドレスに類似した外部からのメールを検出し、ブロックまたは警告する機能です。

たとえば、社長のメールアドレスが tanaka@contoso.com の場合、攻撃者が tanaka@c0ntoso.com(oをゼロに置き換え)や tanaka-ceo@gmail.com(フリーメールで表示名を社長名に偽装)からメールを送ってきた場合に、この機能が検出します。

ドメイン偽装保護

自社のドメインや取引先のドメインに類似したドメインからのメールを検出する機能です。contoso.com に対して contoso-inc.comc0ntoso.com などの類似ドメインからのメールを検出します。

メールボックスインテリジェンス

AIが各ユーザーの通常のメール送受信パターンを学習し、普段やり取りしていない送信者からの偽装メールを高精度で検出します。社長と経理担当者が日常的にやり取りしているパターンを学習した上で、そのパターンから外れるなりすましメールを検出する仕組みです。

これらの機能はMicrosoft Defender ポータルのフィッシング対策ポリシーから有効化できます。保護対象として社長・CFO・経理部長など送金権限に関わる人物を登録し、偽装検出時のアクションを「検疫」に設定するのが推奨です。

なお、偽装保護のフル機能を利用するには**Microsoft Defender for Office 365(プラン1以上)**のライセンスが必要です。Microsoft 365 Business Premiumには含まれていますが、Business BasicやBusiness Standardでは追加購入が必要です。

事前設定セキュリティポリシー(Preset Security Policies)の活用

個別設定が面倒な場合は、Microsoftが推奨する「事前設定セキュリティポリシー」を適用する方法が最も簡単です。「Standard」または「Strict」の保護レベルを選択し、保護対象のユーザーやドメインを指定するだけで、偽装保護を含む包括的なフィッシング対策が有効になります。

Microsoftは脅威の状況に応じてこれらのポリシーを自動更新するため、常に最新のベストプラクティスが適用されるメリットもあります。

その他のM365設定

偽装保護に加えて、以下の設定も併せて行うことをおすすめします。

SPF / DKIM / DMARCの設定: 自社ドメインのメール認証を正しく設定することで、自社ドメインを騙ったなりすましメールを受信側でブロックできます。特にDMARCのポリシーを p=reject に設定することで、自社ドメインのなりすましを厳格にブロックできます。

外部メールの警告表示: Exchange Onlineのメールフロールールで、組織外からのメールに「このメールは外部から送信されています」という警告バナーを自動追加できます。社長を名乗るメールに「外部送信」の警告が表示されれば、受信者が気づくきっかけになります。

Google Workspaceで防ぐ:高度なフィッシング・マルウェア対策

Google Workspaceにも、BEC対策に有効な機能が複数用意されています。

なりすまし対策と認証保護

Google Workspaceの管理コンソールでは、以下のなりすまし対策機能を有効にできます。

ドメインなりすまし対策: 自社ドメインに似たドメインからのメールを検出し、警告を表示またはスパムフォルダに振り分けます。

従業員名のなりすまし対策: 組織内のユーザー名に類似した表示名を使った外部メールを検出します。Google Workspaceのディレクトリに登録されているユーザー名と照合するため、社長や役員の名前を騙ったメールを検出できます。

認証されていないメールの警告: SPF/DKIM認証に失敗したメールに対して、Gmail上で「?」マークの警告を表示します。

これらの機能はGoogle Workspace管理コンソールのGmailセキュリティ設定から有効化できます。検出時のアクションとして、警告バナー表示、スパムフォルダへの移動、検疫のいずれかを選択できます。

Google Workspaceのセキュリティサンドボックス

Business PlusやEnterprise以上のプランでは、セキュリティサンドボックス機能が利用できます。メールの添付ファイルを仮想環境で実行し、マルウェアかどうかを判定する機能で、未知のマルウェアに対する防御力を高めます。

グループ設定による外部メールの制限

Google グループ(メーリングリスト)を外部からの投稿を禁止する設定にすることで、攻撃者が info@ や contact@ 宛てに直接メールを送りつける経路を遮断できます。外部からの問い合わせはWebフォーム経由に限定し、メーリングリストは社内利用に限定するのが理想です。

技術対策だけでは防げない部分 ― 運用ルールの整備

今回の警察庁の注意喚起で特に注目すべきは、攻撃者がメールからSNSに誘導する手口を使っている点です。いくらメールのセキュリティを強化しても、SNS上でのやり取りはメールセキュリティの管轄外です。

そのため、技術的な対策と併せて、以下の運用ルールの整備が不可欠です。

送金に関するルールの明確化

ルール1:メールやSNSだけの指示で送金しない。 送金指示は、必ず電話や対面など別の手段で本人確認を行ってから実行する。

ルール2:送金先口座の変更は、複数名で確認する。 「取引先の振込口座が変わった」という連絡を受けた場合、必ず既知の連絡先(メールに記載された連絡先ではなく、過去のやり取りで確認済みの番号)に電話して確認する。

ルール3:一定金額以上の送金には複数の承認者を設ける。 社長1人の指示で高額送金が実行できる体制はリスクが高い。金額に応じた承認フローを設定する。

SNS利用に関するルール

ルール4:業務上の指示をSNS(LINE、WhatsApp等)で行わない方針を明確にする。 特に送金指示や機密情報のやり取りは、社内で承認されたコミュニケーションツール(Teams、Slack等)に限定する。

ルール5:経営者を名乗るSNSグループへの招待には応じない。 万が一参加してしまった場合は、速やかにSNS内の通報機能を使って通報し、グループから退出する。

社員教育

ルール6:BECの手口を全社員に周知する。 特に経理担当者や送金権限を持つ社員には、実際の攻撃メールの例(警察庁が公開している画像等)を見せて、具体的なイメージを持ってもらう。

ルール7:「おかしい」と感じたら即座に報告する文化を作る。 「社長からの指示を疑うのは失礼」という心理的バリアがBECの被害拡大に繋がる。疑わしいメールを報告しても責められない組織文化が重要。

M365・GWSの対策設定チェックリスト

最後に、自社の設定状況を確認するためのチェックリストを掲載します。

Microsoft 365

  • SPF / DKIM / DMARCが正しく設定されているか
  • Defender for Office 365のフィッシング対策ポリシーで「ユーザー偽装保護」が有効になっているか
  • 保護対象ユーザーに社長・役員・経理担当者が登録されているか
  • 「ドメイン偽装保護」が有効で、自社ドメインが登録されているか
  • 「メールボックスインテリジェンス」が有効になっているか
  • 「最初の連絡先の安全ヒント」が有効になっているか
  • 外部メールに「外部送信」の警告バナーが表示される設定になっているか
  • 偽装検出時のアクションが「検疫」に設定されているか

Google Workspace

  • SPF / DKIM / DMARCが正しく設定されているか
  • 「ドメインに似たドメイン名からのメールに対する保護」が有効か
  • 「従業員名のなりすましに対する保護」が有効か
  • 「認証されていないメールに対する保護」が有効か
  • フィッシングとマルウェアの保護が有効か
  • 外部からのメーリングリスト投稿が制限されているか

運用ルール

  • 送金指示のダブルチェック(電話確認)ルールが明文化されているか
  • 一定金額以上の送金に複数承認者が設定されているか
  • SNSでの業務指示・送金指示を禁止するルールがあるか
  • BECの手口について社員教育を実施しているか

まとめ

警察庁が注意喚起した「ニセ社長詐欺」は、技術的に高度な攻撃ではありません。公開情報を使って社長を装い、社員の信頼と業務上の緊急性を悪用する、ソーシャルエンジニアリングの典型例です。

しかし、Microsoft 365のユーザー偽装保護やGoogle Workspaceのなりすまし対策を正しく設定するだけでも、攻撃メールが社員の受信箱に届く確率を大幅に下げることができます。これらの設定は追加コストなし(または既存ライセンスの範囲内)で有効化できるものが多く、やらない理由がありません。

技術的な対策で「入口」を狭め、運用ルールで「判断ミス」を防ぐ。この二段構えが、BECから会社を守る最も現実的なアプローチです。

情シス365では、Microsoft 365・Google Workspaceのセキュリティ設定の最適化を支援しています。「自社の設定が正しいかわからない」「チェックリストを見てもどう設定すればいいかわからない」という方は、お気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談