ボイスフィッシングとは?法人口座の不正送金被害から考える企業の対策

近年、企業の法人口座を狙った不正送金被害が増加しています。

従来のフィッシング詐欺といえば、メールやSMSから偽サイトへ誘導する手口が中心でした。しかし最近では、金融機関の担当者を装った電話を利用する「ボイスフィッシング」が確認されており、企業担当者が騙されるケースも発生しています。

警察庁や金融機関も注意喚起を行っており、企業の経理担当者や財務担当者だけでなく、インターネットバンキングを利用するすべての企業にとって無視できないリスクとなっています。

この記事では、ボイスフィッシングの仕組みと実際の手口、認証情報が盗まれた後に起こるリスク、企業が見直すべき対策について解説します。


ボイスフィッシングとは

ボイスフィッシングとは、電話を利用して認証情報や口座情報を騙し取る詐欺手法です。

攻撃者は金融機関やサポート担当者を装い、

  • セキュリティ確認
  • 不正アクセス調査
  • システム更新
  • 電子証明書更新

などの名目で企業へ電話をかけます。

その後、

  • メールアドレスを聞き出す
  • 偽メールを送信する
  • 偽サイトへ誘導する
  • IDやパスワードを入力させる

といった流れで認証情報を窃取します。

単なるメール型フィッシングと違い、「電話」という信頼性の高い接点を利用するため、担当者が警戒を解いてしまいやすい点が特徴です。


実際に発生している法人口座の不正送金被害

2026年には複数の金融機関が、法人口座を狙ったボイスフィッシングへの注意喚起を実施しています。

典型的な手口は以下の通りです。

1. 銀行担当者を名乗る電話

「不正アクセスの疑いがあります」

「電子証明書の更新が必要です」

「セキュリティ確認を行います」

などと説明し、担当者の不安を煽ります。

2. メールアドレスを聞き出す

攻撃者は担当者からメールアドレスを聞き出します。

3. 偽メールを送信

実際の銀行通知に似せたメールを送信します。

4. 偽サイトへ誘導

企業向けインターネットバンキングに似せたサイトへ誘導します。

5. 認証情報を入力させる

ID、パスワード、ワンタイムパスワードなどを入力させます。

6. 不正送金

取得した認証情報を利用し、法人口座から不正送金を実行します。


なぜ企業担当者が騙されるのか

多くの担当者は、

「銀行から電話が来た」

という時点で一定の信頼を持ってしまいます。

さらに企業では、

  • 緊急対応
  • 資金管理
  • システム障害対応

など日常的に発生するため、

「確認を急いでください」

と言われると冷静な判断が難しくなります。

また、

  • 電話
  • メール
  • 偽サイト

を組み合わせることで、攻撃者は非常に高い説得力を持たせています。

単一チャネルのフィッシングより成功率が高い理由もここにあります。


ボイスフィッシングで狙われる情報

攻撃者が狙う情報は単純な口座番号だけではありません。

特に狙われるのは、

  • インターネットバンキングID
  • パスワード
  • ワンタイムパスワード
  • 電子証明書
  • 認証アプリ情報
  • 登録メールアドレス
  • 管理者権限アカウント

です。

企業向けインターネットバンキングの場合、一つの認証情報が大量の資金移動につながる可能性があります。

そのため個人口座より被害額が大きくなりやすい傾向があります。


認証情報が盗まれた後に起こること

企業が見落としがちなのは、

「認証情報が盗まれた後」

です。

攻撃者はログインできれば終わりではありません。

その後、

  • 送金先口座の登録
  • 振込先変更
  • 高額送金
  • 登録情報変更
  • 承認権限変更

などを行う可能性があります。

つまり、

認証情報を守ることだけでなく、

重要操作を守る仕組み

も必要になります。


企業が見直すべき5つの対策

1. フィッシング耐性のある認証方式を検討する

ID・パスワードだけに依存する運用は危険です。

またSMS認証やOTPも万能ではありません。

金融・決済サービスでは、

  • パスキー
  • FIDO2
  • ハードウェアキー

などフィッシング耐性のある認証方式の検討が進んでいます。


2. 重要操作時に追加認証を行う

ログイン後も、

  • 振込
  • 登録情報変更
  • 権限変更

などの重要操作時には追加認証が必要です。

ログインできたからといって、すべての操作を許可する設計はリスクがあります。


3. 送金承認フローを見直す

法人口座では、

「1人で送金できる」

状態を避けることが重要です。

例えば、

  • 申請者
  • 承認者

を分離することで不正リスクを下げられます。

特に高額送金では複数承認を検討すべきでしょう。


4. 端末リスクを確認する

近年は認証情報だけでなく端末の状態も重要です。

例えば、

  • Root化端末
  • Jailbreak端末
  • エミュレーター
  • マルウェア感染端末

などからのアクセスはリスクが高い可能性があります。

認証だけでなく端末状態も確認することが求められます。


5. 異常な操作を検知する

攻撃者は通常と異なる行動を取ることが多くあります。

例えば、

  • 深夜アクセス
  • 初めて利用する端末
  • 海外からのアクセス
  • 高額送金
  • 短時間の連続操作

などです。

異常検知によって追加確認を行う仕組みは非常に有効です。


モバイル不正対策ラボの見解

ボイスフィッシングが示しているのは、

「認証情報を守るだけでは不十分」

ということです。

企業はどうしても、

  • パスワード管理
  • MFA導入

に注目しがちです。

しかし実際には、

  • 認証
  • 端末
  • アプリ
  • 重要操作
  • 異常検知

を組み合わせた多層防御が必要です。

特に金融・決済・会員サービスを提供する企業では、

「認証情報が盗まれた前提」

でも被害を最小化できる設計が求められます。


まとめ

ボイスフィッシングは、電話とメール、偽サイトを組み合わせた高度なフィッシング手法です。

企業の法人口座が狙われるケースも増えており、被害額は個人口座より大きくなる傾向があります。

重要なのは、

  • 認証方式の見直し
  • 重要操作時の追加認証
  • 送金承認フロー
  • 端末リスク管理
  • 異常検知

を組み合わせて対策することです。

企業の不正対策は「ログイン画面」で終わりではありません。

認証情報が盗まれた後まで見据えた設計が、これからの金融・決済サービスには求められています。