法人を狙う「なりすまし」被害と企業が取るべき現実的なセキュリティ対策
「うちは中小企業だから、サイバー攻撃なんて関係ない」
そう考えている経営幹部、財務担当者も多いのではないでしょうか?
ですが今、「なりすまし」という形で企業を狙うサイバー攻撃の被害が、中堅・中小企業にも広がっています。2025年第3四半期には、オンラインバンキングでの不正送金被害が過去最多を記録し、その中でも法人を標的とした被害が急増。単なる金銭の損失にとどまらず、企業の信用そのものが問われる時代になってきました。
たしかに、セキュリティ対策を強化すればするほど、コストも手間も増えます。「全部やる」ことは現実的ではないからこそ「どこまでやるべきか」「どこを優先すべきか」という判断が欠かせません。
本記事では、法人が直面する「なりすまし」リスクを2つの視点から整理し、それぞれに対応する現実的なセキュリティ対策を考えていきます。 「何から手をつければいいのか分からない」と感じている方こそ、ぜひ読み進めてみてください。
参考:法人の不正送金被害が約8.6倍 – 金額ベースで個人を上回る – SecurityNEXT
なりすまし被害は企業の信用と財務に直撃する
なりすましによる影響は財務面だけでなく、社会的信用や取引継続の可否にも波及する重大な経営課題です。被害には、大きく2つのタイプがあります。
- 企業自身が標的となり犯人によって資金を不正送金されてしまう
- 企業になりすました詐欺メールや偽サイトにより顧客が金銭被害にあう
企業自身と顧客、2つの軸から見る必要があるということです。それぞれ詳しく見ていきましょう。
法人が狙われる「高額な標的」としての構造変化
サイバー犯罪者にとって、今もっとも「投資対効果」が高いターゲットは法人です。2025年の統計では、法人の不正送金被害が個人を上回り、過去最多となる28億円超の損失が報告されました。多くは、組織内の財務担当者を狙ったフィッシングにより認証情報を盗み出し、中間者攻撃を経て送金を実行させるという手口です。
とりわけ問題なのは、従来の多要素認証(MFA)すら突破される攻撃が現実化している点です。そして、企業にとって見過ごせないのが「被害額が戻ってこない可能性がある」という事実です。
一般に、インターネットバンキングで発生した不正送金に対しては、金融機関が一定の条件下で補償することがあります。これは、預金者保護法の趣旨や、各金融機関が加盟する業界団体(全国銀行協会など)の申し合わせによるもので、主に個人向け口座が対象となっています。
一方、法人の場合は補償の前提が異なります。法人にはより高いセキュリティ水準や内部統制が期待されており、被害が発生した際に金融機関が「利用者の重大な過失」を認定した場合には、補償対象外と判断されることもあります。たとえば金融庁の報告資料では、過去の被害事例において「補償対象外」とされた件数の相当数が、「セキュリティ対策の不備」や「被害者側の過失」を理由に判断されたことが明示されています。
こうした背景から、企業側がセキュリティ対策を怠った場合、「それは自己責任である」と見なされ、損失をすべて自社で負担せざるを得ない状況に陥るのです。
だからこそ、認証基盤のモダナイズや、職務分離(SoD)による内部統制の強化は、「コスト」ではなく財務リスクに対する「防御の最終ライン」として位置づけるべきなのです。
参考:偽造キャッシュカード等による被害発生等の状況について – 金融庁
顧客が被害を受ける「ブランドなりすまし」の現実
もう一つのリスクは、企業が「騙される側」ではなく「騙す側」に見られてしまうことです。
最近のフィッシング詐欺では、企業名・ロゴ・ブランドカラーまでも完璧に再現した偽サイトやメールが大量に出回っており、2025年8月には月間19万件もの報告が寄せられました。AIやディープフェイク技術の進化により、まるで本物と見分けがつかない「なりすまし」が可能になってきたのです。
このような詐欺に顧客が引っかかって金銭被害に遭った場合、「あの会社の名前だったから信じてしまった」となるのは当然です。企業に直接の責任がないように見えても、ドメイン保護やSNS監視を怠っていたとなれば、消費者保護や個人情報保護の観点から行政指導を受けるリスクもあります。
言い換えれば、企業名を騙られること自体がリスク資産になっている時代です。信用を守るという観点でも、「なりすまされない」体制整備は、避けて通れません。
セキュリティ対策は「強ければいい」ではない
セキュリティ対策というと、「やれるだけ全部やる」「最新技術を導入すれば安心」という考えに陥りがちです。しかし現実には、リソースにも限界があり、対策によって業務やユーザー体験が阻害されるリスクもあります。重要なのは、「どこまでやるか」の見極めと、「何を守るか」の優先順位です。
自社のリスクと守るべき資産を洗い出す
まず最初に取り組むべきは、「自社にとって本当に守るべき資産は何か?」を明確にすることです。すべての操作に二要素認証を導入すればたしかに安全性は高まりますが、実際にはコストもユーザビリティも犠牲になります。
例えば、単なるログインにはSMS認証などの軽い対策で十分でも、送金や個人情報の変更など、被害リスクが高い操作についてはFIDO2やワンタイムパスワードを導入するなど、リスクに応じたレベル設計が必要です。
加えて、職務分離(SoD)や多重承認といった運用ルールを設定することで、仮に認証情報が盗まれても、不正操作のリスクを低減することが可能です。
- FIDO2とは
-
FIDO2は、パスワードに代わる次世代の認証技術です。生体認証やセキュリティキーを使い、公開鍵暗号方式によって認証を行います。IDやパスワードを盗まれてもなりすましが不可能となり、中間者攻撃やフィッシングへの耐性が格段に向上します。GoogleやMicrosoftなどの主要企業も対応を進めており、安全性と利便性の両立を実現する認証手段として注目されています。
- ワンタイムパスワードとは
-
ワンタイムパスワード(OTP)は、ログインや取引時に毎回異なるパスワードを発行する仕組みです。使い捨てであるため、たとえ盗まれても再利用される危険性が少なく、不正ログインのリスクを大幅に低減できます。専用アプリ、SMS、メールなどで送信され、従来のID・パスワード型認証に比べて高い安全性を提供する多要素認証の一つとして、多くのサービスで導入されています。
- 職務分離(SoD)とは
-
職務分離(SoD:Segregation of Duties)とは、不正やミスを防ぐために、1人の担当者に業務のすべてを任せず、役割を分担する内部統制の考え方です。たとえば、送金を依頼する人と承認する人を分けることで、不正送金を未然に防ぐことができます。セキュリティ対策としてだけでなく、業務の透明性や信頼性を高める手段として、金融機関や企業の情報システム部門などで重視されています。
有効な技術は「導入しやすさ」と「運用のしやすさ」で選ぶ
技術的に有効な対策として、近年注目されているのがFIDO2やパスキー(Passkey)です。これは中間者攻撃に耐性があり、従来のID・パスワード+MFAという方式を不要にする次世代の認証技術です。さらに、絵文字を使ったワンタイムパスワードといった、人間にとって認識しやすくフィッシングに強い認証方式も登場しています。
とはいえ、これらの技術も「使われなければ意味がない」ものです。「導入のハードルが高すぎる」「業務に影響する」「ユーザーに不評」といった理由で形骸化してしまえば、本来の目的を果たせません。選定の際には、システム担当だけでなく、利用者側の業務実態や現場の声も踏まえた判断が求められます。
「全部やる」から「要所に絞る」へ
セキュリティ対策は、全方位的な「重装備」よりも、リスクが高い箇所に集中する「戦略的な装備」が効果的です。
たとえば、重要な送金処理にはFIDO2を導入し、ログインだけなら簡易なワンタイム認証にとどめる。ドメインなりすまし防止にはDMARCを設定する一方、SNS監視や偽アカウント報告は外部サービスと連携するなど、「守るべきところだけをしっかり守る」考え方が、現実的かつ効果的だといえるでしょう。
経営の視点で「なりすましリスク」を再定義する
セキュリティは「技術の話」と捉えられがちですが、実はその本質は経営判断です。
なりすまし被害が企業にもたらす影響は、単なる不正アクセスや一時的なトラブルにとどまらず、事業の継続性やブランド価値そのものを揺るがす深刻なリスクです。
被害は「損失額」ではなく「信頼毀損」で測られる
不正送金やフィッシング詐欺によって失われるのは、口座残高だけではありません。
たとえば「自社名を使った偽サイトによって顧客が被害を受けた」となれば、いくら「自社に責任はない」と説明しても、社会からの信頼は一気に失われるのです。「あの会社、対策していなかったの?」という一言が、ブランド価値を一瞬で崩壊させることもあります。
また、金融機関から「貴社の対策不足により補償対象外」とされてしまえば、損失をすべて自社で負担することになります。このような判断は、システムのログや管理体制、導入済み対策の整合性によって左右されます。つまり、「どこまで備えていたか」が、企業の責任の重さを決定づける材料になるのです。
技術者から経営層への橋渡しが必要
現場のエンジニアにとって「当たり前」のセキュリティ対策も、経営層にとっては「初めて聞く話」であることが少なくありません。だからこそ、経営層には「なりすましによる被害」が財務・信用・法務にどのような影響を及ぼすかを、経営リスクとして明示することが必要です。「今やらなければ、何が起きるのか」を、定量的かつ現実的に伝える橋渡し役が求められます。
その際、外部ガイドラインとして特に有効なのが、FISC(金融情報システムセンター)の「安全対策基準」です。FISCはもともと金融機関向けに作られたセキュリティ基準ですが、日本においては「事実上の共通フレームワーク」として広く参照されており、小売業や自治体など金融以外の業界でも準拠を求められることが増えています。
この基準の特徴は、単に「守るべき技術仕様」を示すだけでなく、「セキュリティは100%ではなく、必ず破られることを前提に、継続的に維持・改善する」という思想が明記されている点にあります。つまり、初期導入だけで満足せず、経営としてどう運用・見直しを続けるかが問われる設計になっているのです。
「他社ではここまで実施している」「FISCに準拠していない場合、補償の対象外となる可能性がある」といった比較やリスクの可視化は、経営の意思決定にとって重要な材料になります。また、システム面だけでなく、職務分離・教育・インシデント訓練といった運用ルールまで含めて、全体設計としての「守りの体制」を経営視点で再構築することが求められています。
「もし起きたら」ではなく「起きる前提」で備える
なりすましによる被害は、もはや「防げたらラッキー」ではありません。むしろ「いつか起きる前提」で備えることが、今後の企業にとっては常識となっていきます。
特に重要なのが、インシデント発生時の迅速な対応をできる仕組みづくりです。たとえば、口座凍結依頼のタイミングや、金融機関との連携体制、社内外への情報開示手順などを事前に定めておくこと。これが、被害の拡大を防ぎ、再発防止の体制づくりにつながります。
経営層が「セキュリティに強い会社」であることを社内外に示すことが、顧客の信頼獲得にもつながっていくのです。
まとめ:守るべきは、金銭よりも信頼
「なりすまし」リスクは、かつてのような「技術的な問題」の枠を超え、今や企業の経営を揺るがすテーマとなっています。金銭被害の有無だけでなく、「対応していなかった」という事実が信頼を失墜させ、ブランド価値や顧客関係に大きなダメージを与えるのです。
では、すべての対策をやるべきかというと、そうではありません。重要なのは、「守るべきところを見極めて、そこに適切な防御を張る」こと。たとえば、送金処理にはFIDO2を、ブランドなりすましにはDMARCを、という具合に、リスクとコストのバランスを取りながら施策を構築する必要があります。
そのうえで、エンジニアと経営層の間で共通認識を持ち、「どこまで備えるか」を戦略的に決めることが、現実的かつ効果的なセキュリティ対策の第一歩になります。
あなたの会社が、「安全で信頼できる存在」として選ばれ続けるために、今できることから一緒に始めてみませんか?
私たちマネーパートナーズソリューションズでは、技術と経営の「橋渡し役」として、貴社の課題に寄り添いながら、最適なセキュリティ対策の設計と実装をサポートします。
「どこまで備えるべきか」に悩んだときは、以下のフォームよりお気軽にご相談ください。
