法人ネットバンキングを狙う「電話+遠隔操作」詐欺の正体

🚨 2026年6月 サイバー詐欺レポート

法人ネットバンキングを狙う「電話+遠隔操作」詐欺の正体

全国30社超・被害総額10億円超 ── 巧妙化するボイスフィッシングと、正規ツール悪用の新展開を整理します

🏦 法人バンキング詐欺 📞 ボイスフィッシング 🖥️ 遠隔操作ソフト悪用 🚨 2026年5月の新手口
01

🏦 何が起きているのか?急増する法人不正送金被害

警視庁が捜査関係者への取材で明らかにした内容を中心に、現状を整理します。

📊

5月以降、被害がなぜ急増しているのか?

大手銀行の法人向けインターネットバンキングを利用する企業を狙った不正送金被害が、2026年5月頃から急激に増えています。手口は、銀行を装った電話とメールを組み合わせ、最終的に遠隔操作ソフトや偽サイトを使って認証情報を盗み取るというものです。警視庁はサイバー犯罪グループの関与を疑い、捜査を進めています。

🏢

30社以上

5月以降に被害が確認された企業数

💰

10億円超

5月以降の被害総額

😱

1億円超

一部企業で確認された被害額

📈

143件・約45億円

令和7年の法人向けボイスフィッシング被害全体

⚠️

発信元は国際電話番号が多い

被害企業に着信した電話は、自動音声でネットバンキングの利用有無を尋ねたのち銀行担当者を名乗る人物に転送される形式が多く、発信元には国際電話番号が多く使われていたとされています。

この攻撃は今回が初めてではありません。トレンドマイクロの調査によれば、同様の手口は2024年11月頃から確認されており、装う銀行を変えながら2024年秋〜2025年4月、同年11月、そして今回の2026年5月と、繰り返し発生しています。つまり「単発の事件」ではなく、同じ手法を共有する攻撃グループによる継続的なキャンペーンと見るべきものです。法人を狙うボイスフィッシングは、1件あたりの被害額が個人を狙う詐欺よりも桁違いに大きいのが特徴で、被害総額の約4割をこのタイプが占めています。

※共同通信配信のこの記事は各メディアで同一内容が流通しているのみで、被害銀行名や逮捕者情報などの独自続報は本稿執筆時点では確認できていません。詳細は⑤まとめで改めて整理します。

02

📞 巧妙化する手口:電話からはじまる6段階の攻撃フロー

トレンドマイクロの分析による、攻撃の基本パターンを噛み砕いて解説します。

1

🗣️ 電話による初期接触

金融機関担当者を名乗り、企業の代表電話や経理部門に電話をかけます。自動音声ガイダンス→人間のオペレーターという流れにすることで、「正規の自動応答」だと誤認させます。

2

🧩 口実の提示

「システム更新が必要」「再認証をお願いします」「不正送金被害が出ている可能性がある」など、緊急性を感じさせる理由を伝えます。

3

✉️ メールアドレスの聴取

通話中に「確認のメールを送ります」と称して、担当者のメールアドレスを聞き出します。

4

📩 フィッシングメール送付

電話で事前に予告されていたため、受信者は警戒心が薄いまま「本物らしいメール」を受け取ります。

5

🔑 認証情報の窃取

本物そっくりの偽ログイン画面でID・パスワード・ワンタイムパスワードを入力させ、リアルタイムで攻撃者側に送信させます。

6

💸 不正送金の実行

窃取した認証情報を使って即座に正規のネットバンキングへログインし、送金を実行します。

🚨 重要

銀行員が電話で直接、メールアドレスやID・パスワード、ワンタイムパスワードを尋ねることは通常ありません。たとえ「自動音声からの正規案内」のように聞こえても、その場で個人情報や認証情報を伝えないようにしてください。

03

🖥️ 2026年5月の新展開:二重チャネル攻撃とScreenConnect悪用

今回の被害急増で特に重要なのが、新たに確認された「遠隔操作」の手口です。

🔍

偽サイトから正規の遠隔操作ソフトへ誘導

トレンドマイクロが金融機関と協力して調査した結果、ボイスフィッシングの被害者が誘導された改ざんWebサイトに、偽のウイルス対策ソフト案内ページが設置されていたことが判明しました。このページは、ITサポートで広く使われている正規の遠隔操作ソフト「ScreenConnect」のダウンロード・インストールへ利用者を誘導していたとみられています。ScreenConnect自体は正規のツールですが、偽のウイルス感染警告を使った「テクニカルサポート詐欺」で悪用された例がこれまでにもあるソフトです。

⚠ 注意

「セキュリティ強化のためインストールしてください」といった案内で正規の遠隔操作ソフトをインストールさせる手口は、ScreenConnect以外のツールでも今後使われる可能性があります。トレンドマイクロも「他のソフトが悪用される可能性はゼロではない」と注記しており、見慣れたソフト名だからといって安全とは限りません。

🧭 同時並行で進む「二重チャネル」攻撃

チャネルⅠ:遠隔操作ソフト 偽メールのリンク→ScreenConnect導入 →端末を乗っ取り「更新中」画面で目隠し チャネルⅡ:SMSフィッシング モバイル端末へ偽サイトSMS送付 →ID・パスワードを窃取 同時並行で不正送金を実行 乗っ取った端末の裏で、窃取した認証情報を使用

警察庁の注意喚起でも、この二重チャネルの仕掛けが図解されています。チャネルⅠ(遠隔操作)では偽メールのリンクから「セキュリティ強化ソフト」と称する遠隔操作ソフトをインストールさせ、被害企業の端末を乗っ取ります。チャネルⅡ(SMSフィッシング)では、担当者のモバイル端末にフィッシングサイトへのリンクを含むSMSを送り、ネットバンキングのID・パスワードを窃取します。そして両者を同時並行で実行し、遠隔操作している端末には「システム更新中」などの偽画面を表示して被害者の目をそらしつつ、その裏でSMS経由で盗んだID・パスワードを使って不正送金を実行する、という分業構造になっています。さらに、自動音声で「承認実行権限を持っている方は1を押してください」と案内し、承認権限者を効率よく狙う工夫も新たに確認されています。

🔐 証明書認証の突破

  • 法人バンキングの一部はPC上の電子証明書で「正規端末からのアクセス」を検証している
  • 遠隔操作で正規端末そのものを乗っ取れば、この仕組みごと回避できる

👀 不正検知の回避

  • 被害者本人が普段のPCから操作している状態を偽装できる
  • 銀行側の行動分析・異常検知をすり抜けやすくなる
💡

セキュリティ担当者向けの手がかり(技術的痕跡)

ScreenConnectがインストール・実行されると、WindowsのシステムイベントログにイベントID 7045でサービスインストールの記録が残ります。サービスファイル名のパラメータから、遠隔操作の中継リレーサーバのIPアドレスが確認できる場合があります。5月の攻撃で確認されたリレーサーバのIPアドレスはいずれも共通しており、スイスのIPアドレスが攻撃者側の用意したものと推測されています。トレンドマイクロは該当インストーラを「Trojan.Win32.SCRAT.A」として検出する旨を公開しています。

04

🛡️ 今すぐ組織でできる対策

警察庁・トレンドマイクロが共通して提言する対策を、立場別に整理しました。

💬 受電・経理担当者向け

  • 銀行からの電話の内容は鵜呑みにせず、通帳やカード記載の正規代表電話に自分から折り返す
  • 電話中に案内された番号には絶対にかけ直さない
  • ボイスフィッシングを想定した受電訓練を定期的に実施する

🖥️ 情報システム部門向け

  • 経理部門PCはユーザー権限を制限し、許可リスト方式で任意のソフトインストールを禁止する
  • EDRを導入し、不審な遠隔接続を検知できる体制にする
  • PBX等で国際着信・非通知着信のフィルタリングを設定する

🏦 全社的な仕組みづくり

  • ネットバンキングへのアクセスはメール内リンクからではなく、ブックマーク済みの公式URLか公式アプリからのみ行う
  • 高額送金は申請者と承認者を分離し、対面や内線など別チャネルでの口頭確認を必須にする
✅ 対策済み確認

以下を一つずつ確認してみましょう。
□ 銀行からの電話は必ず正規の代表番号に自分から折り返している
□ ネットバンキングは公式URL・公式アプリからのみアクセスしている
□ 高額送金は申請者と承認者が分離されている
□ 経理部門のPCで任意のソフトインストールが制限されている

05

📝 まとめ:わかっていること、まだわかっていないこと

技術と人、両方の視点で振り返ります。

今回の事件が示しているのは、攻撃者が「電話による心理的な誘導」と「正規ツールの悪用」を組み合わせることで、銀行側の技術的な防御(証明書認証や異常検知)をすり抜けようとしているという点です。裏を返せば、対策のポイントは技術だけでなく「電話を信じすぎない」「公式の経路以外でアクセスしない」という一人ひとりの行動にもあります。

本稿執筆時点で確認できていないこと

・被害が出た「大手銀行」の具体名(共同通信配信記事では特定されていません)
・犯行グループの摘発・逮捕者情報(10億円超の事案について、現時点で続報は確認されていません)
・5月以降、ScreenConnect以外のツールへ手口が切り替わっているかどうか

今週から始める3ステップ

①電話の「鵜呑み厳禁」を社内に共有する ②ネットバンキングのアクセス経路を公式URL・公式アプリに統一する ③高額送金の承認フローを申請者と承認者で分離する

コメント