「〇〇銀行です。ネットバンキングをご利用の方は■番を押してください」——そんな1本の電話から、企業の法人口座が空っぽにされる被害が相次いでいます。警察庁サイバー警察局は2026年6月4日、「サイバー警察局便りR8Vol.6」を公開し、手口を巧妙に変えて再発した「ボイスフィッシング(音声詐欺)」の注意喚起を行いました。自動音声と遠隔操作ソフトを組み合わせ、手口を巧妙に変えて再発した「ボイスフィッシング」の注意喚起を行い、企業が取るべき防衛策に迫ります。
自動音声から肉声へ繋ぐ巧妙な罠と「遠隔操作ソフト」による端末乗っ取り
警察庁の発表によると、法人口座を狙った不正送金の手口が劇的な進化を遂げています。2025年に多発した従来のボイスフィッシングは、犯人が銀行員を騙って電話をかけ、言葉巧みにネットバンキングのIDやパスワードを盗み出すという「情報の窃取」が中心でした。しかし、今回確認された新たな手口では、情報の窃取だけに留まらず、企業のPCなどの端末そのものを犯人が遠隔で操作できるソフトをインストールさせて乗っ取るという、より強硬な手段が使われています。
この凶悪な詐欺のタイムラインは、非常に緻密に設計されています。
- 最初の接触: 企業宛に銀行を名乗る「自動音声」の電話がかかり、ガイダンスに従って番号を押すと、人間の肉声(犯人)に切り替わります。
- 情報の聞き出し: 犯人は「PC環境の更新手続きが必要」と騙り、担当者のメールアドレスと携帯電話番号を巧みに聞き出します。
- デジタル誘導の二段構え: 聞き出した連絡先へ、犯人はすかさず「メール」と「SMS」を同時に送りつけます。
- 遠隔操作の罠(メール): メール内のリンクをクリックすると、「セキュリティ強化のためのソフト」と称する遠隔操作ソフトが社内の端末にインストールされ、端末が遠隔操作されてしまいます。
偽画面の裏で進む不正送金と被害を未然に防ぐ「防犯3原則」
端末の制御を奪う一方で、犯人は携帯電話に届いたSMSのリンクから偽のフィッシングサイト(銀行のログイン画面を模したもの)へ誘導し、ネットバンキングのログインIDやパスワードなどの認証情報を完全に窃取します。 ここからが新型手口の最も恐ろしい点です。犯人は遠隔操作している企業の端末画面に「システム更新中」といった偽の遮断画面を表示させ、社内の担当者がPCを操作できないように時間稼ぎをします。そして担当者が画面の前で待機しているその裏で、盗み出したID・パスワードを悪用してネットバンキングへ不正アクセスし、企業の預金を犯人側の口座へと爆速で不正送金してしまうのです。
警察庁およびセキュリティ機関は、この恐ろしい被害から法人口座を守るため、以下の防犯3原則を社内で徹底するよう強く求めています。
- リンクは絶対に踏まない: 銀行を名乗るメールやSMSに記載されたURLには絶対にアクセスしない。
- 必ず公式の代表電話へ折り返す: 銀行から不審な電話があった際は、言われた番号ではなく、自ら調べた営業店や正規の代表電話へかけ直して事実確認を行う。
- 心当たりのないソフトは拒否: 端末の操作中、少しでも不審に思ったソフトのインストールを求められても絶対に許可しない。
アナログな「電話(音声)」による心理誘導(ソーシャルエンジニアリング)と、デジタルな「遠隔操作・フィッシング」を融合させた、サイバー犯罪のハイブリッド型DX(悪用)とも言える極めて悪質な事例です。 犯人が「企業の正規端末」から送金処理を行うため、銀行側のセキュアな不正取引検知システム(IPアドレスや端末識別による防御網)が機能しにくくなる点を突いた非常にシビアな手口であり、システムによる防御だけでなく、一次受電を担当する全従業員のセキュリティリテラシー教育の義務化が、企業の命運を分ける防壁となります。
詳しくは「日本サイバー犯罪対策センター」の公式ページまで。 レポート/DXマガジン編集部
