2026年4月、「はてなブログ」などを運営する株式会社はてなが、最大約11億円もの資金を外部口座に送金されるという事件が発覚しました。従業員が悪意ある第三者の虚偽の送金指示に従ったとされ、CEO詐欺(ビジネスメール詐欺・BEC)の可能性が高いとみられています。
なぜ上場IT企業がこのような被害に遭ったのか。どんな手口が使われたのか。そして、自社や自分の会社でも同じことが起こりえるのか。この記事では、はてな11億円流出事件の経緯を整理しながら、CEO詐欺の仕組みと今すぐ使える対策をわかりやすく解説します。
※本記事は2026年4月24日公表時点の情報をもとにしています。捜査・回収状況は今後変動する可能性があります。
はてなで起きた11億円流出事件とは?
2026年4月24日、株式会社はてなは適時開示で資金流出事案の発生を公表しました。詳細はまだ多くが未公開ですが、判明しているだけで経営を揺るがす規模の被害が出ています。
事件はいつ・どのように発覚したのか?
2026年4月21日、取引先銀行から「不審な送金が行われている」との連絡が会社に入りました。
はてなが確認すると、4月20日と21日の2日間、同社従業員のアカウントから外部口座への送金が実行されていたことが判明します。当該従業員に確認したところ、「悪意ある第三者から虚偽の送金指示があり、その指示に従って送金した」という事実が明らかになりました。
従業員は21日の送金完了後に初めて、指示が偽物だった可能性に気づいたとされています。自ら警察に連絡を入れたのはこのタイミングです。はてなは被害確認後すぐに警察への相談と、関係金融機関への被害回復措置を開始しました。
被害の内容と現時点でわかっていること
2026年4月24日時点でわかっていることを整理します。
| 項目 | 内容 |
|---|---|
| 被害対象額 | 最大約11億円 |
| 送金日 | 2026年4月20日・21日 |
| 流出先 | 外部口座(詳細非公開) |
| 個人情報流出 | 現時点では確認されていない |
| 捜査状況 | 警察に相談・捜査機関に全面協力中 |
| 損失確定 | 今後の捜査・回収状況により変動 |
誰を装った指示だったか、送金回数・個別金額・送金先口座の詳細は、4月24日の開示では明らかにされていません。現在も外部専門家による調査が続いています。
会社の規模に対してどのくらいの被害なのか?
この数字を聞いただけではピンと来ないかもしれません。はてなの財務規模と照らし合わせると、被害の深刻さが見えてきます。
| 指標 | 金額 |
|---|---|
| 被害対象額(最大) | 約11億円 |
| 手元現預金(直近短信) | 約17億7,900万円 |
| 通期営業利益予想 | 約1億3,600万円 |
通期営業利益予想の約8.1倍にあたる金額が、2日間で失われた計算になります。手元現金の約65%に相当する規模です。はてな自身は「事業運営や資金繰りに支障はない」と声明を出していますが、業績予想への影響は現在精査中としています。
CEO詐欺(BEC)とはどんな犯罪か?
今回の事件の背景にあるとみられるのが、CEO詐欺(BEC:Business Email Compromise)と呼ばれる手口です。名前だけ聞いてもなじみが薄いかもしれませんが、内容を知ると「これは防ぎにくい」と感じるはずです。
「ビジネスメール詐欺(BEC)」の定義とは?
ビジネスメール詐欺(BEC)とは、企業の経営者や取引先になりすまして偽のメールを送り、従業員に不正な送金をさせるサイバー詐欺の一種です。
IPA(独立行政法人情報処理推進機構)の定義では、「電子メールに巧妙な細工を施して取引先や役員になりすまし、企業の担当者をだまして金銭を振り込ませるサイバー攻撃」とされています。ウイルスやマルウェアを使わず、「人間をだます」ことだけに特化しているのが最大の特徴です。
BECの中でも特に、社長・CEOなど上位の経営層になりすます手口を、「CEO詐欺」と呼びます。
CEO詐欺がほかの詐欺と違う点とは?
フィッシング詐欺やランサムウェアと何が違うのか、整理してみます。
| 種類 | 攻撃対象 | 主な手口 | 検知難易度 |
|---|---|---|---|
| フィッシング詐欺 | 広く一般ユーザー | 偽サイトへ誘導 | セキュリティソフトで検知しやすい |
| ランサムウェア | 企業システム | マルウェア感染 | セキュリティソフトが有効 |
| CEO詐欺(BEC) | 経理・財務担当者 | 偽の送金指示 | セキュリティソフトで検知困難 |
CEO詐欺は、技術的な攻撃ではなく人間の心理を突いてきます。「上司の指示には従う」「緊急だと確認を省く」という自然な行動パターンを利用するため、どれだけ高性能なセキュリティツールを導入していても、すり抜ける可能性があります。
なぜマルウェアより検知しにくいのか?
セキュリティソフトは、怪しいURLや悪意あるプログラムを検知するように設計されています。ところが、CEO詐欺のメールにはマルウェアも不審なURLも含まれません。
攻撃者は社長の名前を差出人に設定したり、ほんの少しだけ文字が違うドメイン(例:hatena.co.jp → hatena.c0.jp)を使ったりします。本文の内容も短く、自然なビジネス文体で書かれているため、受信者が読んだだけでは「本物の指示」と区別がつかないのです。
はてな事件の具体的な手口とは?
はてなの件は、4月24日時点の公開情報では詳細が非公開です。ただ、判明している事実から手口の輪郭が見えてきます。
犯人はどのように従業員に接触したのか?
公開情報によれば、「悪意ある第三者から虚偽の送金指示があった」という事実だけが明かされています。誰を装ったのか、メールだったのか、LINEやその他のツールが使われたのかは、2026年4月24日時点では開示されていません。
ただ、SNS上では「代表取締役詐欺(代取詐欺)ではないか」という指摘が多く出ています。代表取締役や役員の名を騙り、経理担当者に指示メールを送る手口は、2025年末から国内で急増しているものと手口が一致します。
2日間にわたって送金が続いた理由とは?
4月20日と21日の2日間、送金が繰り返された点に注目する必要があります。1日目に誰も異常を検知できず、2日目の送金も止められなかったことを意味するからです。
通常、企業の送金はリアルタイムでモニタリングされているはずです。しかしはてなの場合、取引先銀行からの連絡があって初めて不審送金が発覚しています。銀行側が先に気づいた、という点もこの事件の特徴の1つです。
従業員が詐欺だと気づいたきっかけとは?
公開情報によれば、当該従業員は「21日の送金完了後に、指示が虚偽であることに気づいた」とされています。つまり、2日目の送金を終えた後にようやく違和感を覚えたということです。
この時点で従業員は自ら警察に連絡を入れており、隠ぺいしようとした形跡はありません。被害を大きくした要因は個人の判断ミスより、組織としての送金承認フローが機能していなかった点にあると考えられます。
なぜ1人の従業員が11億円を送金できたのか?
これが多くの人が最も疑問に感じた点でしょう。11億円という金額を1人の従業員が単独で送金できる状態だったこと自体、内部統制の問題として議論を呼んでいます。
承認フローが機能しなかった原因とは?
通常の企業では、一定金額を超える送金には複数人の承認が必要なはずです。しかし今回は、1人の従業員が2日間にわたって送金を実行できていました。
考えられる原因は主に2つです。
- 承認フロー自体が設けられていなかった、または金額上限が高く設定されすぎていた
- 承認フローがあったとしても、なりすまし指示によって形式上クリアされてしまった
はてなが外部専門家を交えた調査を継続しているのは、この点の事実確認も含まれているとみられます。
内部統制の「穴」とはどこにあったのか?
内部統制とは、ミスや不正を防ぐために企業が整備するルールや仕組みのことです。銀行振込における「複数人承認(マルチシグ)」はその代表例です。
今回の事案では、4月20日の時点で不審送金があったにもかかわらず、翌21日も送金が実行されています。リアルタイムで送金を監視し、異常を検知するモニタリングが機能していなかったと言わざるを得ません。エンジニアとして「バグを出さない」文化を持つIT企業でも、バックオフィスの運用に同じ水準の厳密さが求められていたかどうか、問い直す必要があります。
ITエンジニア企業でなぜバックオフィスが無防備だったのか?
IT企業は、プロダクトのセキュリティには高い意識を持ちます。しかし、資金管理の内部統制は別の話です。
「システムを守る」ことと「会社の口座を守る」ことは、まったく異なるスキルと仕組みを必要とします。エンジニアリング視点で「ゼロトラスト(何も信じない)」を徹底できていても、バックオフィスの送金フローに同じ発想が適用されていなければ、今回のような結果になりえます。
CEO詐欺の代表的な手口パターンとは?
CEO詐欺の手口は年々多様化しています。「メールを気をつければいい」だけでは、防ぎきれない局面が増えています。
メール・SNS誘導型の手口とは?
最も基本的な手口は、社長名義の偽メールを送って指示に従わせるパターンです。典型的なメール文例はこのようなものです。
件名:至急対応をお願いします
From:[社長の表示名] <no-reply@example.net>
今、外出先で電話が難しい状況です。
取引先への決済として、今日中に以下の口座へ送金をお願いします。
金額:〇〇円
口座:□□□□
詳細は後で説明します。他の人には話さないでください。
「秘密にしてほしい」「急いでいる」「電話できない」の3点が揃っているメールは、CEO詐欺の典型的なパターンです。受信者に確認する時間を与えず、孤立させることで判断を誤らせます。
LINEグループを悪用した「ニセ社長詐欺」とは?
2025年末から国内で急増しているのが、LINEを使った手口です。最初にメールで「新しいプロジェクトのためLINEグループを作ってほしい」と社長名で指示が来ます。LINEグループができると、そこで口座残高を聞き出し、「決済資金を至急送金してほしい」と要求してきます。
LINEはメールセキュリティフィルタを通らないため、企業のIT部門による監視をすり抜けやすいのが問題です。2025年12月中旬以降、東京都内の43社で確認され(2026年1月19日時点)、14社が計約6億7,000万円の被害を受けたとされています(毎日新聞報道)。
ディープフェイク・音声クローニングを使った手口とは?
さらに巧妙な手口として、AIを使った「声の偽装」が海外で確認されています。2024年には香港の多国籍企業で、CFOや同僚を装ったディープフェイク映像のビデオ通話に参加させられ、約2,500万ドル(約37億円)が送金された事件が報告されています。
国内でも、経営幹部の音声をAIでクローニングし、電話で緊急送金を指示するケースの報告が増えています。「本人の声だから信じた」という被害者の心理を突く手口であり、音声や映像だけでは本物かどうか判別が難しくなっています。
日本国内でのCEO詐欺被害はどのくらい広がっているのか?
CEO詐欺は海外の話ではありません。日本国内でも、ここ数年で急激に被害が広がっています。
2025年末からなぜ急増したのか?
IPA「情報セキュリティ10大脅威2026」でも、ビジネスメール詐欺は組織向け脅威の第10位にランクインしており、2018年以降9年連続でトップ10圏内に入っています。
2025年末から急増した背景の1つは、AIを使ったメール文面の自動生成です。従来、日本語の自然な文章を作るには攻撃者に一定の手間がかかっていました。AIの普及により、精度の高い日本語メールを大量生成できるようになったため、攻撃対象が大企業から中小企業まで広がっています。
業種・規模を問わず被害が出ている理由とは?
トレンドマイクロの調査では、新たなCEO詐欺メールが国内少なくとも6,000以上の法人組織に送付されており、業種は建築・サービス業・製鉄・商社など多岐にわたります。従業員数万人の大企業から、数人規模の小さな会社まで、規模を問わず攻撃が確認されています。
攻撃者にとってのコストが下がったのが理由です。一般的なBECでは、標的企業の調査に時間がかかるため大企業が狙われやすい傾向がありました。AIを使えば調査・文面作成の手間が大幅に削減されるため、中小企業も等しく標的になります。
過去の主要な国内被害事例とは?
日本国内でも過去に複数の著名な被害事例があります。
| 年 | 企業・概要 | 被害額 |
|---|---|---|
| 2017年 | 日本の大手航空会社(JAL)取引先になりすましたBEC | 約3億8,000万円 |
| 2019〜2021年 | 複数組織へのCEO詐称メール連続攻撃 | 非公開 |
| 2026年 | 株式会社はてな・虚偽の送金指示 | 最大約11億円 |
今回のはてな事案は、被害額が従来の国内事例を大きく上回る規模であり、上場中堅企業がこれほどの被害を受けた事例として特に注目されています。
上場中堅企業が狙われやすい理由とは?
大企業でも中小企業でもなく、「上場中堅企業」が特に狙われやすい構造的な理由があります。
大企業より防御が薄い構造的な理由とは?
大企業には専任のセキュリティチームがあり、送金フローにも複雑な承認プロセスが整備されています。一方で、小規模な会社は送金額そのものが小さいため被害が限定されます。
上場中堅企業はその中間にあります。手元現金は十分にありながら、セキュリティ・内部統制への投資は大企業ほど手厚くないという状態になりやすいのです。はてなは直近の決算で約17億7,900万円の現預金を持っており、攻撃者にとって「狙う価値がある規模」に映ります。
公開情報から攻撃者が何を調べているのか?
上場企業は有価証券報告書・決算短信・適時開示など、財務情報を公開する義務があります。つまり攻撃者は、手元資金の規模・決算期・組織体制を無料で調べることができます。
攻撃者が事前に確認できる情報の例は以下のとおりです。
- 代表取締役・役員の氏名(公式サイト・開示書類)
- 現預金の残高・規模(決算短信)
- 決算期・業績のタイミング(決算カレンダー)
- 事業内容・取引先のパターン(プレスリリース・IR)
資金力と内部統制のアンバランスが招くリスクとは?
「お金はある、でも守る仕組みが追いついていない」という状態は、攻撃者から見ると「鍵のかかっていない金庫」に映ります。
上場企業として一定のIR開示義務を果たしながら、バックオフィスの内部統制強化が後回しになっているケースは少なくありません。事業成長・プロダクト開発に資源を集中させてきたIT企業ほど、この傾向が出やすいとも言えます。
被害に遭ったとき、最初に何をすべきか?
万が一、送金してしまった場合でも、行動次第で被害の一部を回収できる可能性があります。スピードが重要です。
送金完了後に取れる資金回収手段とは?
送金後の対応で最も重要なのは、時間との勝負です。口座が凍結される前に資金が引き出されてしまうと、回収がほぼ不可能になります。
- 振込直後:送金した銀行に連絡し、取消・組み戻し依頼を出す
- 振込先口座の凍結依頼:被害発生銀行・振込先銀行の双方に連絡
- 警察への届け出:サイバー犯罪相談窓口への早期相談
送金完了後は数時間以内の対応が回収確率に直結します。
警察・金融機関への連絡はいつ・どう行うか?
まず、送金に使った銀行(自社の取引銀行)に電話し、「詐欺による不正送金があった」と伝えます。次に、振込先銀行にも同様に連絡し、口座凍結を依頼します。それと並行して、警察(各都道府県警のサイバー犯罪相談窓口)に被害を届け出ます。
はてなの場合も、従業員が気づいた当日に警察へ連絡し、会社として被害確認後ただちに警察相談と金融機関への連絡を行っています。初動の速さは被害拡大の防止にも直結します。
「振り込め詐欺救済法」は使えるのか?
日本には「振り込め詐欺救済法(犯罪利用預金口座等に係る資金による被害回復分配金の支払等に関する法律)」があります。この法律に基づき、詐欺に使われた口座が凍結・失効した後に残高が被害者への分配金として支払われる仕組みがあります。
ただし、海外口座への送金が行われていた場合は、この救済制度の適用が非常に困難です。国内口座でも、凍結前に引き出されてしまうと分配できる残高がなくなります。予防措置が最優先である理由はここにあります。
個人・中小企業が今すぐ導入できる対策とは?
高価なセキュリティツールを導入しなくても、明日から変えられる運用ルールがあります。
送金指示の「口頭・電話確認ルール」の作り方とは?
最も効果的な対策の1つは、「メールや文字メッセージだけでの送金指示には従わない」というルールを社内で明文化することです。
具体的には以下のようなルールが有効です。
- 一定金額(例:50万円)以上の送金指示は、必ず別の方法(電話・直接確認)で本人確認を行う
- 確認する番号は、指示メールに書かれた番号ではなく、社内の既知の連絡先を使う
- 「秘密にしてほしい」「急いでいる」「電話できない」の3点が揃ったら一時停止する
文章で指示が来ても、電話で確認できた送金だけを実行するというシンプルなルールが、多くのCEO詐欺を防ぎます。
複数人承認(マルチシグ)体制をどう整えるか?
一人の担当者が単独で送金操作を完結できる状態を変えることが、内部統制の核心です。
- ネットバンキングの設定見直し:送金に2名以上の承認が必要な設定に変更する
- 承認上限額の設定:一人が単独で承認できる金額に上限を設ける
- 週末・休日をまたぐ緊急指示はデフォルト拒否:確認が甘くなるタイミングを防ぐ
銀行のネットバンキングサービスには、複数担当者による承認設定が用意されていることが多いです。設定していない場合は、今すぐ見直す価値があります。
不審なメール・SNS指示を見抜くチェックポイントとは?
以下のチェックリストで、怪しい指示を事前に見抜く目を養うことができます。
| チェック項目 | 確認方法 |
|---|---|
| 差出人アドレスのドメインが正確か | メールアドレスの @ 以降を1文字ずつ確認 |
| 緊急性・秘密性の強調がないか | 「至急」「他言無用」「今日中に」の組み合わせに注意 |
| 電話での確認ができる状況か | 送金前に必ず既知の番号へ電話 |
| 口座番号に変更がないか | 過去の取引記録と照合する |
| LINEやプライベートなアプリへの誘導がないか | 業務上の指示はメールや社内ツールで行うのが原則 |
経営者が社内ルールとして整備すべき仕組みとは?
経営者や管理職の方に向けて、組織として整備すべきポイントをまとめます。従業員個人に「気をつけろ」と言うだけでは限界があります。
緊急送金指示への「原則拒否ルール」とは?
「緊急の送金指示は、まず一時停止して確認する」というルールを社内文書として明文化することが重要です。
「緊急」を理由に承認プロセスをスキップさせることを、会社として認めないというルールです。「本当に緊急なら経営者が自ら電話してくる」という前提を社内で共有するだけで、従業員が一人で判断しなければならない状況を減らせます。
リアルタイム資金モニタリングの具体的な導入方法とは?
取引銀行のサービスとして、一定金額以上の送金があった際に経営者や管理部門に通知が届くアラートサービスが提供されているケースがあります。まず取引銀行に問い合わせることが最初のステップです。
設定できる具体的な仕組みとしては以下があります。
- 高額送金時の即時メール・SMS通知
- ネットバンキングへのログインアラート
- 口座残高の変動モニタリング設定
はてな事件では1日目に誰も気づかず2日目も送金が続いていました。このアラートがあれば、最低でも2日目の送金は止められた可能性があります。
従業員教育・訓練メールの活用方法とは?
知識として「CEO詐欺がある」と知っていても、実際の怪しいメールに直面すると判断が鈍ることがあります。
有効なのは、実際に偽のフィッシングメールを社内で送って訓練する「メール訓練」です。訓練メールにひっかかった従業員を責めるのではなく、「どういうメールに注意すべきか」を学ぶ機会として活用します。IPAもこのような訓練の実施を推奨しており、外部のセキュリティ会社がサービスとして提供しています。
はてな事件が企業経営に示す教訓とは?
今回の件は、はてな固有の問題ではありません。同規模・同業態の企業が同じリスクにさらされている、という事実として受け止める必要があります。
セキュリティ投資の優先順位をどう見直すべきか?
多くのIT企業が、サービスのセキュリティやサーバー保護には投資しています。しかし、「会社のお金を守る仕組み」への投資は後回しになりがちです。
サービスのセキュリティインシデントは顧客や評判に影響します。しかし、資金流出はそれ以上に経営の根幹を直撃します。バックオフィスの内部統制強化も、れっきとしたセキュリティ投資として優先度を設定すべき時期に来ています。
「プロダクト安全」と「資金管理」は別の課題である理由とは?
今回の事件で改めて明確になったのは、「システムを守ること」と「資金を守ること」はまったく別の課題だという事実です。
エンジニアリングには「コードレビュー」「テスト」「ゼロトラスト設計」などの厳格な文化があります。しかし送金フローには「上司に言われたから振り込む」という人間的な意思決定が介在します。同じ「守る」でも、対象が違えば必要な手段もまったく異なります。
今後の捜査・業績への影響はどうなるか?
はてなは「損失額は今後の捜査および回収状況により変動する可能性がある」としています。確定した段階で特別損失として計上される予定で、通期業績予想への影響は現在精査中です。
個人情報・顧客情報の流出については、4月24日時点で「確認されていない」とされていますが、外部専門家による調査は継続しています。捜査の進展や追加の公表があれば、この記事も随時更新します。
よくある質問(FAQ)
CEO詐欺とビジネスメール詐欺(BEC)は同じものですか?
BEC(ビジネスメール詐欺)は、企業を狙った偽メールによる不正送金詐欺の総称です。CEO詐欺はその中でも、社長・CEOなど経営層になりすます手口を指します。CEO詐欺はBECの一種であり、BECの方が広い意味を持つ言葉です。
一度送金してしまったお金は戻ってきますか?
送金直後に金融機関へ連絡し、口座凍結が間に合えば回収できる可能性があります。日本では「振り込め詐欺救済法」に基づいた分配制度もありますが、海外口座への送金や凍結前の引き出しがあった場合は回収が非常に難しくなります。いずれにせよ、気づいた時点での即時行動が最重要です。
メールセキュリティを導入すれば防げますか?
完全には防げません。CEO詐欺はマルウェアや不審なURLを使わないため、技術的なフィルタリングをすり抜けることがあります。DMARC・DKIM・SPFなどのメール認証設定との組み合わせで検知精度は向上しますが、最終的な防御ラインは「送金前の口頭確認ルール」などの運用面になります。
中小企業も狙われますか?
狙われます。AIの普及により、攻撃者のコストが下がったため、大企業だけでなく中小企業も攻撃対象に含まれています。特に、ネットバンキングで管理者1人が全権を持っている状態の企業は、承認フローの強化が急務です。
怪しい送金指示メールを受け取ったらどうすればよいですか?
まず送金せず、一時停止することが最初の行動です。次に、メールに書かれた連絡先ではなく、社内で既に把握している番号・手段で差出人に直接確認します。確認が取れるまでは、どんなに「急いで」「秘密で」と言われても送金しないことが原則です。
まとめ
はてなで発生した最大約11億円の資金流出事件は、CEO詐欺(BEC)の被害として捜査が続いています。被害の本質は、マルウェアでもシステム侵害でもなく、人間の心理と組織の承認フローの隙を突かれた点にあります。
注目すべきは、被害額そのものの大きさだけではありません。「なぜ1人の従業員が11億円を送金できたのか」「なぜ1日目に誰も気づかなかったのか」という問いに、多くの企業が自社を重ねて考える必要があります。送金承認のマルチシグ設定、リアルタイムアラートの導入、口頭確認ルールの文書化は、コストをかけずに今週中にでも始められる対策です。捜査の進展は今後も注視されますが、経営者・経理担当者として今日から動ける一手を先に打っておくことが重要です。
参考文献
- 「資金流出事案の発生に関するお知らせ」- 株式会社はてな(適時開示)
- 「はてな、虚偽の送金指示で最大11億円の資金流出」- Impress Watch
- 「はてな、11億円の資金流出 振り込め詐欺か」- ITmedia NEWS
- 「はてなで「CEO詐欺」事案か? 最大約11億円の資金流出」- INTERNET Watch(Yahoo!ニュース)
- 「ビジネスメール詐欺(BEC)最新動向 1件で1億円超の被害も、「本人確認」で対策」- unitis(ラック)
- 「社長を騙りLINEに誘導する「CEO詐欺」の手口を解説」- トレンドマイクロ
- 「CEO詐欺とは?手口・被害事例・企業が今すぐ取るべき対策を解説」- ALSOK デジタルセールス
- 「情報セキュリティ10大脅威2026」- IPA(独立行政法人情報処理推進機構)
- 「ビジネスメール詐欺(BEC)対策特設ページ」- IPA
- 「ビジネスメール詐欺に注意!」- 警察庁