なりすまし送金詐欺で11億円が消えた——はてな事件が経営者に突きつける5つの問い

朝、銀行から電話が鳴った日

火曜の朝。経理担当者のデスク。鳴り響く一本の電話。発信元は取引銀行。

「先週末の送金、内容を確認させてください」。

担当者の手が止まる。送金先のリスト。覚えのない口座番号。最大約11億円。すでに、海の向こうへ流れた後。

——これは寓話ではない。2026年4月24日、東証グロース上場の株式会社はてな（証券コード3930）が適時開示した「資金流出事案」の実話である。

「うちは大企業じゃないから関係ない」。本当にそう言い切れますか？「経理は二重チェックしてるから大丈夫」。その二重チェック、AIで合成された上司の声にも耐えられますか？

この記事では、はてな事案の解像度を上げながら、経営者が今日中に手を打つべき5つのチェックポイントを具体的に書く。情シスの話ではない。経営の話である。

はてなで何が起きたのか——適時開示が語る11億円の輪郭

まず、事実関係を一次ソース（はてな自身の適時開示PDF）からだけ拾う。憶測は混ぜない。

当社従業員が悪意ある第三者からの虚偽の送金指示を受け、これに基づき送金を行った結果、当社から資金が流出いたしました。（株式会社はてな 2026年4月24日付「資金流出事案の発生に関するお知らせ」より）

時系列を整理する。

• 2026年4月20日・21日：当該従業員が「虚偽の送金指示」に従い、複数回にわたり送金を実行
• 4月21日：取引先銀行から「不審な送金」連絡が入り発覚。従業員自ら警察へ通報
• 4月24日：適時開示で公表。被害額は「最大約11億円」（同日時点）
• 代表取締役社長（栗栖義臣氏）を本部長とする対策本部を設置。独立した外部専門家（弁護士等）による事実調査が進行中

ここで一つ覚えておきたい数字。はてなの2025年7月期 当期純利益は約2.3億円（決算短信ベース）。当期利益のおよそ4.7倍が、たった2日で消えた可能性がある——この重みです。

東証の適時開示ルールでは「業務遂行の過程で生じた損害」について、連結純資産の3％または経常利益・純利益の30％相当を超えると開示義務が発生する。11億円はこのラインを軽々と越える。だから即座に開示された。透明性の判断としては、極めてまっとう。

ただし、ここで一つ強調しておきたい。はてな社自身は本件を「CEO詐欺」「BEC（ビジネスメール詐欺）」とは断定していない。報道では「CEO詐欺の手口に酷似」と表現されることがあるが、本稿でも「報道で『CEO詐欺』と呼ばれる類型の手口」と区別して扱う。事実認定は調査の結果を待つべき領域。

なぜ今、AI時代に”なりすまし送金詐欺”が増えるのか

ここからが構造の話。

IPA（情報処理推進機構）が毎年公表する「情報セキュリティ10大脅威 2026」組織編で、ビジネスメール詐欺（BEC）は10位にランクイン。2018年から9年連続選出という長寿ランカー。「AIの利用をめぐるサイバーリスク」は2026年版で3位に初選出された（IPA公式発表）。

世界の数字はもっと痛い。

FBI IC3（インターネット犯罪苦情センター）の2024年次報告書によれば、ビジネスメール詐欺の苦情件数は21,442件、損失額は約27.7億ドル（約4,300億円）。サイバー犯罪全体の損失総額は166億ドルで、前年比33%増。

なぜ増えるのか。理由は身も蓋もなく、AIで「なりすますコスト」が暴落したからです。

たとえるなら、こういうことです。昔のなりすまし詐欺は「下手な役者が変装して舞台に立つ」レベル。今は「プロのものまね芸人がスーツも声も顔も真似して、Zoomの向こうから話しかけてくる」レベル。違いは、わかりますよね。

ディープフェイク事案を3つだけ挙げる。

• 英Arup社（香港事案、2024年初頭）：エンジニアリング大手Arupの香港オフィスで、財務担当者がAIで合成されたCFOと同僚たちのビデオ会議に呼び出された。画面の中で「CFO」が送金を指示。担当者は約2億香港ドル（約2,560万米ドル＝当時レートで約40億円）を15回に分けて送金。被害発覚後、ArupはCNN等の取材に対し被害企業であることを認めた
• WPP（世界最大級の広告代理店、2024年5月）：CEO Mark Read氏のディープフェイク音声・映像がWhatsAppとMicrosoft Teams経由で使われ、幹部に偽のビデオ会議を仕掛けた事案。未遂で防がれたものの、CEO自身が社内メールで警告を発した
• Beazley（保険）公表事例：CFOがWhatsAppビデオで「CEO」のなりすましから指示を受け、2週間で香港口座に計600万米ドル超を送金

共通点は3つ。WhatsAppやTeamsなど”日常のチャットツール”で接触する。ビデオ会議で「顔と声」を見せる。「秘密案件だから他言無用」「至急の海外送金」を演出する。

つまり今の詐欺師は、メールの文面を直す努力をやめた。代わりにAIで顔と声を作って、画面の向こうから直接命令するようになった。これが「AI時代のなりすまし送金詐欺」の正体です。

経営者が今日やるべき5つのチェックポイント

ここから本筋。情シス案件ではなく経営案件として、今週中に手を動かす項目を5つに絞ります。

① 「ワンマン承認できる送金上限」を明文化しているか

社内規程を開いてみてください。1人の担当者が単独で実行できる送金上限額、即答できますか？できないなら、それが最大の脆弱点。1,000万円超は必ず2人以上の承認＋部門長の音声以外での確認を入れる。これだけで、はてな型の被害は劇的に減る。

② 「上司からの至急送金依頼」のときに必ず使う”合言葉”があるか

メールでもチャットでもビデオでもなく、事前に決めた共通質問1つ。「最後に飲み会で頼んだ料理は？」レベルでいい。AIには絶対に答えられない、お互いの記憶。これが最終防衛ライン。

ディープフェイクは「顔・声・文体」までは複製できる。しかし共有された過去の経験は複製できない。ここに最後の砦がある。

③ 海外送金・新規口座への初回送金は「24時間クーリングオフ」を制度化しているか

詐欺師は必ず「至急」と言う。理由はシンプルで、冷静になられたら詐欺は成立しないから。新規口座宛の送金は最低24時間の待機を制度化する。経営者自身が「至急」と言いたくなったときも、自分でこのルールに従う。これが効く。

④ チャットツール経由の指示を「正式指示」と認めない運用にしているか

WhatsApp、SMS、LINE、個人Teams——どれも経営の正式コマンドラインではないと社内宣言する。送金・契約・人事に関する指示は指定の社内システム経由のみ。これだけで、Arup型・Beazley型の手口は入口で止まる。

⑤ 被害発生時の「最初の30分」のシナリオを役員で握っているか

はてなの対応で評価できるのは、従業員自ら警察に通報し、3日後に適時開示まで漕ぎ着けたこと。多くの中堅企業は最初の30分で混乱して隠そうとする。銀行通報→警察通報→弁護士→開示判断、この順番を役員レベルで暗記しておく。これは机上演習でしか身につかない。

少し話が脱線するが、筆者は以前ある中小企業の経理責任者から、「社長から夜中に『至急振り込んで』とLINEが来たけど、文体が微妙に違ったので電話したら本物だった。でも文体だけが頼りなのは怖い」と聞いたことがある。文体の違和感だけが頼り、という綱渡り。それが多くの会社の現実です。

それでも完璧な防御は存在しない——という現実

正直に書く。この5つを全部やっても被害ゼロにはならない。詐欺師は常に手口を更新する。

ただし、やっている会社とやっていない会社で、被害金額の桁が変わる。Arupは40億円、Beazley公表事例は9億円超、はてなは最大11億円。これらは「気づくのが遅れた金額」です。気づくのが30分早ければ、桁は1つ下がる。

完璧を狙うな。「気づくまでの時間」を短くする設計を狙う。これがAI時代の防御の本質。

あなたの会社で、来週月曜の朝礼で何を言いますか

最後に、ひとつだけ問いを置きます。

「うちの会社で、1人の担当者が単独で振り込める金額の上限、いくらですか？」

この問いに3秒で答えられない経営者は、今週これだけはやってほしい。経理規程を開く。送金フローを見る。承認者の人数を確認する。それだけで、来週の月曜は今週とは違う月曜になる。

11億円は、対岸の火事ではない。東証グロースに上場する、ごく真っ当な企業で、ごく普通の従業員が引き起こした事故。次は誰の番か——その答えは、各社の「明文化された送金統制」が握っています。

引用元・参考資料

• 株式会社はてな「資金流出事案の発生に関するお知らせ」（2026年4月）https://ssl4.eir-parts.net/doc/3930/tdnet/2794871/00.pdf
• 株式会社はてな 決算短信（2025年7月期）https://hatenacorp.jp/information/ir
• IPA（情報処理推進機構）「情報セキュリティ10大脅威 2026」（2026年1月）https://www.ipa.go.jp/security/10threats/
• FBI Internet Crime Complaint Center「2024 Internet Crime Report」（2025年4月）https://www.ic3.gov/AnnualReport/Reports/2024_IC3Report.pdf
• CNN Business「Arup revealed as $25 million deepfake scam victim」（2024年5月）https://edition.cnn.com/2024/05/16/tech/arup-deepfake-scam-loss-hong-kong-intl-hnk/
• The Guardian「WPP CEO targeted by deepfake scam using AI voice clone」（2024年5月）https://www.theguardian.com/technology/article/2024/may/10/wpp-ceo-deepfake-scam
• Beazley「Deepfake CFO scam case study」（2024年）https://www.beazley.com/
• 日本取引所グループ JPX 適時開示制度FAQ https://www.jpx.co.jp/equities/listing/disclosure/¥