サイバー詐欺がランサムウェアを上回った日—攻撃者は「暗号化」ではなく「送金フロー」を狙います

今日の深掘りポイント

• 企業が最も恐れるサイバー脅威がランサムウェアから「詐欺・フィッシング」へと主役交代しています。狙いはデータではなく、あなたの支払いプロセスと信用です。
• AIが詐欺の採算性を押し上げ、BEC（ビジネスメール詐欺）や請求書すり替え、深偽音声などの社会工学系手口が高精度・低コストで回り始めています。
• これまで以上に「財務・購買プロセス」と「アイデンティティ管理」が防衛の要です。DMARCは必要ですが十分条件ではありません。二者承認と正規回線でのコールバックは依然として最強です。
• SOCは「侵入検知」だけでなく「送金不正の早期発見・資金回収」の運用力がKPIになります。メールボックスルール、外部転送、MFA疲労などの検知を当たり前にします。

はじめに

世界経済フォーラム（WEF）の「Global Cybersecurity Outlook 2026」が示したのは、現場の肌感覚とぴたり一致する転換点です。ビジネスリーダーの最重要懸念がランサムウェアからサイバー詐欺（フィッシング、請求書すり替え、BECなど）へと移り、詐欺の被害・露出が記録的水準にあると報告されています。公開報道によれば、ビジネスリーダーの多くがサイバー詐欺の増加を体感し、周囲での被害発生も高い比率で認識されています。フィッシングが最も一般的な入口であり、AI関連の脆弱化・攻撃増加も無視できないテーマになっています。これらは単なる技術の話ではなく、経営・財務・法務を巻き込む「事業運営リスク」そのものです。

出所はWEF本体の報告書ですが、現時点で公開報道としてまとまっているのは下記の二次情報です。詳細は一次ソースの完全版公開後に精査が必要ですが、方向性はもはや明確です。

• 参考（報道）: Infosecurity Magazine: Fraud Overtakes Ransomware as Top Cyber Threat for Business Leaders – WEF Outlook 2026

深掘り詳細

ファクト（報道ベースの事実）

• サイバー詐欺（フィッシング、請求書詐欺、BECなど）がビジネスリーダーの最重要懸念としてランサムウェアを上回ったと報じられています。
• 多くのリーダーがサイバー詐欺の増加と身近な被害の発生を認識しています。フィッシングは最も一般的な侵入起点で、社内の誰かが影響を受けたとする認識が広がっています。
• AIの影響についても、昨年に関連脆弱性・攻撃の増加を経験したという声が強く、攻撃側の社会工学の精度向上とスケール化が警戒点になっています。
• これらは技術単体ではなく、支払い・購買・契約といった業務プロセスの弱点に突き刺さる性質を持ちます。

（注）上記の具体比率はWEF報告書に基づくとされますが、本稿では公開報道に依拠しています。一次報告書の入手後に組織内で原典精査をお願いします。

インサイト（編集部の考察）

• 犯罪経済性の観点では、詐欺は「短い攻撃鎖で直接換金でき、交渉も不要」という利点があり、検知・封じ込めが成熟したランサムウェアよりも期待収益と成功確率のバランスが良くなっています。AIにより説得力・個別最適化・オペレーション自動化が低コスト化し、詐欺のROIがさらに改善しています。
• DMARC/SPF/DKIMはなりすまし送信の抑止に有効ですが、供給者や取引先の正規アカウント乗っ取り（ATO）で会話を乗っ取られると効きません。メール技術対策だけに寄せるのではなく、支払いプロセスの二者承認・正規ルートでのコールバック認証・口座変更の保留期間といった「業務統制」を前面に据える必要があります。
• 経営面では、サイバー詐欺は「損益計算書に直結するリスク」です。可用性や機密性の侵害だけでなく、資金流出や取引先の信用毀損に直撃します。CISOがCFO・購買責任者と同じテーブルで「決済不正の管理KPI」を共有することが、セキュリティ投資の説得力を高めます。
• メトリクスを総合すると、新規性は特段高くない一方で、発生確率と信頼性は高く、かつ組織にとって行動可能な打ち手が明確なテーマです。つまり「今すぐ進めて費用対効果が出やすい」領域です。初動は技術購買ではなく、既存プロセスの締め直しから始めた方が速く効きます。

脅威シナリオと影響

以下は想定に基づく仮説シナリオです。実環境に合わせてMITRE ATT&CKの技法を運用ログにマッピングし、検知・阻止・対応フローを具体化してください。

• シナリオA：供給者アカウント乗っ取りを起点とする請求書すり替え（Conversation Hijacking）

  • 進行像（仮説）:
    1. 攻撃者が公開情報や漏えいデータから経営層・財務担当の関係性を調査（Recon: T1589, T1591, T1598）です。
    2. ベンダーのM365アカウントをフィッシングで奪取（Initial Access: T1566.002/003、Valid Accounts: T1078、MFA疲労誘発: T1621）です。
    3. メールボックスに転送・隠蔽ルールを作成し、見積・請求の会話を継続（Persistence/Defense Evasion: T1098, T1114、Masquerading: T1036）です。
    4. 請求書の口座情報だけを差し替え、既存スレッドで支払い督促（Impersonation: T1656）です。
    5. 二者承認が弱い組織で送金を完了、資金は多段階でミュール口座へ分散します。
  • 影響（仮説）:
    • 直接的な資金流出、取引先との不信、監査指摘、サプライチェーンの混乱が連鎖します。早期に銀行へRecallをかけられるかが金額回収の分水嶺になります。

• シナリオB：CEO深偽音声＋緊急送金要請（「今すぐ払って」コンボ）

  • 進行像（仮説）:
    1. 役員の声・話しぶりをSNS/公開動画から学習（Recon: T1589, T1591）です。
    2. Teams/電話で経理責任者に緊急支払を指示、同時にメールで「正式な指示書」を送付（T1566.003, T1656）です。
    3. 時差・決算期・上長不在など現場の脆弱なタイミングを狙い、承認プロセスをバイパスします。
  • 影響（仮説）:
    • 内部統制の逸脱記録が残り、内部監査・外部監査対応に波及します。役員なりすましは企業文化への心理的ダメージも大きいです。

• シナリオC：人事・給与ポータルの口座変更（Payroll Diversion）

  • 進行像（仮説）:
    1. フィッシングで従業員の資格情報を入手（T1566.*、T1078）です。
    2. HRシステムへログインし口座情報を変更（Account Manipulation: T1098、Account Discovery: T1087）です。
    3. 給与支払い日に資金が詐取口座に着金します。
  • 影響（仮説）:
    • 従業員への支払い遅延、労務問題、追加支払による損失が発生します。

参考（MITRE ATT&CK技法の代表例）:

• Phishing: T1566
• Valid Accounts: T1078
• MFA Request Generation（プッシュ疲労）: T1621
• Account Manipulation: T1098
• Email Collection: T1114
• Impersonation: T1656

セキュリティ担当者のアクション

「詐欺の時代」の初動は、ツール購買ではなくプロセスの再設計から始めるのが一番速く効きます。90日プランの叩き台として整理します。

• 0–30日：まず止血する

  • 支払いプロセス
    • 送金・口座変更は「二者承認＋正規回線コールバック（既存台帳の番号にのみ）」を必須化します。Teams/メールの番号は使用禁止にします。
    • 高額・海外送金には保留期間（例：24–48時間）を設定し、リスク評価で短縮可とします。
  • アイデンティティ/メール
    • 財務・購買・経営陣のアカウントにフィッシング耐性MFA（FIDO2/パスキー）を優先適用します。SMS/音声MFAは段階的廃止します。
    • 外部自動転送の禁止、危険国からのログイン制限、旧式プロトコルの遮断を実施します。
    • 直近90日のメールボックスルール監査（転送/削除/仕分け）を全社一斉で行います。
  • 検知・対応
    • BEC用ランブックを整備し、銀行への即時連絡（着金先銀行・回収窓口）や法執行機関への通報手順を明文化します。ゴールデンタイムを逃さない運用にします。
    • 監視ダッシュボードに以下のシグナルを追加します（ルール名や実装は各環境に合わせてください）。
      • 短時間の多要素プッシュ要求連打の検出（T1621）です。
      • 新規Inbox Rule作成（外部転送/自動削除/特定語句の隠蔽）です。
      • Impossible Travel/匿名化VPNからの初回サインインです。
      • OAuth同意の新規付与と高権限アプリの検知です。

• 31–60日：仕組みを固める

  • メール認証の最終化（SPF/DKIM/DMARC p=reject）とMTA-STS/TLS-RPTの適用を進めます。DMARCはなりすまし抑止であり、アカウント乗っ取り対策ではない点を経営に説明します。
  • 取引先ベンダーの登録・口座変更フローを「ポータル主導＋コールバック検証」に統合します。メール起点の口座変更依頼は閉じます。
  • 役員・経理向けに「深偽音声/動画」対策のロールベース教育を実施し、合言葉式の本人確認手順を導入します。

• 61–90日：継続運用とKPI化

  • ドメイン監視（そっくりドメイン取得・なりすまし送信・サプライヤーの侵害兆候）を導入し、レジストラ/ホスティングへのテイクダウン運用を確立します。
  • ファイナンス/SOC統合KPIを設定します。
    • 例）口座変更のコールバック実施率、外部転送ルールの検出から無効化までの平均時間、BEC疑い発生から銀行連携までの平均時間、決済関連VIPのFIDO2普及率です。
  • サプライチェーンの実地演習（ベンダー侵害を想定した請求書すり替えテーブルトップ）を、購買・財務・法務と合同で実施します。

• 追加の設計観点

  • セグメント化された支払い口座（高額決済専用口座）や、送金制限の段階設定（新規口座への上限）を金融機関側のサービスで活用します。
  • サイバー保険の「社会工学/送金詐欺」特約の要件（コールバック義務・二者承認・DMARC実装など）を確認し、実態に合わせてギャップを埋めます。
  • LLM/音声合成の悪用に備え、採用するAI検知ツールは「誤検知時の業務遅延コスト」を含めてPoC評価します。AIは補助輪であり、最後はプロセスの堅牢性がものを言います。

最後に一言です。詐欺は人の温度に入り込みます。だからこそ、対策も人とプロセスに温度を取り戻すことから始めるのが近道です。正規回線の一本の電話、二人の目、半日の保留。派手ではありませんが、最も強い盾になります。

参考情報

• 報道: Infosecurity Magazine – Fraud Overtakes Ransomware as Top Cyber Threat for Business Leaders (WEF Outlook 2026)
• MITRE ATT&CK（代表技法）: T1566 Phishing, T1621 MFA Request Generation, T1098 Account Manipulation, T1114 Email Collection, T1078 Valid Accounts, T1656 Impersonation