中小企業が注意すべき5つの詐欺、注意を

昨年、アスクルやアサヒグループといった著名な企業のランサムウェア被害が注目を集めたが、実のところ、サイバー犯罪者は企業の規模を問わず攻撃を仕掛けている。

例えば、日本ネットワークセキュリティ協会が公開した「インシデント損害額調査レポート」2025年版によると、2017年1月から2024年6月までのサイバー攻撃の被害件数1842件のうち、中小企業が44％を占めていたという。

したがって、「うちは中小企業だから大丈夫」という言い訳は通じない。ESETが公式ブログ「The most common scams small businesses should be aware of」において、中規模・小規模企業を詐欺について伝えているので、そのポイントを紹介しよう。

中小企業や起業家を狙う詐欺のリスト　引用：ESET

フィッシング

フィッシング詐欺は、個人をだましてマルウェアをダウンロードさせたり、アカウント認証情報や銀行口座情報などの機密データを盗み出させたりする。詐欺師は信頼できる情報源を装うことが多く、期限切れのアカウントに関する警告など、偽の緊急感を演出して迅速な行動を促すという。

フィッシング詐欺には、 QRコードフィッシング、SMSフィッシング（スミッシング）、電話によるボイスフィッシング（ビッシング）など、さまざまな形態がある。

フィッシングのより高度な形態がスピアフィッシングだ。ターゲットを徹底的に調査してカスタマイズしたメッセージを用いる点を特徴としている。フィッシングと比べると、市販薬と処方薬の違いのように、スピアフィッシングはカスタマイズされ、より強力だという。

ビジネスメール詐欺（BEC）

ビジネスメール詐欺では、攻撃者が企業のCEOや財務責任者といった信頼できる人物になりすまし、従業員をだまして金銭や機密データを送金させる。請け業者やパートナーを装うこともあるという。

ESETはAIとディープフェイク技術の活用により、BECはますます説得力を持つようになっていると指摘している。

請求書や更新を悪用する詐欺

正規の仕入先やベンダーを装い、請求書を偽装して送りつける犯罪者もいる。彼らの目的は、企業をだまして、実際には購入していない商品やサービスの支払いをさせることにある。こうした請求書は、支払い承認が急がれるような忙しい環境を狙いがちだという。

また、ドメイン登録、事業許可、ソフトウェアサブスクリプションなどの更新に関する偽の通知で支払いを迫る詐欺もある。これらの通知は、公式かつ緊急のものであるかのように見せかけているので、ターゲットが確認せずに支払ってしまうことを狙っている。

Geek Squad テクニカルサポートおよび修理サービスを装った偽のサブスクリプション更新通知　引用：Reddit

法執行機関をかたる詐欺

犯罪者は、法執行機関の職員や法律専門家を装い、悪質な広告、電話、SMS、チャットメッセージなどを通じて、他の詐欺の被害者に連絡を取り、有料で支援を提供するという。

失われた資金の回収、法的助言や相談の提供、新たな訴訟の提起、あるいは被害者を偽の集団訴訟に巻き込むことを約束する場合もあるとのこと。

テクニカルサポート詐欺

企業のテクニカルサポート担当者をかたる詐欺は「テクニカルサポート詐欺」と呼ばれている。犯罪者はウイルスに感染したかのような偽の画面を表示させたり、警告音を発生させたりして、画面に表示されたサポート窓口に電話をかけさせ、機密情報を盗んだり、マルウェアをインストールしようとしたり、金銭をだましとろうとしたりする。

警察庁も「サポート詐欺対策」として、Webサイトで注意を喚起している。