Chatworkで「なりすまし詐欺」が急増中──中小企業が今すぐやるべき3つの対策【2026年最新】

2026年3月8日

URLをコピーしました！

先日、Chatworkから全ユーザー向けに「なりすまし・フィッシング詐欺への注意喚起」メールが届きました。

Chatworkの正式な注意喚起によると、Chatwork上で実在する企業や担当者になりすまし、フィッシングサイトに誘導したり、不正な送金を要求する詐欺が確認されているとのことです。

最後までお読みいただき、対策を講じてください。

ビジネスチャットが狙われる理由

メール詐欺（BEC）は以前から問題でしたが、最近はビジネスチャットツールにも攻撃の矛先が向いています。

チャットは「信頼の空間」：メールより警戒心が低く、URLをクリックしやすい
即時性：「至急対応してください」と言われると、確認する間もなく動いてしまう
アカウント乗っ取り：フィッシングでID/パスワードを盗まれると、本人のアカウントから詐欺メッセージが送られる
中小企業はセキュリティが甘い：多要素認証（MFA）を設定していない企業が多い

Chatworkに限らず、Slack、Microsoft Teams、LINE WORKSなど、どのビジネスチャットでも同じリスクがあります。

実際にどんな手口なのか

Chatworkの注意喚起と、私たちが実際に相談を受けたケースを踏まえると、主な手口は以下の通りです。

手口1：取引先になりすまして送金を要求

攻撃者が取引先の担当者になりすまし、「振込先が変わりました」「至急この口座に振り込んでください」とメッセージを送ります。チャットだと「本人からの連絡だ」と信じやすく、電話確認をせずに振り込んでしまうケースが後を絶ちません。

手口2：フィッシングURLでログイン情報を盗む

「システムのアップデートが必要です」「セキュリティ確認のためログインしてください」といったメッセージとともに、本物そっくりの偽ログインページへ誘導されます。ここでIDとパスワードを入力すると、アカウントが乗っ取られます。

手口3：乗っ取ったアカウントから社内に拡散

一人のアカウントが乗っ取られると、そのアカウントから社内の他のメンバーに詐欺メッセージが送られます。「信頼できる同僚からのメッセージ」なので、さらに被害が広がります。

中小企業が今すぐやるべき3つの対策

対策1：多要素認証（MFA）を全アカウントに設定する

これが最も効果的で、最も簡単な対策です。Chatworkはもちろん、Slack、Google Workspace、Microsoft 365など、すべてのビジネスツールで多要素認証を有効にしてください。

パスワードが盗まれても、MFAがあれば不正ログインを防げます。設定は5分で終わります。今日やりましょう。

対策2：「振込先変更」「至急送金」は必ず電話で確認する

チャットやメールで振込先の変更依頼が来たら、そのメッセージには返信せず、必ず電話で本人に確認してください。これだけで送金詐欺の大半は防げます。

社内ルールとして明文化し、全社員に周知することが重要です。

対策3：不審なURLはクリック前にアドレスを確認する

リンクにマウスを乗せて（スマホなら長押しして）、URLのドメインが正しいか確認してください。

正規：chatwork.com
偽物：chatw0rk.com、chatwork-login.com、chatwork.xyz

少しでも怪しいと思ったら、クリックせずにIT担当者や上長に報告しましょう。

「うちは大丈夫」が一番危ない

私はこれまで2,000件以上のWordPressサイトをハッキング被害から復旧してきました。被害に遭った企業の9割が「まさかウチが」と言います。

サイバー攻撃は、大企業だけを狙うものではありません。むしろセキュリティ対策が手薄な中小企業こそ、攻撃者にとって「おいしいターゲット」です。IPA（情報処理推進機構）の調査でも、中小企業の約2割がサイバー攻撃の被害を経験しています。

さらに2026年度末からは、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」が運用開始されます。取引先から「セキュリティ対策の証明」を求められることになりそうなので、しっかりチェックしましょう。

まとめ：今日から始められること

対策	コスト	所要時間
全アカウントにMFAを設定	無料	5分/人
「振込先変更は電話確認」ルールを策定	無料	30分
URLの確認方法を社員に周知	無料	15分

3つとも無料で、今日中に実施できます。「明日やろう」ではなく、この記事を読んだ今、すぐに手を動かしてください。

もし「自社のセキュリティ対策が十分か分からない」「何から手をつければいいか分からない」という方は、お気軽にご相談ください。無料のセキュリティ診断で、御社の現状と優先すべき対策をお伝えします。

無料セキュリティ診断のご案内

WPレスキューでは、WordPress・Webサイトの無料セキュリティ診断を実施しています。脆弱性スキャン・SSL診断・セキュリティヘッダー診断の結果をPDFレポートにまとめ、翌日までにお届けします。

無料セキュリティ診断を申し込む

株式会社ネクスト・アクション代表取締役数藤圭介
WordPress保守・セキュリティ事業「WPレスキュー」運営。ハッキング被害からの復旧実績2,000サイト以上。

この記事を書いた人

数藤圭介

株式会社ネクスト・アクション代表取締役

パイオニア(株)にて15年間勤務後、2008年にWebコンサルタントとして独立。2014年に株式会社ネクスト・アクションを設立。WordPressセキュリティの専門家として、これまでに2,000サイト以上のハッキング復旧・セキュリティ対策を実施。中小企業のWEBセキュリティ顧問として、脆弱性診断からメール訓練、ガバナンス構築まで一貫して支援。

よかったらシェアしてね！