先日、Chatworkから全ユーザー向けに「なりすまし・フィッシング詐欺への注意喚起」メールが届きました。
Chatworkの正式な注意喚起によると、Chatwork上で実在する企業や担当者になりすまし、フィッシングサイトに誘導したり、不正な送金を要求する詐欺が確認されているとのことです。
最後までお読みいただき、対策を講じてください。
ビジネスチャットが狙われる理由
メール詐欺(BEC)は以前から問題でしたが、最近はビジネスチャットツールにも攻撃の矛先が向いています。
- チャットは「信頼の空間」:メールより警戒心が低く、URLをクリックしやすい
- 即時性:「至急対応してください」と言われると、確認する間もなく動いてしまう
- アカウント乗っ取り:フィッシングでID/パスワードを盗まれると、本人のアカウントから詐欺メッセージが送られる
- 中小企業はセキュリティが甘い:多要素認証(MFA)を設定していない企業が多い
Chatworkに限らず、Slack、Microsoft Teams、LINE WORKSなど、どのビジネスチャットでも同じリスクがあります。
実際にどんな手口なのか
Chatworkの注意喚起と、私たちが実際に相談を受けたケースを踏まえると、主な手口は以下の通りです。
手口1:取引先になりすまして送金を要求
攻撃者が取引先の担当者になりすまし、「振込先が変わりました」「至急この口座に振り込んでください」とメッセージを送ります。チャットだと「本人からの連絡だ」と信じやすく、電話確認をせずに振り込んでしまうケースが後を絶ちません。
手口2:フィッシングURLでログイン情報を盗む
「システムのアップデートが必要です」「セキュリティ確認のためログインしてください」といったメッセージとともに、本物そっくりの偽ログインページへ誘導されます。ここでIDとパスワードを入力すると、アカウントが乗っ取られます。
手口3:乗っ取ったアカウントから社内に拡散
一人のアカウントが乗っ取られると、そのアカウントから社内の他のメンバーに詐欺メッセージが送られます。「信頼できる同僚からのメッセージ」なので、さらに被害が広がります。
中小企業が今すぐやるべき3つの対策
対策1:多要素認証(MFA)を全アカウントに設定する
これが最も効果的で、最も簡単な対策です。Chatworkはもちろん、Slack、Google Workspace、Microsoft 365など、すべてのビジネスツールで多要素認証を有効にしてください。
パスワードが盗まれても、MFAがあれば不正ログインを防げます。設定は5分で終わります。今日やりましょう。
対策2:「振込先変更」「至急送金」は必ず電話で確認する
チャットやメールで振込先の変更依頼が来たら、そのメッセージには返信せず、必ず電話で本人に確認してください。これだけで送金詐欺の大半は防げます。
社内ルールとして明文化し、全社員に周知することが重要です。
対策3:不審なURLはクリック前にアドレスを確認する
リンクにマウスを乗せて(スマホなら長押しして)、URLのドメインが正しいか確認してください。
- 正規:
chatwork.com - 偽物:
chatw0rk.com、chatwork-login.com、chatwork.xyz
少しでも怪しいと思ったら、クリックせずにIT担当者や上長に報告しましょう。
「うちは大丈夫」が一番危ない
私はこれまで2,000件以上のWordPressサイトをハッキング被害から復旧してきました。被害に遭った企業の9割が「まさかウチが」と言います。
サイバー攻撃は、大企業だけを狙うものではありません。むしろセキュリティ対策が手薄な中小企業こそ、攻撃者にとって「おいしいターゲット」です。IPA(情報処理推進機構)の調査でも、中小企業の約2割がサイバー攻撃の被害を経験しています。
さらに2026年度末からは、経済産業省の「サプライチェーン強化に向けたセキュリティ対策評価制度」が運用開始されます。取引先から「セキュリティ対策の証明」を求められることになりそうなので、しっかりチェックしましょう。
まとめ:今日から始められること
| 対策 | コスト | 所要時間 |
|---|---|---|
| 全アカウントにMFAを設定 | 無料 | 5分/人 |
| 「振込先変更は電話確認」ルールを策定 | 無料 | 30分 |
| URLの確認方法を社員に周知 | 無料 | 15分 |
3つとも無料で、今日中に実施できます。「明日やろう」ではなく、この記事を読んだ今、すぐに手を動かしてください。
もし「自社のセキュリティ対策が十分か分からない」「何から手をつければいいか分からない」という方は、お気軽にご相談ください。無料のセキュリティ診断で、御社の現状と優先すべき対策をお伝えします。
無料セキュリティ診断のご案内
WPレスキューでは、WordPress・Webサイトの無料セキュリティ診断を実施しています。脆弱性スキャン・SSL診断・セキュリティヘッダー診断の結果をPDFレポートにまとめ、翌日までにお届けします。
株式会社ネクスト・アクション 代表取締役 数藤圭介
WordPress保守・セキュリティ事業「WPレスキュー」運営。ハッキング被害からの復旧実績2,000サイト以上。
