読めば身に付くネットリテラシー
Chatworkでいきなり社長からコンタクト申請が来たら要注意! なりすまし詐欺が急増中
2026年1月23日 06:00
株式会社Kubellが提供するビジネスチャットツール「Chatwork」上で、なりすまし詐欺が発生しているとして、同社から1月14日、注意喚起が行われました。実在する人物になりすまして、口座情報を聞き出したり、現金の振り込みを要求したりするのです。今回は、こうした「Chatworkなりすまし詐欺」の手口と防御策について解説します。
経営者の権威を悪用、チャットツールの「気軽さ」も仇となって騙されてしまう
Chatworkは、ITに詳しくない人でも直感的に使える日本発のビジネスチャットツールです。社外のユーザーともセキュリティを保ちつつ簡単につながれるため、組織の枠を超えたプロジェクト進行を円滑にしたいチームにも最適です。筆者もフリーランスのライターとして、さまざまな組織とのコミュニケーションに活用しています。
Chatworkは、つながりたい相手のメールアドレスを知っていればコンタクトを申請できます。また、自身のアカウントの表示名や写真も自分で設定できます。そこで攻撃者は、企業の公式サイトやIR資料、あるいはインタビュー記事などから高品質な顔写真を入手し、実在の人物の名前を用いたり、URL欄に公式サイトを記載するなどの偽装を施しているのです。
一方、コンタクト申請を受け取る側は、その人物の正規のメールアドレスが分からないこともあるため、その申請を送ってきた相手が本物かどうか確認することが困難です。超有名人や芸能人からコンタクト申請が来たら詐欺だと疑うかもしれませんが、業務で取引を持ち掛けてきそうな相手や、実際に面識のある相手だと、騙されてしまう可能性が高まります。しかも、申請してきたのが代表取締役社長といった肩書の人だと、気軽に電話して「本物ですか」と聞くわけにもいきません。
チャットツールではメールに比べて形式ばらないコミュニケーションが許容される傾向があり、その気軽さが逆に仇となります。突然の申請であっても、相手のアカウント情報が社長の名前と顔であれば、受け取った多くの従業員や取引先は失礼があってはならないと反射的に承認ボタンを押してしまうのです。この心理的な隙こそが、今回の手口のポイントになります。
顧客との「信頼関係」を悪用され、複数の企業でなりすまし被害が発生
この手口でなりすまされた事例が確認されている企業の業態を見ると、攻撃者がそれぞれの企業が持つ「信頼」のかたちを巧みに利用していることが分かります。
例えば、PCやデジタル機器のトラブル解決サービスを全国展開する日本PCサービス株式会社は1月15日、Chatwork上でのなりすましアカウントに関する注意喚起を行いました。
顧客のオフィスや自宅を訪問するという業務の特性上、顧客との信頼関係が重要です。その社長を騙る攻撃者が取引先や一般消費者に対して「緊急のセキュリティ対策」や「返金手続き」を名目としたフィッシング詐欺を展開すれば、同社のブランド毀損に直結するだけでなく、顧客に直接的な金銭被害をもたらす恐れがあります。同社では、個人情報の悪用や情報漏えいのリスクを警告し、コンタクト承認を行わないよう注意を呼び掛けています。
また、士業事務所向けにコンサルティングを提供する株式会社アックスコンサルティングの事例では、より複雑で悪質な手口が確認されており、1月16日に注意喚起を行っています。同社は数千の士業事務所とネットワークを持っており、社長の名を騙るなりすまし詐欺を仕掛けられたときに信じてしまう会社が多数出てきても不思議ではありません。
さらに、アックスコンサルティングの事例では、Chatworkだけでなく、LINEやメールを組み合わせた多角的な攻撃が行われました。メールで「業務調整」と称してLINEグループへ誘導し、「他の人を招待しないように」と指示する手口は、閉鎖的な環境で被害者を孤立させ、洗脳的に金銭要求を行うための準備段階であると考えられます。
このように、攻撃者は単一のプラットフォームにとどまらず、複数のツールを行き来させることで被害者を撹乱し、社内チェックなどを経る正規の業務フローから逸脱させていくのです。
ラーメンチェーンを展開する株式会社魁力屋でも1月16日、注意喚起を出しています。ChatworkやLINE、Microsoft Teamsなどへの参加やグループの作成を要求しており、その際に財務担当者や関係者を招待するよう指示する内容も含まれていたそうです。
Chatworkなど単一のツールで完結させず、わざわざほかのツールへ誘導する理由はいくつかあります。まずは、企業のセキュリティ監視を避けることです。そして、個人のLINEや管理外のTeamsグループといったクローズドな環境に誘い込めれば、「極秘の企業買収案件」や「税務調査対応」といった虚偽のストーリーを信じ込ませ、誰にも相談させずに不正送金を実行させることが容易になります。QRコードを用いて誘導する手口も確認されており、URLリンクに比べてセキュリティフィルターによる解析が難しいのがネックです。
社長を名乗ってきても、即座にコンタクトを承認しないこと。別のルートで確認を
では、このネット詐欺を防御するにはどうすればいいのでしょうか。技術的な防御だけでは不十分なので、人間の心理と行動に焦点を当てた対策が必要になります。
まず、知らないアカウントからのコンタクト申請は、たとえ相手が表示名や写真で社長を名乗っていたとしても、即座に承認しないことが重要です。可能な限り、メールやチャット、電話といった「別の手段」を用いて本人確認を行うプロセスを徹底しましょう。もし、他に一切の連絡ルートがない相手から、いきなりChatworkで申請が来たのなら悩ましいところですが、そのまま保留にすることをお勧めします。
また、金銭の振り込みや契約情報の変更といった重要業務においては、チャットのみの指示で実行せず、必ず上長承認や電話確認などのダブルチェックを必須とする多要素承認プロセスを導入することで、万が一なりすまし攻撃に遭った場合でも実被害を防ぐことができます。もしも相手が「1時間以内に振り込まないと大変なことになる!」などと即断を求めてきても、そういう無茶な要求をこのご時世にする方が悪いので、意に介さないことです。
攻撃者は技術的な脆弱性だけでなく、私たちの「権威への弱さ」や「業務の慣れ」という心理的な死角を巧みに突いてきます。チャットツールの利便性は業務効率を飛躍的に向上させましたが、そこには常にリスクが隣り合わせであることを忘れてはなりません。ツール上の表示名や写真を鵜呑みにせず、重要な判断の前には必ず一呼吸置いて確認を行うことを肝に銘じておいてください。
高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。
※ネット詐欺に関する問い合わせが増えています。万が一ネット詐欺に遭ってしまった場合、まずは以下の記事を参考に対処してください
参考:ネット詐欺の被害に遭ってしまったときにやること、やってはいけないこと