院長、そのメールは本物ですか？サイバー詐欺の巧妙化と対策

1.はじめに

2026年1月現在、確定申告や決算準備に追われる医療機関を狙ったサイバー攻撃が、かつてないほど巧妙化しています。
組織の代表者やeLTAX 等公的機関を騙る偽メールや、freee・MoneyForwardといった会計ソフトのログイン画面を精巧に模したフィッシングサイトの出現は、ここ一ヶ月だけでも枚挙に暇がありません。
本稿では、2025年後半から1月にかけて多く確認された事例をもとに、医院の財産と信頼を守り抜くための「経営者としての防衛策」をお伝えします。

2.経営層や公的機関の名を騙るメール

2025年12月以降異常なほど多く観測され、また多数の企業から注意喚起が出ているのが、院長や理事長の名を騙る通称「CEO詐欺」です。
スタッフに対し「至急、業務連絡用のLINE グループを作成して参加用QR コードを送るように」と指示したり、今医院に居るかと返信を求めるものなどが多く見られます。
これらは「Gmail／Outlook／hotmail」など正規のメールサービスから送信される都合上、迷惑メールフィルタをすり抜けてしまうのが特徴のひとつです。
多忙なスタッフが誤認し指示に従ってしまうことで、数千万円単位の資金が流出した事例も報告されています。

3.本物そっくりに作られた偽のログイン画面

確定申告に関連し、eLTAXや会計ソフトの偽サイトも活発化しています。最近の手口で恐ろしいのは、アプリ内ブラウザを悪用し、「URLが正常であるかのように見せかける」表示技術です。
特に、パスワードを自動入力する「パスワードマネージャー」が反応しない画面が現れたら、それは偽サイトである可能性が極めて高いと判断すべきです。
操作した覚えのない通知から届いたURLは触らず、必ずブックマーク等からアクセスするようにしましょう。

4.「うちは小規模だし狙われない」？

近年のサイバー攻撃は防御の固い大組織ではなく、その連携先である「守りの薄い小規模組織」を狙って踏み台にする「サプライチェーン攻撃」が主流です。
特にIT管理者が兼務であったり、すぐに連絡がつかない状態であることが多い小さなクリニックは、攻撃者にとって格好の「裏口」なのです。

2026年現在の法規制下では、情報漏洩が発生した場合、経営者に重い説明責任と多額の損害賠償、そして信頼失墜というリカバリーに大変な時間と労力を要する代償が課されます。
厚生労働省のガイドラインでも、セキュリティ対策は「経営者の責務」と明記されており、もはや「知らなかった」では済まされなくなっています。

5.今日から実施すべき最低限の防衛策

・メールやSMS 本文内のリンクをクリックせず、検索やブックマークからアクセスする
・メールの差出人の「メールアドレスや本文」をよく確認する
・「このタイミングでこの連絡？」と思ったら、電話やチャットなど別の手段で本人へ確認
・パスワードは13文字以上を用いて、パスキーや二要素認証を必ず設定する

これだけでも防げる脅威が数多くあります。
万が一入力してしまった場合は、気付いた時点で即時パスワードを変更するなどの対応を行い、然るべき機関へご相談下さい。

6.終わりに

医療機関もDX化が進む反面、攻撃者側も生成AI 等を使って、よりもっともらしい罠を手軽に仕掛けてきます。
いまや経営層の方々だけでなく全スタッフにリテラシーが要求される時代です。
「ん？」と感じたときに躊躇なく報告・相談できるような体制づくりもまた、大切なセキュリティ対策のひとつとなるでしょう。

参考

参考：LINE へ誘導するCEOメールの実例｜piyolog
参考：freeeを装ったフィッシング詐欺・偽サイトにご注意ください｜freeeヘルプセンター
参考：eLTAX・地方税共同機構を装ったメールやSMS、詐欺サイト等に御注意ください｜地方税ポータルシステム
参考：医療機関におけるサイバーセキュリティ対策チェックリスト（令和7年度版）｜厚生労働省

Tweet