全国銀行協会が2026年7月14日に公表した集計で、2026年第1四半期(1〜3月)のインターネットバンキングによる不正送金被害は204件と、前四半期の約1.8倍に急増しました。一方で被害額は約7億5100万円と前四半期からほぼ半減しています。件数は増えたのに金額は減った――この一見ちぐはぐな数字を、法人口座を預かる情シスの視点で読み解きます。
結論から言うと、法人の被害「件数」は減ったものの油断はできません。手口の中心は依然としてフィッシングとされ、1件あたりの被害額は大きくなりがちです。まず確認すべきは、社内の法人ネットバンキング運用ルール(端末分離・限度額・多要素認証)が形骸化していないかです。
この記事でわかること
- 2026年第1四半期の不正送金被害の最新数字(件数・金額・個人/法人の内訳)
- 「件数増・被害額減」が何を意味するのか
- 情シスが法人口座を守るために確認すべき運用ルールと公的指針
何が起きたのか:数字で見る2026年第1四半期
全国銀行協会が会員190行を対象に集計した、2026年1〜3月の不正送金被害の状況は次のとおりです。
| 項目 | 2026年第1四半期 | 前四半期比 |
|---|---|---|
| 被害件数 | 204件 | 約1.8倍(+77.4%) |
| 被害額 | 約7億5100万円 | 約半減(-54.6%) |
| 1件あたり平均被害額 | 約368万円 | 低下 |
| うち個人 | 184件 | 前四半期88件から倍増超 |
| うち法人 | 20件 | 前四半期27件から減少 |
ポイントは、件数の急増をけん引したのが個人である点です。個人の被害が88件から184件へ倍増した一方、法人は27件から20件へ減少しました。全体の平均被害額が下がったのも、相対的に金額の小さい個人被害の割合が増えたためと考えられます。
なぜ「件数増・被害額減」なのか
件数の増加を個人が押し上げ、金額の大きい法人被害が減ったため、平均額が下がった――というのが素直な読み方です。ただしこれは「法人が安全になった」ことを意味しません。
金融庁もフィッシングによるとみられる不正送金被害の急増に注意を呼びかけているとおり、手口の中心はフィッシングです。金融機関やカード会社、宅配業者などを装った偽のSMS・メールで偽サイトへ誘導し、ID・パスワードやワンタイムパスワードを入力させて詐取する流れが典型です。詳しい仕組みはフィッシングとは?仕組み・手口・情シスが取るべき対策で解説しています。
個人の被害が急増しているということは、同じ手口が従業員個人にも日常的に降りかかっているということです。私物スマホに届いた偽SMSに慣れてしまえば、業務で使う法人ネットバンキングや社内システムの認証情報も、同じ心理的な隙を突かれかねません。個人と法人の境界は、攻撃者から見れば地続きです。
法人口座が狙われるとどうなるか
法人の被害「件数」は少なくても、情シスが警戒を緩められない理由が3つあります。
- 1件あたりの金額が大きい:法人口座は残高も振込限度額も個人より大きく、1回の不正送金で数百万〜数千万円規模の被害になり得ます。
- 気づくのが遅れやすい:日々多数の振込が発生する経理・財務部門では、不正な1件が正常な取引に紛れて見逃されやすい傾向があります。
- 補償が個人と同一ではない:法人口座の被害補償は各行の約款や過失の有無に左右され、個人預金者ほど手厚いとは限りません。「取り返せる」前提で運用すべきではありません。
現場目線の課題
正直なところ、法人ネットバンキングの運用は情シスにとって「見えづらい領域」です。実際に振込操作をするのは経理・財務部門であり、専用端末の管理や限度額の設定が現場任せになっていたり、退職者のIDが残ったままになっていたりするケースは珍しくありません。多要素認証を入れていても、フィッシングでワンタイムパスワードごと詐取されれば突破され得ます(多要素認証(MFA)とは?仕組みと突破手口を解説)。
「うちは件数が0だから大丈夫」という感覚がいちばん危うい、というのが率直な実感です。被害が出ていないのは対策が効いているからか、たまたま狙われていないだけなのか――その区別は、ログイン履歴の点検や運用ルールの棚卸しをして初めて見えてきます。フィッシング全体の動向はフィッシング報告23.5%増 独自ドメインが9割の盲点もあわせて確認しておくと、社内啓発の材料になります。
情シスはどうすべきか
自前で長大なチェックリストを作るより、まずは全国銀行協会が示す法人向けの基本対策を土台にするのが近道です。法人向けインターネット・バンキングにおける不正送金にご注意!(全国銀行協会)を確認しつつ、社内で次の点が守られているかを棚卸ししましょう。
- 端末の分離・限定:振込操作に使う端末を限定し、OS・ブラウザ・各種ソフトを最新に保つ。可能なら業務専用端末にする。
- 権限の分離:申請者と承認者を別の担当者・別の端末にし、単独で送金が完結しない体制にする。
- 限度額の最小化:振込・払戻しの限度額を必要な範囲まで下げる。被害の上限を運用で押さえる基本策です。
- 認証の強化:取引ごとに承認するトランザクション認証や電子証明書など、銀行が提供する強い認証方式を利用する。
- ログの定期点検と退職者ID整理:ログイン履歴を定期的に確認し、不審なアクセスや不要なIDを放置しない。
そして最後は人です。偽SMS・偽メールを疑う習慣、少しでもおかしいと感じたら操作を止めて情シスに相談する報告フロー――こうした地道な啓発が、技術対策のすき間を埋めます。エンドユーザ向けにはIPAの対策のしおりや中小企業の情報セキュリティ対策ガイドラインが実務的で使いやすい教材です。
まとめ
- 2026年第1四半期の不正送金は204件と約1.8倍に急増したが、これは個人被害の倍増によるもの。被害額は約7億5100万円と半減した。
- 法人の被害件数は27件から20件へ減ったが、1件あたりの金額が大きく気づきにくいため、油断はできない。手口の中心は依然フィッシング。
- 情シスは端末分離・権限分離・限度額の最小化・強い認証・ログ点検といった運用ルールが形骸化していないかを棚卸しし、あわせて従業員のフィッシング耐性を高めることが要点。

