Chatworkを悪用したフィッシング攻撃が増えています——手口と、企業が今すぐやるべき対策

2026年に入ってから、Chatworkを悪用したフィッシング攻撃の報告が国内でじわじわと増えています。

「まさかチャットツールで？」と思う方もいるかもしれませんが、むしろ今はメールよりチャットのほうが危ない、と私は感じています。攻撃者は「技術的な穴」ではなく「人の心理」を突いてくるので、セキュリティに気をつけている人でも引っかかりやすいんです。

この記事では、どんな手口が使われているのか、なぜ被害が起きやすいのか、そして企業として何をすべきかを整理してお伝えします。

今回確認されている手口は、大きく分けると「なりすまし」と「乗っ取り」の2パターンです。

なりすましのパターンでは、攻撃者が取引先の担当者や自社の社長・役員を装ったアカウントを作成し、社員にコンタクト申請を送ってきます。承認してしまうと、「請求書を送りました、ご確認ください」といった業務上ありふれたメッセージとともにURLが送られ、フィッシングサイトへ誘導されます。内容が自然すぎて疑いにくいのが、この手口の怖いところです。

乗っ取りのパターンでは、Chatworkのログイン画面そっくりの偽サイトにIDとパスワードを入力させて認証情報を盗み取ります。その後、乗っ取った本物のアカウントから社内や取引先にメッセージが送られます。送ってくるのが「実在する、よく知っている人」のアカウントなので、受け取った側がまず疑いません。

なぜこれほど被害が出やすいのか。ここが私がずっと気になっていることです。

メールのフィッシング対策は、ここ数年でかなり啓発が進みました。「知らないURLはクリックしない」「怪しいメールは無視する」という習慣が社員に少しずつ浸透してきています。ところがチャットツールは「信頼できる相手とリアルタイムで話す場所」というイメージが強いため、そこに届くメッセージへの警戒心がぐっと下がります。しかも、上司や取引先の責任者からの連絡となれば「すぐ対応しなきゃ」という心理も働く。

これはいわゆるソーシャルエンジニアリング（人の心理を悪用した攻撃）で、技術的な対策だけでは完全には防げません。「社内のツールだから安全」という思い込みそのものが、リスクになっているわけです。

では、企業として何をすればいいのか。個人の注意に頼るだけでは限界があるので、組織として仕組みを作ることが大切です。

まず、コンタクト申請は安易に承認しないこと。知っている名前でも、事前に連絡があったか確認する習慣をつけてください。不審なら電話など別の手段で本人確認を。次に、チャットで送られたURLからログインしないこと。すでにログインしているのに「再度ログインしてください」と求められたら、それはほぼ偽サイトです。

また、二段階認証は任意ではなく必須にすることを強くお勧めします。パスワードが漏れても不正ログインを防げます。パスワードの使い回しや長期間の未変更も、この機会に見直してください。

そして、不審なアカウントを見つけたら即・社内共有すること。なりすましアカウントは複数の社員に同時にコンタクト申請を送ることが多いので、「自分だけの話」で終わらせず、すぐ周知することで被害の連鎖を防げます。

フィッシング攻撃は、メール・チャット・SNSを問わず、あらゆる連絡手段で行われます。ツールが変わっても、攻撃の本質は「人をだましてリンクをクリックさせること」で変わりません。

「このツールは安全」ではなく、「どのツールでも疑う目を持つ」ことが、今の時代に必要なセキュリティ意識だと思っています。セキュリティのルール整備や社員教育についてお悩みの方は、お気軽にご相談ください。

今日は土曜日。久々に朝からお気に入りのバイクでカフェで仕事してます。