Microsoft Teams を悪用したCEO詐欺（ビジネスチャット詐欺）について

古典的ですが、最近とても流行っている「CEO詐欺（経営層になりすました詐欺）」が、Microsoft Teams などのチャットツールにも広がりを見せているそうです。昔から Teams を使った詐欺は行われていたものの、改めてまとめていきたいと思います。

• 本記事では Microsoft Teams を例に挙げますが、他のあらゆるツールでも悪用のリスクは存在します。ツールごとのセキュリティ設定を確認することが重要です。
• 本記事は2026年2月時点の筆者の検証に基づき作成していますが、その内容の正確性・完全性を保証するものではありません。情報の活用については、ご自身の判断でお願いします。

事前知識1. Teams の社外接続

対策を理解するために、まずは Teams の主要な外部連絡方法を整理します。通話などを含めたら他にもあるものの、大きくは以下の3つがあります。

ゲスト アクセス (Guest Access)

社外ユーザーを「ゲスト」として自社の Entra ID に招待し、チームに参加させる機能です。相手は自社テナント内のリソースへのアクセス権を持ちます。¹私の経験則だと、これが一番主流かなと思っています。

外部アクセス (External Access)

お互いのテナントのユーザーが、自社の ID のままチャットや通話を行う機能です。²いわゆるフェデレーションのようなもので、相手を自社テナントに招待するわけではありません。

これ、意外と知名度が低い機能ですが、制限されていない場合、Teamsのチャットを開き、連絡先相手のメールアドレスを直打ちすると、良くも悪くもチャットができてしまうんです。

共有チャネル (Shared Channels / Teams Connect)

B2B 直接接続 (B2B Direct Connect) を利用し、Teamsのチャンネルを接続する方法です。³ テナントを切り替えることなく特定チャネルのみを共有することができるので、ユーザービリティはとても良いと思います。

個人的にはこれが一番好きです。（ついていける人が少ないので、あまり活用できてませんが・・・）

事前知識2. CEO詐欺 とは

ビジネスメール詐欺 (BEC) の一種です。攻撃者が CEO や役員などの経営層になりすまし、財務担当者や従業員に対して「極秘の買収案件がある」「緊急の送金が必要だ」といった指示を出し、資金を搾取したり機密情報を盗み出したりする攻撃です。簡単な手口なようで、意外とバカにならなくて、結構な被害が出ています。⁴ 以下の記事が詳しいので詳しくは以下の記事をご覧ください。

Teams における攻撃の手口

今回は特に気を付けるべき2つのケースをピックアップします。

「外部アクセス」が悪用されるケース

「外部アクセス」 を悪用したケースでは、攻撃者は、Microsoft Teams (無料版) や法人向けテナントの試用版を作成します。表示名を自社の CEO（例：「山田 太郎」）や「Taro Yamada (CEO)」等に設定します。ターゲット（従業員）のメールアドレスに対して Teams でチャットを送信します。

従業員の Teams には、見慣れた社長の名前でチャットが届きます。 Teams の仕様上、名前に (外部) や (External) というタグが表示されますが、攻撃者は「緊急で個人のPCから連絡している」「出張先で別アカウントを使っている」「極秘プロジェクト用のアカウントだ」といった口実でこれを正当化します。

騙されやすいシナリオとして、親会社の役員等から早朝に連絡が来ているようなケースが考えられます。そうすると、朝イチの寝ぼけた頭で、スマホで偉い人からの連絡を見て、パニックのまま騙されてしまう可能性があるかと思います。

上記画像の右側は実際のTeamsの連絡画面ですが、スマホでTeamsを見た場合、外部ユーザーの警告が出るものの、画面のサイズが小さいので判断が難しくなります。加えて、経営者（子会社含む）は名前がHP等に出ているケースが多いので、メールアドレスを推測されやすく、ターゲットになりやすいです。

「ゲストアクセス」が悪用されるケース

攻撃者が巧妙に作成した偽テナントから「ゲスト招待」を送り、自らのテナントに誘い出すケースも考えられます。メールの招待を承諾し、ターゲットがTeamsに参加すると、そこから金銭の振り込みの指示をしたり、マルウェアやRMMツール等のダウンロードを促すなどしてきます。

このケースが厄介なのは、攻撃者のM365テナントにアクセスする形になるので、たとえ自テナントで Defender for Office 365 の Teams の保護などを有効化していても、適用範囲が及ばない懸念がある点です。加えて、攻撃者テナントからの攻撃メールはマイクロソフト社の正規のメールアドレスから送信されるため、メールフィルターなどでブロックすることは困難です。

Teams 固有の危険性

CEO詐欺というとメールによる攻撃が一般的ですが、Teams を悪用した攻撃には特有の危険性があります。

「Teams＝安全地帯」と思い込み

まず心理的な側面として、「メールなら怪しいと気づけるが、Teams だと油断してしまう」という問題があります。多くの従業員にとって、Teams は「社内の安全なコミュニケーション空間」という認識が強く、外部からの接触に対する警戒心が薄れがちです。メールであれば差出人のドメインを確認する習慣がある人でも、Teams のチャットでは表示名だけを見て相手を判断してしまうケースが少なくありません。

テナント分かれている問題

日本企業の課題として、グループ会社でテナントが分かれているケースが非常に多いという点があります。多国籍企業では、国や地域ごとに異なるテナントを運用しているケースがありますが、別々の Microsoft 365 テナントを運用している場合、グループ内でのやり取りであっても技術的には「外部アクセス」となり、相手には「外部」タグが表示されます。

この状況が問題なのは、従業員が日常的に「外部」タグを目にすることで、それに対する警戒心が麻痺してしまう点です。「グループ会社の山田さんからのチャットにも外部タグが付いているから、外部タグ＝危険ではない」という認識が定着してしまい、攻撃者が送ってきた本当に危険な「外部」タグ付きチャットを見逃してしまうのです。

対策

個人向け対策

従業員一人ひとりが「Teams を含む社内環境は安全な聖域ではない」と認識することが第一歩です。⁵

• 「外部」タグの確認: チャット相手のアイコンや名前の横に 外部 External と表示されていないか必ず確認してください。社内の人間であれば、通常このタグは付きません。
• 表示名を信用しない: 表示名は誰でも自由に設定できます。「社長の名前＝本人」ではありません。これはメールでも一緒ですね。
• 別経路での確認: お金や機密情報が絡む話が出たら、必ず Teams 以外の方法（社用携帯への電話、正規の社内メールアドレスへの確認）で本人確認を行ってください。

IT管理者向け対策

管理者は、利便性とセキュリティのバランスを考慮しつつ、不要な穴を塞ぐ必要があります。

外部アクセスの制御 ⁶

外部アクセスの制御は [Teams 管理センター] > [ユーザー] > [外部アクセス] での制御になるかと思います。ポイントは以下の通りです。

• 管理されていないMicrosoftアカウントの設定: 「管理されていないMicrosoftアカウント」って日本語が分かりにくいですが、要は一般の個人用 Teams (Microsoft Teams (無料))とのチャットです。もし業務上、一般の個人用 Teams (Microsoft Teams (無料)) とのチャットが不要であれば、「組織外の Teams ユーザーが自分の組織内のユーザーと通信できるようにする」をオフにすることを強く推奨します。これがオンだと、攻撃者が作成した個人アカウントからの接触を許してしまいます。
• 「トライアルTeamsテナント」:ここをブロックすることで、使い捨てテナントからの攻撃リスクを低減できます。
• 外部ドメインの許可またはブロック: 個人ではなく、法人とのコミュニケーションにおいても、可能であれば「すべての外部ドメインを許可」ではなく、「特定の外部ドメインのみを許可」するホワイトリスト方式への移行を検討してください。

ゲストアクセスと共有チャネルの制御 ⁷

こちらは Teams 管理センターだけでなく、Entra ID (Microsoft Entra 管理センター) 側の [External Identities] > [クロス テナント アクセス設定] での制御が主になります。

設定のポイントはB2B コラボレーション（ゲスト）や B2B 直接接続（共有チャネル）について、既定値をどうするか（基本ブロックで例外許可にするか等）を組織のポリシーに合わせて厳密に定義します。設定項目が多岐にわたるため、意図しない許可設定になっていないか定期的なレビューが必要です。

ログによる監査と検知

万が一怪しい接触があった場合、事後調査ができる体制が必要です。Purview で調べる方法をまとめているので、良かったらそちらも併せて見ていただけたら幸いです。

場当たり的にならない全体設計をしよう

今回はCEO 詐欺における Microsoft Teams の悪用を中心に取り上げましたが、「外部アクセスをブロックすればいい」「ゲストを禁止すればいい」といった単発の設定変更で終わらせてしまうのは健全ではありません。リスクはこれに限らないですし、マイクロソフト社製品は良くも悪くも複数の製品が連携しているので、全体感を見ながらデザインをすることが大事だと思います。例えば、Teamsに関するセキュリティ対策は以下のような情報を見ると非常に参考になるかと思います。

もっと言うと、冒頭にも言及しましたが、他のツールでも全然起こりえますし、正規ツールの悪用は攻撃者の有効な手段であり続けています。ツールをただ入れて塩漬けではなく、ちゃんと設計する、入れた後も見直しをかけるといった営みが非常に大事ですね。

まとめ

Teams は便利なツールですが、メールと同様に「外部からの入り口」になり得ます。 「Teams からの連絡だから安全」という思い込みを捨て、技術的な制御（管理センター設定）と人的な防御（従業員教育）の両輪で対策を進めましょう。

1. ゲスト アクセスと外部アクセスを使用して、組織外の人々とコラボレーションする ↩

2. ゲスト アクセスと外部アクセスを使用して、組織外の人々とコラボレーションする ↩

3. 共有チャンネルでTeamsのユーザー体験を変える！Microsoft Teams Connect ↩

4. ニセ代表取締役「5000万円送金して」──上場企業の子会社が詐欺被害　虚偽のメールに社員がだまされる ↩

5. Microsoft Teamsでの外部チャットからのスパムまたはフィッシングの試行を防ぐ ↩

6. IT 管理者 - Microsoft ID を使用して外部会議を管理し、人や組織とチャットする ↩

7. Microsoft Entra 外部 ID で B2B の外部コラボレーション設定を構成する ↩