【CVEゼロで259件漏洩】大阪国税局を襲った「人間が穴」の手口

🚨 259件がLINEで流出…大阪国税局を襲った「CVEゼロ」漏洩事件の真相

「マルウェアもゼロデイも使われてないのに、たった2時間で259件が流出した」 ——2026年4月に公表された大阪国税局の事件を聞いて、背筋が凍りました。

犯人は技術的な穴を突いていません。狙ったのは、人間の心。偽警察を名乗る電話1本で、20代の職員が自分の手で納税者情報108枚をLINEに送ってしまったのです。

今日は「最強の脆弱性は人間だった」という衝撃の結論と、誰でもすぐに実践できる4つの防御ルールを、事件の流れを追いながらやさしく解説します。明日、自分や家族、会社の同僚に同じ電話がかかってきても落ちないための記事です 💡

📌 まず結論：CVEゼロで259件が漏洩した

専門用語を1つだけ先に説明させてください。

CVE（シーブイイー） とは、世界中で共有されているソフトウェアの脆弱性の公式番号のことです。「このソフトのここに穴があります」という正式な登録番号、とイメージしてください。

今回の事件、そのCVEが 0件。つまり、システムには何一つ穴がなかったのです。

• マルウェア: 0個
• ゼロデイ（まだ修正されていない秘密の穴）: 0個
• CVE: 0件
• 漏洩件数: 259件

技術的には完璧だったのに、人間の判断ひとつで259件が漏れた。これが今日いちばん覚えて帰ってほしい事実です。

🔍 事件の時系列：2時間で何が起きたのか

4月13日 月曜 午前11時ごろ — 一本の電話から始まった

出張先の税務署で業務中、大阪国税局 課税第1部の20代男性実査官（税務調査の現場担当）の 私用スマホ に、知らない番号から着信が入りました。

仕事中に私用スマホ、この時点ですでに怪しいんですよね。でも相手の第一声でそれどころじゃなくなります。

「千葉県警です。捜査の過程であなたに嫌疑がかかっています」

しかも電話の相手は、職員のフルネームを最初から言い当ててきた。
「本物の警察だから名前を知ってるんだ」——職員はそう信じてしまいました。

ビデオ通話に切り替わり「警察手帳」が出てくる

電話は「捜査2課の刑事」を名乗る別の男に代わり、ビデオ通話に切り替わります。画面越しに、警察手帳のようなものを見せられました。

これ、ただの音声詐欺から一歩踏み込んだ新しいパターンです 😱
しかもディープフェイクが普及すれば、将来は警察官の顔そのものまで偽装できる時代になります。

「書類を送って」で108枚撮影 → LINE送信

刑事役に「嫌疑と無関係なことを証明するために業務書類を送ってください」と要求され、動揺した職員はスマホで資料を 108枚 撮影し、LINEで送信してしまいました。

なぜ108枚もあったのか？ 259件分の情報を1件ずつ撮ると、それくらいの枚数になるからです。

逆に言えば、108枚撮るあいだ、職員はずっと操り人形状態だったということ。2時間ずっと、指示通りに動かされていたのです。

助かった理由は「完全に運」だった

電話はつながったまま約2時間。バレたきっかけは、同じ庁舎の同僚が「何度も席を外してるけど大丈夫？」と声をかけたこと。

電話をつなぎっぱなしで相談し、相手の番号をネット検索したら「詐欺で使われている番号」と判明しました。

仕組みで守れた事件じゃなくて、たまたま助かった事件。

同僚がいなかったら、もっと被害は拡大していたかもしれません。

📈 漏れた情報の中身が重すぎる

「259件」と聞くと少なく感じるかもしれません。でも中身を見ると血の気が引きます。

• 個人: 179件
• 法人: 80件
• 合計: 259件
• 対象範囲: 大阪国税局だけでなく、金沢を除く全国10国税局と1事務所のデータ

しかも漏れた項目が生々しいんです。

• 氏名・住所・家族構成
• 税の申告額（= 資産レベル丸わかり）
• 調査理由（= 当局が何を問題視しているかも筒抜け）
• 過去の調査状況

⚠️ これから259人・社は、「税務署を名乗る詐欺」の格好の標的になります。本物しか知らない情報を武器に、攻撃者が近づいてくるからです。二次被害のほうが、むしろ怖い。

🧠 なぜ簡単に騙されたのか：権威型ソーシャルエンジニアリングの正体

「他人事として聞いてると、おかしいって気づけるのに、なんで本人は気づけないの？」

これ、自然な疑問ですよね。答えはシンプルで、人間の脳がそうできていないからです。

冷静な第三者なら違和感に気づけるけれど、パニック状態の本人は絶対に気づけない。訓練されていない人が同じ電話を受けたら、ほぼ確実に落ちます。

「自分なら大丈夫」が、一番危ない。

この攻撃は 権威型ソーシャルエンジニアリング の典型で、4つの心理技法が組み合わさっていました。

👉 仕掛け1: 権威

警察を名乗ることで、反論しにくい立場を作る。日本人は特に「警察」という言葉に弱いんです。

👉 仕掛け2: 恐怖

「嫌疑がかかっている」と畳みかけて、冷静な判断を奪う。パニクった時点で、もう攻撃者の術中です。

👉 仕掛け3: 段階的な要求

最初は職業を聞くだけ。次に書類の話。気づいたら108枚送っている。小さなYesを積み重ねると、途中で引き返せなくなります。

👉 仕掛け4: 絶対に電話を切らせない

これが決定的でした。電話がつながっている間は第三者に相談する余裕が奪われ、被害者を孤立させられる。2時間つなぎっぱなしだった理由はここにあります。

職員が若かったから引っかかったのではなく、誰でも引っかかる設計。これが怖いところです。

✅ 今日持ち帰ってほしい4つのルール

シンプルなルール4つで、今回の攻撃はほぼ全部防げます。メモしてでも覚えてください。

ルール1: 動揺したら、一度電話を切る

これだけで9割助かります。
「切ったら嫌疑が深まる」は 詐欺師の嘘。本物の警察なら、あなたが電話を切り直してもちゃんと対応してくれます。

ルール2: 公式番号に自分から折り返す

警察の代表番号なんてネットで公開されています。自分でかけ直せば、5分で決着がつく話です。
相手が言う番号ではなく、自分で調べた番号が正義。

ルール3: 機密情報を個人アプリで送らない

業務書類でも、家族の個人情報でも、LINEやSMSには絶対に流さない。
例外なしです。例外を作った瞬間、攻撃者に使われます。

ルール4: 「知っている = 本物」は成立しない

名前・住所・勤務先くらいは、攻撃者が事前に持っている前提で考えてください。
今どきSNSや過去の漏洩データから、余裕で入手できます。個人情報はもう、信頼の根拠にはなりません。

💡 組織が取るべき二重の守り

個人の心がけだけでは限界があります。人は必ずミスする前提で、技術的な仕組みでも止められる二重構造が必要です。

• 業務用スマホの支給: 私用端末と業務情報を物理的に分離する
• MDM（端末管理）の徹底: 会社が端末をまとめて管理する仕組み
• DLP（データ漏洩防止）の導入: 機密データの持ち出しを検知して止める仕組み。DLPがあれば「108枚撮る」という行為自体が検知され、止められた可能性があります
• ロールプレイ訓練: 「偽警察電話」を実演する訓練を全職員に

国税庁自身が「不審な電話は一度切って折り返せ」と公式に案内していたのに、現場まで血肉になっていなかったのが今回の痛恨のポイントです。

ルールは、存在するだけでは機能しません。訓練で身体に染み込ませて初めて、機能するルールになります。

💬 これは「明日うちで起きる事件」

「税務署の話でしょ？」と思った方へ。めちゃくちゃ関係があります。

ビデオ通話 + 偽警察手帳の手口は、一般家庭にもどんどん来ています。今回20代の公務員が引っかかった、つまり若い世代も余裕で標的ということです。高齢者だけの話ではありません。

家族や友人が同じ電話を受けたときのために、家庭内で合言葉を決めておくのもおすすめです 😊

そして投資家・経営者の方へ、これが一番重要かもしれません。

自社の従業員が同じ手口に引っかかったら、取引先情報・M&A情報・顧客データが一瞬で漏れる。

これは「国税局の事件」ではなく、「明日うちの会社で起きるかもしれない事件」として見るべきです。

🎯 まとめ：今日のポイント

• CVEゼロ・マルウェアゼロで259件漏洩。最強の脆弱性は人間だった
• 攻撃の正体は 権威・恐怖・段階的要求・電話切らせない の4点セット
• 訓練されていない人はほぼ確実に落ちる。「自分なら大丈夫」が一番危ない
• 防御は4つのルールで十分: 切る / 折り返す / 個人アプリで送らない / 知ってる≠本物
• 個人の意識 + MDM/DLPなどの技術的仕組み、二重の守りが必要
• この話は税務署だけの話ではなく、あなたの会社・家庭で明日起きるかもしれない事件

🎬 動画版はこちら

この事件の臨場感と心理の罠の怖さは、会話形式の動画で聞くと一層刺さります。ずんだもんと四国めたんが、事件の時系列と心理技法を一緒に分解していく動画版も公開しています。

通勤中・家事中の「ながら視聴」にぴったりなので、よければチャンネル登録・高評価で応援してもらえると嬉しいです 👉

そして何より、今日の 4つのルール は、家族・職場の同僚にもぜひシェアしてあげてください。この記事や動画を共有するだけで、誰かを詐欺から守れるかもしれません。