「取引先から振込先変更のメールが届いたけど、本物だろうか…」
「社長から急ぎの送金指示メールが来た。すぐに対応すべき?」
こうしたメールの裏で進行しているのが「ビジネスメール詐欺(BEC)」です。BECは中小企業を含めて被害が拡大しており、IPA(情報処理推進機構)の10大脅威でも常連となっています。
この記事では、ビジネスメール詐欺(BEC)の手口・実際の被害事例・今日からできる対策について、現場で使えるレベルで解説します。情シス1人体制でも実践できる技術対策と、経理・総務と連携した運用対策の両面をカバーします。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(Business Email Compromise、略してBEC)とは、取引先や経営幹部になりすました偽のメールを送りつけ、金銭の送金や機密情報を騙し取る詐欺手法です。一般的なフィッシング詐欺が「広く浅く」不特定多数を狙うのに対し、BECは特定の企業・担当者を入念に調査したうえで仕掛けてきます。
IPAが公表する「情報セキュリティ10大脅威 組織編」にも毎年ランクインしており、1件あたりの被害額が数百万円〜数億円に及ぶケースも珍しくありません。大企業だけの問題ではなく、取引先が狙われて自社が巻き込まれるパターンも増えています。
フィッシング詐欺との違い
・フィッシング: 不特定多数に偽サイトへ誘導するメールを大量送信
・BEC: 特定企業の業務フローを調べ上げ、経理担当などを狙い撃ちする
・スピアフィッシング: 特定個人を標的にする点はBECと同じだが、BECは特に「送金・情報詐取」を目的とする
BECの怖さは、件名・文面・タイミングが自然で、受信者が「怪しい」と気づきにくい点にあります。
BECの主な手口(5つのパターン)
BECには代表的な5つのパターンがあります。自社に当てはめて「どこで引っかかる可能性があるか」を確認してみてください。
1. 取引先になりすます(請求書詐欺)
実在する取引先のメールを装い、「振込先口座を変更しました」と通知するパターンです。攻撃者は事前に取引先のやり取りを盗み見しているため、案件名・担当者名・金額感まで本物そっくりに作り込まれます。
2. 経営幹部になりすます(CEO詐欺)
社長や役員のメールアドレスに酷似したアドレスから「急ぎで送金してほしい。M&A案件で他言無用」といった指示を送る手口です。経理担当者が上司に確認しにくい状況を作るのが特徴です。
3. 弁護士・監査法人になりすます
「機密案件の対応で御社から送金が必要」という名目で、社外の専門家を装うパターンです。普段やり取りのない相手なので判断材料が少なく、指示に従ってしまいやすい構造を突いてきます。
4. アカウント乗っ取り型
取引先や自社の役員のメールアカウントそのものを乗っ取り、本物のメールスレッドに割り込んで送金指示を送ります。差出人アドレスも本物のため、メールだけでは見抜くのが極めて困難です。
5. 人事・総務を狙う情報詐取型
「全従業員の給与明細データを送って」と役員を装って指示し、マイナンバーや源泉徴収票情報を搾取するパターンです。金銭被害ではなく個人情報漏えいにつながります。
実際の被害事例(公開情報ベース)
警察庁やIPAが公表している事例をもとに、代表的な被害パターンを紹介します。具体的な企業名は伏せ、構造を中心に解説します。
・製造業A社(数億円規模): 海外子会社との送金指示メールになりすまされ、振込先変更に応じて数億円を送金。送金後に本社側の経理が違和感に気づいたが、既に資金は海外口座へ移動済み
・中堅商社B社(数千万円規模): 取引先を装う「振込先変更のお願い」メールを受信。CCに実在する担当者が並んでいたため信用し、振込後に取引先から「入金が確認できない」と連絡を受けて発覚
・中小企業C社(数百万円規模): 社長の出張中を狙い、秘書を騙って経理担当者に緊急送金を指示。「社長からのLINEでも後で確認する」とのメール文言で急がせた
共通するのは「普段のやり取りを踏まえた自然な文面」「緊急性を演出する時間圧力」「確認を躊躇させる機密性の強調」の3点です。
BECに騙されやすくなる心理的要因
BECが成立してしまう背景には、技術的な脆弱性だけでなく、人間心理を突く設計があります。防御策を考えるうえで、まず敵の戦略を理解しておきましょう。
・権威への服従: 「社長から」「弁護士から」と言われると確認しにくくなる
・時間圧力: 「今日中に」「急ぎ」といった文言で冷静な判断を奪う
・機密性の強調: 「他言無用」「社内では極秘」と言われると相談先を失う
・既知の文脈への便乗: 本物のメールスレッドに割り込むため違和感が生じにくい
これらに対抗するには「ルールで判断を分離する」仕組み作りが有効です。
具体的な防御手順
ここからは、実際に現場で導入できる対策を「技術」「運用」「教育」の3層に分けて解説します。
1. メール認証技術(SPF・DKIM・DMARC)を導入する
ドメインのなりすましを技術的に防ぐ仕組みとして、SPF・DKIM・DMARCの3つは必須です。特にDMARCは、なりすましメールの検知と拒否ポリシーをドメイン所有者側から明示できます。
# DMARCレコードの例(DNSにTXTレコードで設定) # p=quarantine: 認証失敗メールを隔離 # rua=レポート送信先 _dmarc.example.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; pct=100"
運用のステップとしては、最初は `p=none`(観測モード)で導入し、正当なメール送信元をすべて洗い出してから `p=quarantine` → `p=reject` と段階的に厳格化するのが定石です。
メールセキュリティの基礎については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。
2. 送金フローに「複数経路での確認」をルール化する
BEC対策で最も効果が高いのが、送金・振込先変更時の「別経路確認」ルールです。メール1本で完結させない仕組みを作ります。
・電話での逆コール: メールに書かれた番号ではなく、名刺・契約書の番号に電話して確認
・二重承認: 一定金額以上の送金は経理担当+経理責任者の両名承認を必須化
・初回振込の少額テスト: 新規口座への送金は初回のみ少額でテスト送金し、着金確認後に本送金
・振込先変更の書面化: メール依頼のみでは変更せず、押印付き書面またはFAXを別途要求
重要なのは、これらを「性善説」ではなく「規程」として明文化することです。担当者が空気を読んで省略できない形にしておきます。
3. メールクライアント側で表示名だけでなく差出人アドレスを確認できる設定にする
スマートフォンのメールアプリでは、差出人の「表示名」だけが目立ち、実際のメールアドレスは隠れる設定になっていることが多いです。BECでは「山田太郎 <attacker@gmail.com>」のような形で、表示名だけ正しく偽装してきます。
・Outlook: 差出人欄をクリックして完全なアドレスを表示
・Gmail: 三点メニュー → 「元のメッセージを表示」でヘッダー確認
・社内周知: 「表示名ではなく@以降のドメインまで必ず確認」を全社ルール化
4. 多要素認証(MFA)でメールアカウント自体を守る
BECの中でも最も厄介な「アカウント乗っ取り型」を防ぐには、メールアカウントへのMFA導入が最優先です。Microsoft 365・Google Workspace ともにMFA設定は標準機能として提供されています。
特に役員・経理担当・情シス管理者のアカウントは、パスワードだけでなく認証アプリまたはハードウェアキーでの追加認証を必須化してください。
5. 不審メール報告の窓口を整備する
「怪しいメールを受信したとき、誰にどう報告するか」を事前に決めておきます。情シス専用メールアドレス、または社内チャットの専用チャンネルを用意し、「報告したら褒められる」文化を作ることが大切です。
責任を問う運用にすると報告が上がらなくなり、早期発見が遅れます。
中小企業でも今日からできること
「情シス専任がいない」「予算がない」という中小企業でも、以下は今日から着手可能です。
・経理規程の追記: 「振込先変更は電話逆コールで確認」の一文を規程に追加
・役員・経理のMFA有効化: 無料で数分で完了
・送金上限ルール: 一定金額以上は社長決裁を必須化(既存ルールの見直しでOK)
・朝礼・月次会議での注意喚起: 最新のBEC手口を共有(IPA公式サイトが情報源として有用)
・取引先への声がけ: 「当社は振込先変更をメールだけで受け付けません」と事前に伝える
予算ゼロ・追加ソフト不要で始められる対策ばかりです。まずはルール整備から着手してください。
よくある誤解と注意点
| 誤解 | 実際 |
|---|---|
| 大企業だけが狙われる | 中小企業の取引先として狙われる。自社が踏み台になるケースも多い |
| 添付ファイルやリンクがなければ安全 | BECは添付なしの純粋なテキストメールが主流。従来型フィルタでは検知困難 |
| メールアドレスが本物なら信用できる | アカウント乗っ取り型では本物のアドレスから送信される |
| DMARCを入れれば完全に防げる | DMARCはドメインなりすましには有効だが、類似ドメインや乗っ取りには効かない |
| 社内教育だけで十分 | 教育+技術対策+運用ルールの3層が揃って初めて機能する |
「100%防げる銀の弾丸はない」という前提で、複数の対策を組み合わせる「多層防御」の発想が大切です。
万が一被害にあった場合の初動対応
どれだけ対策しても、被害ゼロは保証できません。被害に気づいた瞬間に取るべき行動をまとめます。
・送金先銀行への即連絡: 組戻し(くみもどし)手続きを依頼。時間との勝負
・警察への相談: 最寄りのサイバー犯罪相談窓口、または警察庁サイバー警察局へ
・IPAへの届出: 再発防止・業界共有のための情報提供
・メールアカウント全パスワード変更+MFA強制化: 既に乗っ取られている前提で対応
・取引先への連絡: 自社アカウントが乗っ取られた場合、取引先にも影響が及ぶ可能性を速報
なお、法的対応については「詳細は法律の専門家にご確認ください」。サイバー犯罪に詳しい弁護士への早期相談が有効です。
本記事のまとめ
ビジネスメール詐欺(BEC)は、技術の脆弱性ではなく「人間の判断と業務フローの隙間」を突く攻撃です。だからこそ、メールフィルタや境界防御だけでは防ぎきれません。
・BECは取引先・経営幹部・弁護士などになりすます標的型の詐欺
・1件あたりの被害額が大きく、中小企業も巻き込まれる
・技術対策(SPF/DKIM/DMARC・MFA)+運用ルール(逆コール・二重承認)+教育(報告文化)の3層で防ぐ
・「急ぎ」「他言無用」「振込先変更」の3ワードが揃ったら黄色信号
・完璧な防御はない。被害発覚時の初動フローも事前に決めておく
正しく知って、正しく備える。これがBEC対策の基本姿勢です。
BEC対策、自社の運用フローは大丈夫ですか?
BECは「気づいた時には手遅れ」になりやすい攻撃です。技術対策と運用ルールの両輪で備える必要があります。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
コメント