【ビジネスメール詐欺(BEC)の脅威】その取引先は本物ですか?
公開日:
※当サイトはアフィリエイトプログラムを利用しています。
ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(Business Email Compromise:BEC)は、企業や組織を標的にした高度なサイバー犯罪です。
攻撃者はメールを悪用し、取引先・上司・弁護士などになりすまして金銭の送金を誘導。
FBIの統計では世界で数十億ドル規模の被害が報告されており、日本企業も例外ではありません。
「いつも通りの業務メール」に見える。これがBECの最大の武器です。
BECの典型的な攻撃の流れ
BECは技術的な脆弱性を突くのではなく、人間心理の隙を突くソーシャルエンジニアリングです。
典型的な攻撃の流れは次の4段階で構成されます。
①徹底的な情報収集と潜伏
攻撃者は、標的企業の公開ウェブサイト、SNS、プレスリリース、さらには人事異動情報などから、担当者名、取引関係、役職、組織の力関係を精査します。
さらに怖いのは、EAC(メールアカウント侵害)を組み合わせた手法です。
フィッシングなどで事前に本物のメールアカウントの認証情報を盗み出し、数週間から数ヶ月にわたってメールボックス内に潜伏。
実際の業務メールや請求書のやり取り、送金プロセスをリアルタイムで盗み見て、攻撃の完璧なタイミングと文脈をじっくりと準備します。
②ドメイン詐称となりすまし
準備が整うと、攻撃者は本物と見分けがつかない偽りの送信元を用意します。主な手法は以下の通りです。
表示名の偽装
メールアドレス自体は全くの別物であるにもかかわらず、メールソフト上の表示名だけをCEOや取引先の担当者名に書き換える手口。
スマホ画面などではアドレスが省略されやすいため、これだけで騙されるケースが後を絶ちません。
類似ドメイン
本物のドメイン company.co.jp に対して、ハイフンを加えた company-support.co.jp を取得したり、アルファベットの「a」の代わりに見た目が全く同じキリル文字の「а」を混入させた compаny.co.jp を使用したりします。
ディスプレイ上の見た目だけで偽物と見破ることは、人間の目にはほぼ不可能です。
乗っ取りアカウントの悪用
①で潜伏していた「本物の取引先のアカウント」から直接メールを送るケースです。この場合、送信ドメイン認証(DMARC等)を完全にパスして届くため、技術的なフィルターも通り抜けてしまいます。
③心理を揺さぶる送金指示
受信者がいつも通りの業務連絡と誤認した絶妙なタイミングで、偽の送金指示や口座変更の要求が届きます。
「極秘のM&A案件」「今日中に対応しないと法的措置をとる」「社長からの直々の特命」といった文脈を使い、さらに「緊急」「機密」「今すぐ」という言葉で受信者を心理的に焦らせ、冷静な確認や判断をスキップさせようとします。
近年では生成AIの悪用により、単に自然な日本語というだけでなく、その企業の社長が本当に使いそうな特有の口調や言い回しまで完全に模倣されたメールが作成されており、内容の論理的妥当性だけで嘘を見抜くのは困難な状況なのです。
④実行と逃走
騙された被害者が送金ボタンを押した瞬間、攻撃の最終フェーズが完了します。
振り込まれた資金は、即座に海外の複数の口座、あるいは暗号資産などを経由して瞬時に移動・分散されます。
これはマネーミュール(資金の運び屋ネットワーク)と呼ばれる構造で、実体のない法人口座や買い取られた個人口座が複雑に入り組んでいるため、後からの法的な追跡や差し押さえは極めて困難です。
BEC被害は、「振込後72時間以内」の初動対応が資金を回収できるかどうかの最大の分岐点となりますが、多くの場合、次の定期支払日まで被害に気づけないため、回収率は非常に低いのが現実です。
BECの典型的な手口パターン
BECには複数の型があります。
いずれも事前調査が徹底されていて、受信者が「いつも通りの業務連絡」と誤認するよう精巧に設計されているのです。
CEO詐欺(Executive Impersonation)
社長、CFO(最高財務責任者)、取締役などの経営幹部になりすまし、財務担当者や部下に緊急の送金や機密情報の提出を要求する手口。
攻撃者は「今、極秘の買収案件で海外出張中だ。電話には出られない」「今すぐ対応して。詳細は帰国後に説明する」といった短文の指示を好みます。
余計な文章を書いてボロが出るのを防ぐと同時に、今は移動中で、スマートフォンから急いで指示を出しているように見せかけるため。
組織内では上司の指示には逆らいにくいといった権威構造を最大限に悪用します。
特に真面目な社員ほど「社長の特命にすぐ応えなければ」と焦り、通常の二重チェックや承認プロセスを自らスキップしてしまう心理的盲点を突いてくるんですね。
請求書差し替え
長年取引のある継続サプライヤー(製造元、供給元など)やベンダー(売り手、サービス提供業者など)になりすまし、「振込先口座を変更した」という偽の通知とともに、本物とほぼ同一のレイアウトの偽請求書を送りつける手口。
悪質なケースでは、事前のメールアカウント侵害によって、取引先が実際に送った本物のPDF請求書を途中でインターセプト(傍取)し、口座情報の部分だけを書き換えて再送してきます。
口座番号の変更だけでなく、「口座名義(カナ)」の確認が最大の防御線になります。
攻撃者が用意する口座は、実体のない別会社や個人の買い取り口座であることが多いため、取引先企業名と名義が一致しません。
しかし、大量の支払処理がルーティン化した担当者は、名義の不一致を見落としやすく、最も被害額が高額化しやすい手口です。
弁護士や外部専門家なりすまし
企業の顧問弁護士、法律事務所、あるいは会計監査法人など、高い専門性と機密性を担保された外部機関を装う手口。
「他社から特許侵害の訴訟提起を受け、内々に和解交渉を進めている」「本日中に供託金を振り込まなければ、法的な実害が発生する」といった深刻な文脈を使います。
他には「法律」や「訴訟」という言葉が持つ独特の威圧感を利用し、受信者に強い恐怖心と焦りを与えます。
「社内には絶対に口外するな」という強いかん口令を敷くことで、担当者が同僚や他の役員に相談して嘘が発覚するリスクを組織的に封じ込めてしまうといったことまで指示するのです。
給与振込先変更や人事税務関連
経理や人事・労務の担当者をピンポイントで標的にし、従業員、特に役員などになりすまして「給与の振込先口座を私的な事情で変更したい」と申請する手口です。
単なる口座変更届だけでなく、攻撃者は事前にフィッシングなどで入手した本人の社員番号、所属部署、さらには「引っ越しをしたので」「メインバンクを変えたので」といった、いかにもありそうな文面を添えてきます。
1件あたりの金額は1人分の給与や賞与に留まるため、企業の経営を即座に揺るがす額ではないものの、社内の個人情報の管理体制が疑われ、従業員との信頼関係を大きく損なう引き金に。
生成AIによる高度な擬態の台頭
近年の生成AI(大規模言語モデル)の急速な普及は、BECの脅威を爆発的に跳ね上げました。
これまでの海外からのサイバー攻撃は、「日本語が不自然」「フォントが中国語フォント混じり」「敬語の使い方がおかしい」といった、文体の違和感が見破る大きなヒントになっていました。
しかし現在では、AIによって完璧で自然なビジネス日本語のメールが瞬時に生成できてしまう。
攻撃者は標的企業の公開されている過去の挨拶文やブログ、プレスリリースをAIに読み込ませ、その社長が本当に使いそうな特有の口調や言い回し、絵文字の癖まで完全に模倣してメールを作成。
もはや「怪しい日本語」を探すチェック方法は一切通用せず、書かれている内容の論理的な妥当性でしか判断できない時代に突入しています。
BEC被害の規模と実例
FBIのInternet Crime Complaint Center(IC3)のデータは、BECの深刻さを数字で裏付けています。
2013〜2023年累計
約30万5,000件の報告、総被害額は約555億ドル(約8兆円超)
2024年単年
約27〜28億ドルの損失(全サイバー犯罪被害の主要因の一つ)
1件あたりの平均被害額
十数万ドル規模で近年上昇傾向
ただし、これらはあくまで報告分に過ぎません。
企業が風評被害を恐れて被害を公表しないケースが多く、実態はこの数字を大幅に上回ると見られています。日本では警察庁やJPCERT/CCが相次いで注意喚起を出しており、高額被害の報告が続く状況に。
日本の被害事例
もちろん海外だけの話ではなく、日本企業の被害は上場企業から中小企業まで広範囲に及んでいます。
大手航空会社(2018年)
取引先を装った請求書差し替えにより約3億8,000万円の被害。貨物委託料や航空機リース料の振込先が巧みに書き換えられていて、担当者が長期間気づけなかった。
ウィルソン・ラーニングワールドワイド(2022年)
子会社2社が標的となり、計約530万円を送金。金額は小さく見えても、中小規模の企業にとっては経営に直結するダメージ。
スリー・ディー・マトリックス(2024年)
取引先になりすましたBECで約2億円の被害。上場企業であっても防ぎきれなかった事実は重いといえます。
その他、NHKプロモーションをはじめ複数の企業で1件あたり数千万〜億円単位の被害が確認。
中小企業が狙われる構造的理由
BECの被害は大企業だけに集中しているわけではありません。
むしろ中小企業は攻撃者にとって低リスク・高リターンの格好の標的。
セキュリティ体制の脆弱性
予算と人材の制約により、DMARCなどの高度な技術的対策が未導入の企業は多い。組織的なルールが整備されていないケースも約7割に上るとされます。
サプライチェーン攻撃の踏み台
大企業の取引先として信頼されている中小企業は、そこを突破口に本命の大企業を狙う「踏み台攻撃」の対象になりやすい。
セキュリティの弱さが、チェーン全体の弱点になる構図です。
人的ミスが起きやすい環境
兼務担当者が多く、緊急対応時に確認プロセスを省略しがちな組織構造。
「上司の指示に素早く対応する」という真面目さが、逆に裏目に出ます。
被害が表面化しにくい
大企業ほど世間の注目を集めないため、被害公表を避けやすい。
攻撃者にとっては「叩いても騒がれにくい相手」であり、狙い続ける動機になります。
BECの効果的な対策
BECは完全に防げないが前提にはなります。多層防御と人間のプロセスを組み合わせることが鍵。
技術的対策
送信元アドレスの厳密確認
メールの表示名ではなく、実際のFromアドレスを必ず確認する習慣をつける。表示名はいくらでも偽装できます。
DMARC導入と運用
SPF・DKIM・DMARCの3点セットでドメイン詐称をブロック。ポリシーを p=reject に設定することで、詐称メールがそもそも届かない状態を作ます。
設定自体は数行のレコードを追加するだけでコストもかかりませんが、自社のメール配信システムのSPF/DKIM設定が漏れていると、自社の正当なメールまで p=reject で拒否されてしまうリスクがあるので注意してくださいね。
まずは p=none(監視モード)からスタートし、段階的に適用していきましょう。
メールセキュリティツールの活用
AI検知・サンドボックス分析・異常アクセス検知などのツール導入も有効。ただしツールは補助手段であり、人的プロセスと併用してこそ機能を発揮します。
人的・運用対策
技術よりもこちらが本質的な防御線になります。
電話による二重確認の徹底
送金指示・口座変更・急ぎの支払い要求を受けたら、必ず電話または対面で本人確認する。
確認先は「そのメールに記載された電話番号」ではなく、事前に登録済みの連絡先を使う。
社内ルールの明文化
「緊急だから」という理由でプロセスをスキップしないことです。
緊急時こそ確認を義務化するルールを、書面で全員が認識している状態を作ります。
定期的な教育と模擬訓練
実際のBECメールのサンプルを使った訓練は、抽象的な注意喚起より格段に効果が高いくなり、「このメールを見破れる」という実感が、日常的な警戒心につながます。
取引先との事前合意
口座変更が生じる場合の連絡方法(メール以外の手段を必ず含めます)を、平時から取引先と合意しておく。
複数要素で防ぐ
多要素認証(MFA)の徹底
メールアカウントへの不正アクセスを防ぐ基本中の基本。
送金の複数人承認制
1人の判断で完結しない構造を作ります。特に中小企業では、多くの決断を一人でする場面があるとは思いますが、お金が絡むことは1人の判断に任せない。
初動対応フローの整備
被害発生時に警察・金融機関へ即座に連絡できる手順を事前に用意します。振込後72時間以内の初動が資金回収の成否を左右します。
BECは高度な技術攻撃ではなく、人間の信頼の隙を突く犯罪です。
どれほど優れたセキュリティツールを導入しても、最終的に送金ボタンを押すのは人間である以上、人的プロセスの整備が最後の防衛線になります。
中小企業では、まず「電話での二重確認ルール」と「DMARC設定」の2点から着手することを推奨します。
大規模な予算投資より、シンプルなルールの徹底が肝心なのです。
あわせて読みたい
【マルチモーダルBEC】声と顔まで偽造する時代|会議の出席者が全員偽物かも
企業口座が狙われている!中小企業を標的にするボイスフィッシングの手口と対策
【AIボイスクローン詐欺】の恐怖 なぜ「声」だけであなたは騙されるのか?
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは