CyberFix Noteビジネスメール詐欺(BEC)の手口と組織的対策。送金プロセスを統制で守る
対象の目安: 経営層・経理財務・情報システム担当 / 実務
ビジネスメール詐欺(BEC: Business Email Compromise)は、経営層や取引先になりすました偽のメールで担当者をだまし、攻撃者の用意した口座へ送金させたり、機密情報を提供させたりする詐欺です。マルウェアを送り込んで端末を乗っ取る攻撃とは違い、技術的な侵入をともなわないことも多く、本物の業務メールにまぎれて静かに進むのが特徴です。だからこそ、ウイルス対策ソフトやファイアウォールだけでは止めにくく、被害額が一件あたり高額になりやすい脅威でもあります。
IPAの「情報セキュリティ10大脅威 2026」では、ビジネスメール詐欺は組織向けの脅威として9年連続9回目のランクインとなり、第10位に位置づけられています。順位そのものより、長年にわたり脅威であり続けている事実が重要です。攻撃の本質が「人の判断を突くこと」にあるため、システムを新しくしても手口が古びないのです。
この記事は、経理・財務の担当者、その上長や経営層、そして仕組みを整える情報システム担当の方に向けて書いています。手口の原理、なぜ気づきにくいのか、そして「個人の注意力」ではなく「送金プロセスの統制」で守るという発想を、具体的な判断基準まで掘り下げて解説します。
BECの主な型を早見表で把握する
BECは一様ではなく、なりすます相手と狙いによっていくつかの型に分かれます。まず全体像を押さえておくと、自社のどこが狙われやすいかを判断しやすくなります。
| 型 | なりすます相手 | 典型的な狙い |
|---|---|---|
| 取引先請求書型 | 取引先の担当者 | 「振込先口座が変わった」と偽り、偽の口座へ送金させる |
| 経営者型(CEO詐欺) | 自社の経営層・役員 | 「極秘の買収案件」等を装い、担当者に至急の送金を指示する |
| 弁護士・専門家型 | 顧問弁護士・会計士など | 機密の取引を理由に、外部の権威を装って送金を急がせる |
| 認証情報窃取・口座乗っ取り型 | 自社や取引先の正規利用者 | 先にメールアカウントを乗っ取り、本物の文脈で送金や口座変更を依頼する |
| 給与振込変更型 | 従業員本人 | 人事・経理に「給与の振込先を変更したい」と偽って依頼する |
IPAによれば、日本国内では海外取引のある企業で「取引先請求書型」が多く確認されてきました。一方、英語のやり取りに限らず、自然な日本語で経営者をかたる事例も増えています。型は固定ではなく、複数を組み合わせてくることも珍しくありません。
なぜ気づきにくいのか:手口の原理
BECが厄介なのは、攻撃が「異常」に見えないことです。普段の業務メールと同じ体裁で、同じような依頼が届きます。攻撃者はあらかじめ標的の組織を調べ、誰が送金権限を持ち、どの取引先とどんなやり取りをしているかを把握したうえで仕掛けてきます。
心理を突く三つのレバー
手口の核心は技術ではなく、人の判断を狂わせる心理操作にあります。よく使われるのが次の三つです。
- 権威: 「社長から」「顧問弁護士から」といった、断りにくい立場を装う。指示の正しさを疑う前に従わせる狙いです。
- 緊急: 「本日中に」「今すぐ」と締め切りを切り、確認する時間を奪う。あせりは正規の手順を飛ばさせます。
- 秘密保持: 「この件は極秘なので他言無用」と口止めし、本来なら相談や確認をするはずの相手に声をかけさせない。これが最も危険なレバーです。
この三つがそろうと、普段は慎重な担当者でも「上長に確認したら怒られるかもしれない」「急がないと取引に支障が出る」と感じ、ふだんの確認プロセスを自分から飛ばしてしまいます。
役員名で「進行中の買収の手付金を本日中に送ってほしい。詳細は追って共有するが、成立まで社内でも内密に」というメールが来た。文面も署名もいつも通りで、極秘と言われると上長にも聞きづらい。締め切りもあって、危うくそのまま手続きを進めるところだった。
差出人が「本物」になることもある
「送信元アドレスをよく見れば気づける」とよく言われますが、それだけでは防ぎきれません。確かに、表示名は本物でもアドレスのドメインが一文字違う(例: 正規ドメインの綴りを似た文字に置き換える)といった偽装は多く、ここを確認する習慣は有効です。
しかし、攻撃者が取引先や自社の正規メールアカウントを先に乗っ取っていた場合、差出人アドレスは紛れもなく本物になります。過去のやり取りのスレッドに割り込んでくることさえあります。この場合、アドレスを何度確認しても見破れません。だからこそ「差出人の確認」だけに頼る対策には限界があり、後述する送金プロセスそのものの統制が必要になるのです。
注意
「送信元アドレスが正しいから本物」とは言い切れません。正規アカウントの乗っ取りや、過去スレッドへの割り込みがあるためです。送金や口座変更の依頼は、メールの真正性だけで判断せず、必ずメール以外の経路で裏取りする運用にしてください。
影響:なぜ一件で大きな損害になるのか
BECの被害が深刻なのは、一件あたりの金額が大きくなりやすいからです。標的は日常的に高額の送金を扱う経理・財務であり、攻撃者は実在の取引に金額や文脈を合わせてきます。少額のばらまきではなく、成立すれば大きい一撃を狙う構造です。
国際的にも、FBIのIC3(Internet Crime Complaint Center)の年次報告で、BECは長年にわたり報告被害額の大きい類型の一つとして挙げられ続けています。送金が国境や複数口座をまたいで素早く移されるため、気づいたときには資金が引き出された後、ということも起こり得ます。
金銭被害に加えて、取引先を巻き込んだ場合は信用の毀損につながります。自社のアカウントが乗っ取られて取引先をだます踏み台にされれば、加害者側として説明責任を問われることもあります。被害は「お金が出ていく」だけにとどまらないと理解しておく必要があります。
フィッシングと地続きの手口でもあるため、入口対策の考え方は あわせて読みたい フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
対策の中心は「送金プロセスの統制」
ここが本記事で最も伝えたい点です。BEC対策を「だまされない注意力」に求めると、いつか必ず破られます。人は疲れ、急ぎ、権威に弱いからです。守りの軸は、個人の判断ではなく業務プロセスに置きます。具体的には、送金と口座情報の変更に「メール以外の経路での二重確認」を構造的に組み込みます。
- 1
二重確認を業務ルールに明文化する
一定額以上の送金、および振込先口座の新規登録・変更は、依頼メールとは別の経路(あらかじめ控えてある電話番号への架電、対面、社内の決裁システム等)で必ず確認する、とルール化します。ルールは「推奨」ではなく「必須」にし、例外をつくらないことが肝心です。
- 2
確認に使う連絡先は事前に登録したものだけを使う
確認の電話番号やメールを、依頼メールに書かれた連絡先から取ってはいけません。メールに記載された番号は攻撃者のものかもしれません。取引先台帳などに事前登録した正規の連絡先だけを使います。
- 3
権限を分離し、一人で完結させない
送金の起票者と承認者を分け、口座変更には別の担当の承認を必須にします。一人で送金まで完結できない仕組みにすれば、心理操作が一人に効いても全体は止まります。
- 4
メールの技術的ななりすまし対策を整える
SPF・DKIM・DMARCを設定し、自社ドメインのなりすましメールが届きにくく・信頼されにくくします。これは外部偽装型に有効です。ただし正規アカウント乗っ取り型には効かないため、プロセス統制と併用が前提です。
- 5
報告しやすい窓口と空気をつくる
「極秘」と言われても相談できる窓口を用意し、確認や相談を歓迎する文化を明示します。確認したことを責めない、むしろ評価する姿勢が、最後の砦になります。
二重確認のルールで特に重要なのが、「口座情報の変更」を送金と同じ重みで扱うことです。取引先請求書型の多くは、まず「振込先が変わりました」という連絡から入ります。ここで口座変更を無確認で受け入れてしまうと、その後の正規の請求がそのまま偽口座に流れます。口座変更こそ、メール以外の経路での確認を必須にすべき場面です。
IPAは多層防御の考え方に基づくBEC対策と、職員への啓発の重要性を示し、特徴と対策をまとめたレポートや掲示用資料、動画コンテンツを公開しています。
誤解しやすい点:MFAや暗号化は「決め手」ではない
多要素認証(MFA)の導入は、アカウント乗っ取り型BECの起点を減らすうえで有効です。ただし、MFAを入れても外部からのなりすましメール(自社アカウントを乗っ取らない型)は防げません。逆に、口座変更の二重確認ルールがあれば、たとえアカウントが乗っ取られても最終段で止められる可能性が大きく高まります。技術と運用は役割が違い、どちらか一方では穴が残ります。MFAの考え方は あわせて読みたい 従業員へのセキュリティ教育の設計。標的型訓練・報告文化・継続的な啓発の組み立て方
万一、送金してしまったら
被害は時間との勝負です。資金が引き出される前なら、組戻し(送金の取り消し依頼)が間に合う可能性があります。慌てて止まるのではなく、決めておいた順番で即座に動けるかどうかが分かれ目です。
- 1
送金した金融機関へ即連絡し、組戻しを依頼する
最優先です。少しでも早く依頼すれば、着金先での凍結や組戻しが間に合う可能性が上がります。営業時間外の連絡手段も事前に確認しておきます。
- 2
警察へ相談する
被害(または被害の疑い)を警察に相談します。国際送金がからむ場合は特に、早期の相談が後の対応につながります。
- 3
社内で事実を共有し、二次被害を止める
経営層・情報システム部門に報告し、アカウント乗っ取りの有無を確認します。乗っ取りがあれば、パスワード変更・セッション無効化・不正な転送設定の有無を点検します。
- 4
取引先・関係先へ連絡し、記録を残す
取引先がからむ場合は連絡し、双方で被害拡大を防ぎます。受信したメール・ヘッダ・やり取りを保全し、IPAやJPCERT/CC等への情報提供・相談も検討します。
メモ
事後対応の連絡先(取引銀行の窓口、警察の相談先、社内のエスカレーション経路)は、被害が起きてから探すと間に合いません。平時に一覧化し、関係者がすぐ参照できる場所に置いておくことが、被害額を左右します。
よくある質問
ウイルス対策ソフトを入れていればBECは防げますか?
送信元アドレスを確認すれば見破れますか?
中小企業や海外取引のない会社でも狙われますか?
「社長から極秘」と言われたら、確認してよいのですか?
DMARCを設定すればBECはなくなりますか?
まとめ
BEC対策チェックリスト
- 一定額以上の送金と口座変更に、メール以外の経路での二重確認を必須化しているか
- 確認の連絡先は、依頼メールではなく事前登録した正規の連絡先を使う運用か
- 送金の起票と承認を分け、一人で完結できない仕組みになっているか
- 口座情報の変更を、送金と同じ重みで確認対象にしているか
- SPF・DKIM・DMARCを設定し、なりすましメール対策を整えているか
- 「極秘」と言われても相談・確認できる窓口と、責めない文化があるか
- 送金してしまった場合の連絡先と手順を、平時に一覧化してあるか
ビジネスメール詐欺は、最新の技術ではなく、人の判断の隙を突く古典的な手口です。だからこそ、対策の主役も最新ツールではなく、送金プロセスの統制という地味な運用にあります。「だまされない人を育てる」のではなく、「だまされても送金が止まる仕組みをつくる」。この発想の転換が、最も確実な防御になります。
関連して、入口となるフィッシングの基礎は あわせて読みたい フィッシングの手口と対策の基本。個人と組織でできることを徹底解説 あわせて読みたい 従業員へのセキュリティ教育の設計。標的型訓練・報告文化・継続的な啓発の組み立て方
出典・参考
関連する記事
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
従業員へのセキュリティ教育の設計。標的型訓練・報告文化・継続的な啓発の組み立て方
形だけの年1回研修で終わらせないために。標的型攻撃メール訓練の正しい運用、罰しない報告文化のつくり方、行動を変える継続的な啓発の設計を、経営・管理の視点で実務的に解説します。
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
技術の脆弱性ではなく人の心理を突くソーシャルエンジニアリング。なりすまし、プリテキスティング、テールゲーティングといった代表的な手口の原理と成立条件、個人と組織でできる対策を、専門知識がなくても分かるように実務目線で解説します。