ビジネスメール詐欺(BEC)とは?手口と対策を徹底解説
ビジネスメール詐欺(BEC)の手口と対策を解説。経営者なりすまし、取引先偽装など典型的な手口と、メール認証による防止策を紹介します。
「社長からの緊急送金依頼...本当に本人から?」
ビジネスメール詐欺(BEC: Business Email Compromise)は、企業を狙った高度な詐欺です。被害額は世界で数十億ドル規模に達しています。この記事では、BECの手口と具体的な対策を解説します。
ビジネスメール詐欺(BEC)とは
BECは、企業の経営者や取引先になりすまし、不正な送金や機密情報の漏洩を誘発する詐欺です。
被害の規模
| 項目 | データ |
|---|---|
| 世界の被害額(2023年) | 約29億ドル |
| 日本国内の被害額 | 推定100億円以上 |
| 1件あたりの平均被害額 | 約1,000万円 |
| 成功率 | 約3%(試行回数が多い) |
なぜ危険なのか
- 技術的対策をすり抜ける: ウイルスやマルウェアを使わない
- 人間の判断ミスを狙う: ソーシャルエンジニアリング
- 発覚が遅れる: 正規のメールに見える
- 被害額が大きい: 1回で数千万円の被害も
BECの典型的な5つの手口
手口1: 経営者なりすまし(CEO詐欺)
シナリオ: 経営者を装い、経理担当者に緊急の送金を指示。
From: 田中太郎社長 <t.tanaka@example-company.com>
To: 経理部 山田
Subject: 【至急】送金依頼
山田さん
今、重要な商談中で電話に出られません。
急ぎで以下の口座に送金をお願いします。
金額: 3,500万円
口座: ○○銀行 普通 1234567
名義: 株式会社ABC
本日15時までに完了してください。
詳細は後ほど説明します。
田中
見分けるポイント:
- 普段と異なる送金先
- 電話での確認を避ける
- 極端な緊急性
- いつもと違う依頼方法
手口2: 取引先偽装
シナリオ: 取引先を装い、振込先口座の変更を依頼。
From: 株式会社XYZ 経理部 <accounting@xyz-corp.co.jp>
To: 株式会社御社 買掛金担当
Subject: 振込口座変更のお知らせ
いつもお世話になっております。
株式会社XYZ経理部です。
弊社の振込口座が下記に変更となりましたので、
次回以降の支払いにつきましては、新しい口座への
振込をお願いいたします。
【新振込口座】
銀行名: △△銀行 渋谷支店
口座種別: 普通
口座番号: 9876543
口座名義: カ)XYZカイシャ
見分けるポイント:
- メールアドレスのドメインが微妙に違う
- 突然の口座変更
- 電話確認を促さない
手口3: 弁護士・専門家なりすまし
シナリオ: 顧問弁護士や税理士を装い、機密取引への参加を依頼。
From: 山本法律事務所 <yamamoto@law-office.jp>
Subject: 【機密】M&A案件について
○○株式会社 社長様
現在進行中のM&A案件について、デューデリジェンスの
ため、以下の書類の準備をお願いいたします。
機密性の高い案件のため、この件は社内でも
限られた方のみでお取り扱いください。
・直近3期分の財務諸表
・主要取引先リスト
・...
手口4: アカウント乗っ取り
シナリオ: 実際の社員のメールアカウントを乗っ取り、本人になりすまして詐欺を行う。
特徴:
- 本物のメールアドレスから送信
- 過去のメールを参照して自然な文面
- 発覚が非常に遅れる
手口5: 請求書偽装
シナリオ: 実在する請求書を改ざんし、振込先口座だけを変更。
特徴:
- 実際の取引に基づく正確な金額
- 見た目は本物と同一
- PDF添付ファイルの改ざん
BEC対策:技術面
1. メール認証の強化
SPF/DKIM/DMARCを正しく設定することで、なりすましメールを検出できます。
# 厳格なDMARCポリシー
_dmarc.example.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
RiskLensで診断: 自社ドメインのメール認証状況を確認し、p=rejectを目指しましょう。
2. メールフィルタリング
- 外部メールに「【外部】」タグを付与
- 類似ドメインからのメールを警告
- 新規ドメインからの初回メールを隔離
3. 多要素認証(MFA)
メールアカウントへの不正アクセスを防止:
- Microsoft 365: Microsoft Authenticator
- Google Workspace: Google Authenticator
- 全アカウントでMFA必須化
4. 類似ドメインの監視
自社ドメインに似たドメインが登録されていないか監視:
- example.com → examp1e.com(1とlの誤認)
- example.com → exarnple.com(rnとm)
- example.com → example.co(.jpなし)
BEC対策:運用面
1. 送金承認プロセスの見直し
| 金額 | 承認プロセス |
|---|---|
| 100万円未満 | 部長承認 |
| 100万円以上 | 部長 + 経理部長 |
| 500万円以上 | 上記 + 役員 |
| 口座変更 | 電話での確認必須 |
2. コールバック手順
振込先変更や高額送金の依頼があった場合:
- メールに記載の連絡先は使わない
- 既知の電話番号に電話
- 本人確認を実施
- 承認記録を残す
3. 従業員教育
- 定期的なBEC訓練メールの送信
- インシデント報告の奨励
- 事例共有による意識向上
4. 情報公開の制限
攻撃者は公開情報を悪用します:
- 組織図の公開を控える
- SNSでの役職情報を制限
- 取引先情報の管理
BECの兆候チェックリスト
以下の兆候があれば要注意:
- 送金先口座の変更依頼
- いつもと違う送金方法の指定
- 「内密に」「口外禁止」の強調
- 電話確認を避ける依頼
- 極端に短い期限
- 普段と違う文体・敬語
- 微妙に違うメールアドレス
被害に遭った場合の対応
即座に行うこと
- 銀行に連絡して送金停止を依頼
- 警察に被害届を提出
- 関係者への情報共有
- アカウントのパスワード変更
その後の対応
- 原因調査(フォレンジック)
- 再発防止策の策定
- 従業員への周知
- 必要に応じて公表
時間との勝負
送金後72時間以内であれば、資金凍結の可能性があります。異変に気づいたら即座に行動してください。
経営層への報告ポイント
BEC対策を経営層に提案する際のポイント:
リスクの定量化
年間の潜在的被害額 =
試行回数(推定50回/年) × 成功率(3%) × 平均被害額(1,000万円)
= 1,500万円/年
対策コスト(メール認証 + 訓練): 約100万円/年
→ ROI: 1,400%
必要な投資
| 対策 | 初期コスト | 運用コスト/年 |
|---|---|---|
| メール認証設定 | 0〜10万円 | 0円 |
| メールフィルタリング強化 | 50〜200万円 | 30〜100万円 |
| 従業員訓練 | 30〜100万円 | 20〜50万円 |
| 類似ドメイン監視 | 0〜10万円 | 10〜30万円 |
まとめ
BECは技術的対策だけでは防げない、人間を狙った詐欺です。
対策の優先順位:
| 優先度 | 対策 | 効果 |
|---|---|---|
| 1 | 送金承認プロセスの見直し | 最重要 |
| 2 | メール認証(DMARC)設定 | なりすまし防止 |
| 3 | 従業員教育・訓練 | 意識向上 |
| 4 | メールフィルタリング | 技術的防御 |
まずはRiskLensで自社ドメインのメール認証状況を診断し、なりすまし対策を強化しましょう。