ビジネスメール詐欺 びじねすめーるさぎ
BECフィッシングなりすまし標的型攻撃振込詐欺ソーシャルエンジニアリング
ビジネスメール詐欺について教えて
簡単に言うとこんな感じ!
「社長からの緊急送金指示」や「取引先の口座変更のお知らせ」を装った偽メールで、担当者を騙してお金を振り込ませる詐欺だよ!ウイルスじゃなく”人の判断”を狙う、超リアルな罠なんだ!
ビジネスメール詐欺とは
ビジネスメール詐欺(BEC: Business Email Compromise)とは、攻撃者が経営幹部・取引先・弁護士などになりすましたメールを送りつけ、企業の担当者に不正な送金や機密情報の開示をさせる詐欺手法です。マルウェアや技術的な脆弱性を直接突くのではなく、人間の信頼・権威・焦りといった心理的な弱点を悪用するのが最大の特徴です。
被害の特徴は「気づいた時にはお金が消えている」こと。送金後に資金は即座に海外口座へ転送されるため、回収はほぼ不可能です。FBI(米国連邦捜査局)の報告では、ランサムウェアをはるかに上回る世界最大級の被害額を誇るサイバー犯罪として位置づけられており、日本でも大手企業・自治体・病院など業種を問わず被害が続出しています。
技術的な侵入に頼らないため、どれだけセキュリティシステムを強化しても完全には防げないのが悩ましい点。対策の鍵は「手順の整備」と「人の教育」にあります。
BECの主な手口と構造
BECには攻撃パターンがいくつかあり、それぞれ狙う相手と騙し方が異なります。
| 手口の種類 | なりすます相手 | 騙す相手 | 要求内容 |
|---|---|---|---|
| CEO詐欺 | 社長・役員 | 経理・財務担当者 | 緊急の秘密送金 |
| 取引先偽装 | 仕入先・業者 | 購買・経理担当者 | 振込先口座の変更 |
| 弁護士偽装 | 法律事務所 | 経営幹部 | 極秘案件の送金 |
| メールアカウント乗っ取り | 本物の取引先 | 取引先の担当者 | 偽請求書への支払い |
| 人事・給与詐欺 | 従業員本人 | 人事・給与担当者 | 給与振込先の変更 |
BECが成功してしまう心理的トリガー
攻撃者は次の心理を巧みに突いてきます。
- 権威(Authority):「社長から直接」「顧問弁護士から」という権威ある差出人
- 緊急性(Urgency):「今日中に」「急ぎ対応を」という焦りを煽る文言
- 秘密性(Secrecy):「他言無用で」「CFOには報告しないで」という孤立化
- リアリティ(Reality):実在の取引先・会社名・担当者名・署名を使った本物そっくりの文面
攻撃者が事前にやっていること
BECは「行き当たりばったり」ではなく、数週間〜数ヶ月の下調べを経て実行されます。
1. ターゲット企業のWebサイト・SNS・プレスリリースから
役員名・担当者名・組織図・取引先情報を収集
2. LinkedIn等でメールの文体・決裁フロー・担当者の人間関係を把握
3. ドメインをわずかに変えた「なりすましドメイン」を取得
例) 正規: example.co.jp → 偽物: examp1e.co.jp
4. タイミングを狙って(出張中・繁忙期・人事異動直後)送信
5. 担当者が振り込んだらすぐに海外の複数口座へ転送歴史と背景
- 2013年頃〜:米国でCEO詐欺(CEO Fraud)として被害が急増し始める
- 2016年:FBIが正式に「BEC(Business Email Compromise)」として警告を発令。被害総額は当時で30億ドル超
- 2019年:FBI IC3レポートにて、BECの年間被害額が約17億ドルとランサムウェアの約50倍に達したことが判明
- 2019年:日本でも大手自動車メーカーの欧州子会社が約37億円を騙し取られた事例が報道され、国内で一気に注目度が上がる
- 2020年〜:コロナ禍でリモートワークが普及。「対面で確認できない」環境が攻撃者に有利となり、世界的に被害が拡大
- 2022年:FBI IC3レポートでBECの累計被害額が430億ドル超(約6兆円)に達したと発表
- 2023年〜現在:生成AIによりメール文章のクオリティが向上し、日本語の不自然さで見破ることが難しくなる。さらに音声・動画のディープフェイクを使った「社長の声でのZoom指示」型BECも登場
BECメールの見破り方と対策
実際に届いたメールがBECかどうか、どう見分けるかを整理します。
組織として取り組む対策
| 対策 | 具体的な内容 |
|---|---|
| 送金ルールの整備 | 一定金額以上の送金・口座変更は必ず複数人承認を必須にする |
| メールだけで完結させない | 口座変更・緊急送金は必ず電話や対面で確認するルールを作る |
| DMARC/DKIM/SPFの設定 | 自社ドメインのなりすまし送信を技術的に防ぐメール認証を導入する |
| 社員教育・訓練 | 模擬BECメールを使った訓練を定期実施し、報告文化を醸成する |
| 外部送金の監視 | 過去に送金したことのない海外口座への送金をシステムで警告させる |
BECとフィッシングの違い
よく混同されますが、BECは「広くばらまく」フィッシングとは異なります。
| 比較軸 | フィッシング | BEC |
|---|---|---|
| 対象 | 不特定多数 | 特定の企業・担当者 |
| 目的 | ID/パスワード窃取 | 送金・口座変更 |
| 手口 | 偽サイトへ誘導 | 信頼できる人物になりすます |
| 事前調査 | ほぼなし | 数週間〜数ヶ月の入念な調査 |
| 被害額 | 1件は小額が多い | 1件で数千万〜数億円 |
関連する規格・参考情報
| 規格・情報源 | 内容 |
|---|---|
| FBI IC3 年次レポート | 毎年公開。BECの世界被害額・手口の統計が確認できる |
| RFC 7489(DMARC) | メールなりすましを防ぐためのドメイン認証フレームワーク |
| RFC 6376(DKIM) | メールに電子署名を付与し、改ざん・なりすましを検知する仕組み |
| RFC 7208(SPF) | 正規の送信サーバーを宣言し、偽装送信元を検知する仕組み |
| IPA「標的型攻撃メール」注意喚起 | 日本語でのBEC・標的型メール対策のガイドライン |
関連用語
- フィッシング — 偽サイトへ誘導してID・パスワードを盗む詐欺手法
- ソーシャルエンジニアリング — 技術ではなく人間の心理・行動を操って情報を盗む攻撃手法の総称
- 標的型攻撃 — 特定の組織・個人を狙って入念に準備されたサイバー攻撃
- DMARC — メールのなりすまし送信を防ぐためのドメイン認証・ポリシー設定の仕組み
- スピアフィッシング — 特定の個人・組織に絞り込んだ高精度なフィッシング攻撃