IT用語集 2024/05/02

ビジネスメール詐欺とは？わかりやすく10分で解説

コラム

はじめに

ビジネスメール詐欺（BEC：Business Email Compromise）は、取引先、経営層、社内担当者などからの正当な依頼に見せかけ、不正送金や機密情報の提供を誘導する詐欺です。メールを使うサイバー攻撃の一種ですが、単純な迷惑メールやウイルス感染だけで成立するものではありません。業務の承認手順、取引先との信頼関係、担当者の心理的な圧力を悪用する点に特徴があります。

BEC対策では、メールを見分ける力だけに依存してはいけません。送金、振込先変更、機密情報の送付など、被害が確定する操作の前に、別経路確認、二重承認、アカウント保護、メール認証、ログ監視を組み合わせる設計が求められます。

ビジネスメール詐欺（BEC）とは

ビジネスメール詐欺（BEC）とは、業務メールを悪用して、送金、ギフトカード購入、請求書の支払い、振込先変更、機密情報の送付などを実行させる詐欺です。攻撃者は、経営者、上司、取引先、弁護士、金融機関、社内の担当者などになりすまし、受信者が通常業務として処理しそうな依頼を作ります。

BECの問題は、攻撃メールが必ずしも不自然な文面や危険な添付ファイルを含むとは限らない点です。実在のメールアカウントを乗っ取る場合もあれば、似たドメイン、表示名の偽装、返信先のすり替え、既存スレッドへの割り込みを使う場合もあります。見た目だけで真偽を判断する運用では、被害を防ぎきれません。

フィッシングとの違い

フィッシング詐欺は、偽サイトや偽メールを使って認証情報、個人情報、クレジットカード情報などを盗む手口です。BECは、その認証情報を使ってメールアカウントを乗っ取る場合もありますが、最終目的は送金や情報提供などの業務操作を実行させることにあります。

つまり、フィッシングはBECの準備段階として使われることがあります。一方で、BECはアカウント乗っ取りがなくても成立します。似たドメインや表示名を使い、取引先からの依頼に見せかけて振込先変更を求めるだけでも、業務手続きが弱ければ被害につながります。

BECが成立する主な要素

なりすまし：経営層、上司、取引先、金融機関などを装う
信頼の悪用：既存の取引、実在の担当者名、過去のメール文脈を利用する
心理的圧力：至急、口外禁止、期限、取引停止などを示して確認を省かせる
業務手続きの不備：送金や口座変更がメールだけで処理される状態を狙う
アカウント侵害：フィッシング、漏えいパスワード、マルウェアなどでメールアカウントを奪う

ビジネスメール詐欺の代表的な手口

BECには複数の型があります。実際の攻撃では、単独の手口だけでなく、アカウント乗っ取り、事前調査、似たドメイン、既存スレッドの悪用が組み合わされます。

経営層・上司になりすます手口

攻撃者は、経営者や上司を装い、経理・財務・総務などの担当者へ緊急送金、ギフトカード購入、機密資料の送付を依頼します。文面では「至急」「社外秘」「本人確認は不要」「今は電話できない」といった表現を使い、通常の確認手順を外させようとします。

この手口は、組織内の上下関係を利用します。担当者が「上司からの急ぎの依頼だから」と判断し、確認を省くと被害が確定します。役職者名での依頼であっても、送金や情報提供を伴う場合は、所定の承認手順を通す設計が必要です。

取引先になりすます手口

取引先や委託先を装い、請求書の振込先変更、支払い条件の変更、未払い請求への対応を求める手口です。既存の請求書テンプレートや実在の担当者名を使うと、受信者には通常の取引連絡に見えます。

特に、振込先口座の変更はBECで狙われやすい操作です。メール本文に記載された電話番号や返信先へ確認しても、攻撃者の連絡先へ誘導される場合があります。確認には、事前登録済みの代表番号、契約書上の連絡先、社内で管理している取引先マスターを使います。

メールスレッドを乗っ取る手口

攻撃者が取引先や社内担当者のメールアカウントを侵害すると、過去のやり取りを読んだうえで自然な文脈に割り込めます。請求、納品、契約、支払い時期を把握してから依頼を差し込むため、単純な差出人確認では見抜きにくくなります。

この手口では、メール本文の文体、署名、過去の添付ファイル名まで似せられる場合があります。既存スレッド内の依頼であっても、口座変更、送金、認証情報、機密情報の送付が含まれる場合は、別経路確認を行います。

認証情報を盗んで悪用する手口

攻撃者は、スピア・フィッシング、偽ログイン画面、漏えいパスワード、多要素認証消耗攻撃などでメールアカウントを奪います。侵害後は、転送ルールの追加、削除ルールの設定、外部アドレスへの自動転送などで発見を遅らせることがあります。

正規アカウントから送信されたメールは、受信者にとって本物に見えやすくなります。アカウント保護とログ監視を組み合わせ、通常と異なる地域、端末、時間帯、転送ルールの作成を検知できる状態にします。

ビジネスメール詐欺が起きやすい場面

BECは、メールの文面だけで成立するのではなく、業務上の判断が入る場面で被害に変わります。特に、送金、口座変更、契約、請求、個人情報の取り扱いに関わる業務は狙われやすくなります。

請求書・振込先変更

取引先からの請求書、支払い依頼、振込先変更通知は、BECで多用される場面です。攻撃者は、請求サイクルや支払期限を調べたうえで、支払い直前に振込先の変更を依頼します。

この場面では、メールの差出人や署名だけで判断せず、口座変更の受付手順を固定します。申請書式、本人確認、複数名承認、登録済み連絡先への確認、変更履歴の記録を組み合わせると、不正な変更を通しにくくなります。

緊急送金・例外処理

経営層や上司を装い、通常の承認を省いた緊急送金を求める手口もあります。「今日中」「取引停止を避けたい」「相手に直接連絡しないでほしい」といった文面で、担当者の判断を急がせます。

緊急時ほど、例外手続きを明確にしておきます。金額、承認者、確認経路、記録方法を決め、通常手順から外れる場合ほど追加承認を求める設計にします。

人事・給与・個人情報の送付

BECでは、送金だけでなく、従業員情報、顧客情報、給与情報、税務書類、ID一覧なども狙われます。攻撃者は、人事部門や管理部門になりすまし、個人情報を含むファイルを送らせる場合があります。

情報提供の依頼では、依頼者の役職だけでなく、提供目的、対象範囲、送付先、保存先、承認履歴を確認します。顧客情報や従業員情報が外部へ送られると、情報漏えいとしての対応も必要になります。

クラウドメール・SaaS利用環境

クラウドメールやSaaSを使う環境では、メールアカウントが業務アプリ、ファイル共有、チャット、ワークフローの認証と結び付くことがあります。メールアカウントが侵害されると、関連するサービスにも被害が及ぶ場合があります。

メールアカウントには多要素認証、条件付きアクセス、端末制御、ログ監視を適用し、メールだけでなく周辺サービスへの影響も確認します。

ビジネスメール詐欺への対策

BEC対策は、技術対策と業務手続きの両方で設計します。アカウントを守る、なりすましを減らす、送金・情報提供の前に止める、被害時に速やかに連絡する、という流れで整理すると実装しやすくなります。

送金・口座変更をメールだけで完結させない

最も優先度が高いのは、送金や口座変更をメールだけで完結させないことです。依頼が本物に見えても、金銭や機密情報が動く場合は、別経路で確認します。

振込先変更は、事前登録済みの電話番号や契約書上の連絡先へ確認する
メール本文に記載された電話番号や返信先だけを使わない
一定金額以上の送金は、複数名承認と記録を必須にする
緊急支払いでも、例外承認者と確認方法を固定する
取引先マスターの変更履歴を残し、変更後の初回送金は追加確認する

アカウント保護を強化する

メールアカウントの侵害を減らすには、多要素認証、パスワード管理、条件付きアクセス、端末管理を組み合わせます。MFAはアカウント乗っ取りのリスクを下げますが、似たドメインや表示名の偽装によるBECは残るため、業務手続きの確認と併用します。

メール、管理画面、会計システム、ファイル共有に多要素認証を適用する
使い回しパスワードを禁止し、パスワード管理ツールの利用を検討する
海外IP、未登録端末、通常と異なる時間帯のログインを検知する
不審な認証要求の連続発生を報告する手順を定める
退職者、異動者、委託先担当者のアカウントを速やかに無効化する

メール認証と受信側の検知を整備する

なりすましメールを減らすには、SPF、DKIM、DMARCの整備が有効に機能します。これらは、自社ドメインを使った不正送信への対策として役立ちます。

ただし、メール認証だけでBECを防げるわけではありません。攻撃者が似たドメインを使う、正規アカウントを乗っ取る、既存スレッドに割り込む場合は、メール認証をすり抜けることがあります。外部メールの警告表示、類似ドメインの検知、添付ファイル・URL検査、転送ルール監視も組み合わせます。

転送ルールとログを監視する

メールアカウントが侵害されると、攻撃者は自動転送ルールや削除ルールを作成し、被害者に気づかれないようにメールを監視します。転送ルール、ログイン履歴、管理者操作、メールボックス設定の変更は監視対象にします。

外部アドレスへの自動転送を検知する
不審な削除ルール、非表示ルール、フォルダ移動ルールを確認する
通常と異なる地域・端末・ブラウザからのログインを検知する
権限変更、委任設定、共有メールボックスの変更を記録する
メールセキュリティ製品やSIEMで関連ログを確認できる状態にする

教育を手順に接続する

教育では、「怪しいメールを見抜く」だけを目標にしないほうが実務に合います。BECは本物らしく作られるため、個人の直感だけでは限界があります。送金、口座変更、機密情報送付は、必ず手順に戻すという判断を標準化します。

請求書の口座変更、経営層からの緊急送金、口外禁止依頼などの典型例を共有する
判断に迷った場合の報告先を明確にする
通報した担当者を責めない運用にする
訓練後は、クリック率だけでなく報告率と確認手順の遵守状況を確認する

被害が疑われる場合の初動対応

BECは、送金後の対応が遅れるほど回収が難しくなります。被害が疑われる場合は、原因調査だけでなく、送金停止、金融機関への連絡、証跡保全、アカウント保護を並行して進めます。

送金・口座変更が関係する場合

送金前であれば、直ちに支払い処理を停止する
送金後であれば、取引銀行へ連絡し、組戻しや送金先金融機関への照会を依頼する
取引先へ、事前登録済みの連絡先を使って確認する
社内の経理責任者、情報システム部門、法務、CSIRTへ連絡する
警察、所管機関、サイバー犯罪相談窓口への相談を検討する

メールアカウント侵害が疑われる場合

対象アカウントのパスワードを変更し、セッションを無効化する
多要素認証の設定、登録済み認証デバイス、復旧用メールアドレスを確認する
転送ルール、削除ルール、委任設定、共有設定を確認する
ログイン履歴、送信履歴、管理者操作ログを保全する
同じ認証情報を使っている他サービスのアカウントも確認する

証跡として残すもの

調査や金融機関への説明では、証跡の保全が欠かせません。メール本文のコピーだけでなく、ヘッダー情報、添付ファイル、URL、送金指示、承認記録、チャット履歴、ログを残します。

メール原本とヘッダー情報
添付ファイル、URL、返信先、送信元ドメイン
請求書、振込依頼書、口座変更通知
承認履歴、送金処理履歴、取引先確認記録
ログイン履歴、転送ルール、管理者操作ログ

ビジネスメール詐欺対策で優先して見直す項目

すべての対策を同時に整えるのは難しいため、まず被害に直結する接点から確認します。優先順位は、金銭や機密情報が動くか、外部から操作できるか、ログで追跡できるかで決めます。

送金、振込先変更、請求書処理の承認手順
取引先口座情報の登録・変更・確認方法
経理、財務、購買、営業、人事部門のメールアカウント保護
多要素認証、条件付きアクセス、端末制御の適用状況
SPF、DKIM、DMARCの設定状況
転送ルール、海外ログイン、異常な管理者操作の監視
被害時の金融機関連絡、社内報告、証跡保全の手順

まとめ

ビジネスメール詐欺（BEC）は、メールを使って送金、振込先変更、機密情報の提供を誘導する詐欺です。技術的な侵入だけでなく、取引先との信頼関係、社内の役職関係、緊急時の判断、承認手順の不備を組み合わせて成立します。

対策では、メールを見分ける教育だけに依存せず、送金・口座変更を別経路で確認する業務設計、メールアカウントの保護、SPF・DKIM・DMARCの整備、転送ルールとログの監視、被害時の金融機関連絡手順を組み合わせます。特に、経理・財務・購買・営業・人事など、金銭や機密情報を扱う部門では、確認手順を業務ルールとして固定することが被害抑制の前提になります。