ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(BEC:Business Email Compromise)とは、企業の経営幹部や取引先になりすまして、従業員を騙し、不正送金や機密情報の提供をさせる高度な詐欺手法です。詐欺・なりすまし(人の心理を狙う)の中でも特に被害額が大きい脅威で、CEOや社長、取引先の担当者を装った巧妙なメールで、経理担当者に「緊急で極秘の送金」を指示したり、人事部に従業員情報の提供を要求したりします。技術的な攻撃ではなく、人間の心理と組織の信頼関係を悪用する点が特徴です。
ビジネスメール詐欺(BEC)を簡単に言うと?
会社の中で、偽の社長からの電話がかかってきて「今すぐ極秘案件でお金を振り込んで」と言われるようなものです。声や話し方が社長そっくりで、「これは他の人には内緒だ」「君だけを信頼している」と言われると、疑わずに従ってしまいます。BECも同じで、メールの送信者名が本物の上司や取引先に見え、文面も本物そっくりで、「緊急」「極秘」「あなただけに頼める」という言葉で判断を急かします。普段なら確認するところを、権威や緊急性に押されて、つい指示に従ってしまう。それが数千万円、時には数億円の被害につながる恐ろしい詐欺なのです。
ビジネスメール詐欺(BEC)で発生する被害は?
ビジネスメール詐欺により、巨額の不正送金、企業機密の流出、サプライチェーン全体への被害拡大などが発生します。詐欺・なりすまし(人の心理を狙う)手法の中でも、一件あたりの被害額が数百万円から数十億円と桁違いに大きく、中小企業では倒産に追い込まれるケースもあります。金銭被害だけでなく、従業員の個人情報や取引先情報が盗まれることで、二次被害が長期間続く可能性があります。
ビジネスメール詐欺(BEC)で発生する直接的被害
- 巨額の不正送金
CEO詐欺により「極秘のM&A案件」として数億円の送金を指示され、海外の口座に振り込んでしまい、資金が回収不能になる
- 給与情報・個人情報の大量流出
人事部長になりすまして「税務調査のため」と全従業員のマイナンバーや給与情報を要求され、数千人分の個人情報が詐欺師に渡る
- 取引先への連鎖被害
自社のメールアカウントが乗っ取られ、取引先に偽の請求書を送信して、取引先からも金銭を騙し取る加害者になってしまう
ビジネスメール詐欺(BEC)で発生する間接的被害
- 取引関係の崩壊
詐欺被害により支払いが滞り、仕入先との信頼関係が崩壊して、商品供給が止まり事業継続が困難になる
- 内部統制の信頼性喪失
多額の詐欺被害が発生したことで、株主や投資家から経営管理体制を問われ、株価下落や資金調達困難に陥る
- 従業員のメンタルヘルス被害
詐欺に加担してしまった従業員が自責の念に苦しみ、退職や精神的な不調を抱える
ビジネスメール詐欺(BEC)の対策方法
ビジネスメール詐欺への対策は、送金プロセスの多重確認、メール以外での本人確認、従業員教育の徹底が基本となります。詐欺・なりすまし(人の心理を狙う)手法への対策として、高額送金には必ず複数承認を必要とし、緊急案件でも電話や対面での確認を義務化することが重要です。また、メールのなりすまし対策(SPF、DKIM、DMARC)の導入、定期的な詐欺メール訓練により、組織全体の耐性を高めることができます。
ビジネスメール詐欺(BEC)の対策を簡単に言うと?
お金を扱う銀行の仕組みに例えると、大金を下ろす時は必ず「本人確認」「上司の承認」「使用目的の確認」という三重チェックをするようなものです。たとえ社長からの指示でも、メールだけでなく必ず電話をかけ直して確認します(折り返し電話が重要)。「極秘だから誰にも言うな」と言われたら、それこそが詐欺のサインだと認識します。また、社員全員で「怪しいメールの見分け方」を勉強し、定期的に「詐欺メール訓練」を行います。一人で判断せず、必ず誰かに相談する文化を作ることが、組織を詐欺から守る最強の盾となるのです。
ビジネスメール詐欺(BEC)に関連した攻撃手法
詐欺・なりすまし(人の心理を狙う)において、ビジネスメール詐欺(BEC)と密接に関連する3つの攻撃手法を解説します。
- 標的型攻撃(APT)
BECの実行前に標的型攻撃で企業内部の情報を収集することがあります。長期間の偵察により組織構造、決裁フロー、人間関係を把握し、その情報を使ってより説得力のあるBECメールを作成します。標的型攻撃とBECが組み合わさることで、検知が極めて困難な詐欺が実行されます。
- ソーシャルエンジニアリング
BECの成功の鍵となる要素です。LinkedInやFacebookなどのSNSから経営陣の出張予定、趣味、人脈などの情報を収集し、本物そっくりのメールを作成します。ソーシャルエンジニアリングによる事前調査が、BECの信憑性を高める重要な役割を果たします。
- フィッシング
BECの準備段階で、従業員のメールアカウントを乗っ取るために使われます。フィッシングでメールアカウントの認証情報を盗み、そのアカウントを使って内部から本物のメールとしてBECを実行する、より巧妙な攻撃が増加しています。
ビジネスメール詐欺(BEC)のよくある質問
はい、むしろ中小企業の方が狙われやすいです。セキュリティ体制が大企業より弱く、承認プロセスが簡素なため、詐欺師にとって成功率が高いターゲットとなります。
24時間以内なら回収できる可能性がありますが、国際送金の場合は極めて困難です。即座に銀行と警察に連絡し、送金の取り消しや口座凍結を依頼することが重要です
送信元メールアドレスの微妙な違い(1文字違いなど)、普段と異なる言い回し、緊急性を強調する文面、秘密保持を過度に要求する内容などが危険信号です。少しでも違和感があれば確認を取ることが大切です。
非常に危険です。「海外出張中で電話できない」という設定は、BECの典型的な手口です。必ず別の手段(国際電話、別の上司への確認など)で本人確認を行ってください。
定期的に模擬BECメールを送信し、従業員の対応を確認します。騙された場合も処罰せず、学習の機会として活用することが重要です。外部の専門業者によるトレーニングも効果的です。
更新履歴
- 初稿公開
