「社長からの指示メール」に要注意!BEC詐欺の手口と対策
「社長から至急の指示メールが届いた――」
もしあなたがこのようなメールを受け取ったら、すぐに対応してしまうかもしれません。しかし、そのメールはBEC(ビジネスメール詐欺)の可能性があります。
BEC詐欺は、世界中で被害額が急増しているサイバー犯罪のひとつです。FBIの報告によると、累計被害額は550億米ドル(約8兆円以上)にのぼり、ランサムウェアを上回る深刻な脅威となっています。
本記事では、BEC詐欺の具体的な手口から、企業が今すぐ実践できる対策まで詳しく解説します。
そもそもBEC(ビジネスメール詐欺)とは?
BEC(Business Email Compromise)とは、取引先や自社の経営者などになりすまして偽のビジネスメールを送り、不正な送金を促すサイバー犯罪です。
一般的なフィッシング詐欺が不特定多数を狙うのに対し、BEC詐欺は特定の企業や担当者をピンポイントで狙う点が大きな特徴です。攻撃者は事前にメールのやり取りを盗み見たり、企業のWebサイトやSNSから情報を収集したりして、本物と見分けがつかないほど巧妙なメールを作成します。
IPAの「情報セキュリティ10大脅威 2024」でも8位にランクインしており、国内企業にとっても決して他人事ではありません。
最近は、LINEグループを作る指示メールが頻発しているようです。ご注意ください!
BEC詐欺の代表的な5つの手口
FBIはBEC詐欺を大きく5つのパターンに分類しています。それぞれの特徴を見ていきましょう。
| 手口の種類 | 概要 | 主なターゲット |
|---|---|---|
| CEO詐欺(経営者なりすまし) | 社長や役員になりすまし、緊急の送金を指示する | 経理・財務部門 |
| 取引先なりすまし(偽請求書) | 取引先を装い、振込先口座の変更を依頼する | 購買・支払い担当者 |
| アカウント乗っ取り型 | 従業員のメールアカウントを乗っ取り、不正送金を依頼する | 取引先企業 |
| 弁護士なりすまし | 弁護士や法務担当を装い、機密案件として送金を促す | 判断力のある立場にない従業員 |
| 給与振込先の変更 | 従業員になりすまし、給与の振込先口座変更を申請する | 人事・総務部門 |
特に日本で多いのが「CEO詐欺」と「取引先なりすまし」の2パターンです。
CEO詐欺では「極秘案件のため他の人には言わないでほしい」「至急対応が必要」といった、心理的プレッシャーを与える文言が使われることが特徴です。受け取った担当者が上司に相談しにくい状況をあえて作り出すのが攻撃者の狙いです。
国内でも被害が発生!実際の事例
BEC詐欺は海外だけの問題ではありません。日本国内でも大きな被害が報告されています。
大手航空会社の事例(約3.8億円の被害)
国内の大手航空会社では、取引先を装った攻撃者から振込先口座の変更メールが届きました。正規のやり取りの中に自然に紛れ込んだ偽メールだったため、担当者は気づかずに指定口座へ送金してしまい、約3.8億円もの被害が発生しました。
欧州ブランド日本法人の事例(数億円規模の被害)
2018年には、欧州の大手服飾ブランドの日本法人でも、海外本社とのやり取りを悪用されたBEC詐欺が発生し、数億円規模の損害が報告されています。
これらの事例に共通するのは、正規の取引メールに巧みに割り込む形で偽メールが送られている点です。近年はAI技術を悪用したディープフェイク音声・映像によるなりすましも確認されており、手口はますます高度化しています。
BEC詐欺を防ぐための7つの対策
BEC詐欺の被害を未然に防ぐために、企業が実践すべき対策を紹介します。
1. 送金指示は必ず「メール以外」でも確認する
送金先の変更や急な振込依頼があった場合は、電話やFAXなどメール以外の手段で相手に直接確認しましょう。このとき、メールに記載された連絡先ではなく、名刺やアドレス帳など事前に把握している連絡先を使うことが重要です。
2. 送信元メールアドレスを注意深くチェックする
BEC詐欺では、正規アドレスに酷似した偽アドレスが使われます。たとえば「company.com」が「c0mpany.com」(oがゼロ)になっているなど、一見しただけでは気づきにくい偽装が行われます。送金に関するメールは特に注意深くアドレスを確認しましょう。
3. 送金に関する社内ルールを整備する
「一定金額以上の送金には複数人の承認を必要とする」「振込先変更には書面での手続きを義務付ける」など、送金に関する明確な社内ルールを設けることで、不正な送金指示への即座の対応を防ぐことができます。
4. 社員へのセキュリティ教育を定期的に実施する
BEC詐欺の存在と手口を、経理・財務部門だけでなく全社員に周知しましょう。IPAが公開している啓発資料や動画コンテンツを活用した社内研修も効果的です。
5. メールセキュリティ対策ツールを導入する
DMARC(ドメイン認証)やメールフィルタリングツールの導入により、なりすましメールの検知精度を高めることができます。電子署名機能の活用も有効な手段のひとつです。
6. OSやソフトウェアを最新の状態に保つ
メールアカウントの乗っ取りを防ぐためにも、OS・ソフトウェアのアップデートやウイルス対策ソフトの導入、パスワードの適切な管理を徹底しましょう。
7. 不審なメール情報を社内で速やかに共有する
ある社員が不審なメールに気づいた場合でも、攻撃者が別の社員に同様のメールを送っている可能性があります。不審メールの情報を社内で迅速に共有する体制を整えておくことが重要です。
もし被害に遭ってしまったら?
万が一BEC詐欺に遭ってしまった場合は、迅速な行動が被害拡大を防ぐカギです。
まず最初にすべきことは、送金元の銀行に連絡し、送金のキャンセルや組戻しの手続きを依頼することです。時間が経つほど資金の回収が困難になるため、一刻も早い対応が求められます。
あわせて、以下の対応を速やかに行いましょう。
| 対応項目 | 内容 |
|---|---|
| 警察への通報 | 攻撃者からのメール等を持参して最寄りの警察署に通報・相談する |
| ウイルスチェック | 社内のパソコンに対してウイルスチェックを実施する |
| パスワード変更 | メールアカウントのパスワードを速やかに変更する |
| 転送設定の確認 | メールの不正な転送設定やフォルダ振り分け設定がないか調査する |
| 社内ヒアリング | 他の社員が不審なメールを受信していないか確認する |
まとめ:「おかしい」と思ったら立ち止まる勇気を
BEC詐欺は、高度な技術がなくても人の心理を巧みに突くことで成立する犯罪です。「社長からの急ぎの指示」「取引先からの口座変更依頼」など、日常のビジネスメールに紛れ込む形で攻撃が行われるため、どんな企業でも被害に遭う可能性があります。
大切なのは、「いつもと違う」と感じたら、送金の前に必ず立ち止まって確認すること。そして、メール以外の方法で相手に直接連絡を取るという習慣を、組織全体で徹底することです。
たった一本の確認電話が、数億円の損失を防ぐことにつながります。BEC詐欺の脅威を正しく理解し、今日からできる対策を始めていきましょう。