学習

BEC(ビジネスメール詐欺)とは? 手口・典型シナリオ・対策・被害時対応まで完全ガイド

admin · · 6 min read

BEC Defense Guide — Tactics, Scenarios, Defense & Response
Illustration: Storyset (line, brand-recolored)

「振込先が変わりました。新しい口座へ至急送金してください」——取引先の役員からのメールだと思ってよく見たら、ドメインがほんの 1 文字違う偽物。気づいた頃には、数千万〜数億円が攻撃者の口座へ消えている。これが ビジネスメール詐欺(BEC: Business Email Compromise)です。フィッシングが「不特定多数を釣る漁」だとすれば、BEC は「特定の経理担当者を狙う一本釣り」。本記事は、その手口・典型シナリオ・見抜き方・被害時の対応を、中小から大企業まで対応できる粒度で解説します。

BEC とは ― 高額被害を生む「なりすまし送金詐欺」

BEC は、取引先や自社役員になりすました巧妙な業務メールで、経理担当者に多額の不正送金を行わせる詐欺です。一般的なフィッシングがパスワードや個人情報を盗むのに対し、BEC は最初から「送金させる」ことを目的に設計されます。米 FBI の統計では、世界の BEC 被害は累計数百億ドル規模に達し、国内でも JPCERT/CC が継続的に注意喚起を出している主要脅威の一つです。被害が単発でも数千万円〜数億円に達することがあり、中小企業の経営を一撃で揺らす破壊力を持ちます。

典型シナリオ ― 攻撃者の準備と手口

BEC は、思いつきの単発攻撃ではありません。多くは数週間〜数か月の事前準備を伴います。

  1. 偵察:標的企業の役員名・取引先・経理担当者を、Web サイト・SNS・LinkedIn・プレスリリースから収集。
  2. 足場の確保:いずれかの関係者(取引先や自社の社員)のメールアカウントをフィッシング等で乗っ取る、またはドメイン酷似(タイポスクワッティング)で偽ドメインを取得。
  3. 潜伏観察:本物のメールやり取りを読み、文体・件名のパターン・取引のタイミングを学習。AI を使えば数時間でその人の「メール文体プロファイル」を再現できる時代になっています。
  4. 仕掛け:振込締切・契約締結等の都合のよいタイミングで「振込先変更」「至急送金」を依頼。本物の連絡履歴の続きに見えるよう、文脈を整えてくる。
  5. 送金後の即時資金洗浄:受領銀行から数時間以内に複数口座へ転送される。発覚時には資金回収はほぼ不可能になる。

典型 4 パターン

  • ① 取引先なりすまし型:いつも取引している海外サプライヤーの「経理」を名乗り、「銀行を変更した」と通知。最多パターン。
  • ② CEO/役員なりすまし型:自社の社長/CFO を装い、経理担当に「機密案件で至急振込を」と直接依頼。普段やり取りのない経路ほど効果的。
  • ③ 法務/弁護士なりすまし型:M&A・訴訟対応など「外には漏らせない案件」を装い、外部の弁護士を演じて秘匿性を強調。
  • ④ 給与情報詐取型:人事担当に「給与振込先を変更したい」と社員を装って依頼。少額だが大量に成功する。

見抜くポイント ― 文面より「動線」を疑う

AI 文面生成で「日本語の不自然さ」では見抜けない時代です。狙うのは「文面の違和感」ではなく「業務動線の違和感」。

  • ドメインを丁寧に見る:「@taro-yamada-corp.com」が普段なのに、今回は「@taro-yamada-corp.co」(末尾 .com → .co)になっていないか。一文字違いの偽ドメインが定番。
  • 返信先(Reply-To)を確認:表示は本物でも、Reply-To が別ドメインにすり替わっている場合あり。メーラーで「全ヘッダー表示」して確認。
  • 「至急」「秘密」「直接私に」を疑う:通常のチェック経路(稟議・上長承認)を回避させようとする圧力は BEC の典型徴候。
  • 送金額・時期の異常:締切間近、休日前、通常より大きな金額、通常と異なる口座は、すべて要注意フラグ。
  • 取引相手と最近会話していない:今回が「久しぶり」の取引ならとくに警戒。

会社で必ず置くべき防御策

個人の判断に頼らず、ルールと体制で防ぐのが BEC 対策の本質です。

  • 振込先変更・高額送金は「メール以外で裏取り」を必須にする:取引先の事前登録された電話番号に折り返し電話で確認。これだけで多くを止められる。
  • 二人決裁(デュアルコントロール):一定額以上の送金は、必ず二人以上の承認を経るフローに。
  • 送金前の “クールダウン” ルール:急ぎの依頼ほど、24 時間の保留と上長承認を挟む。
  • 従業員教育+疑似訓練:年 1 回でいいので、BEC を模した訓練メールを送って気づける文化を育てる。
  • DMARC・SPF・DKIM の運用:自社ドメインのなりすましメールを受信側で弾いてもらうための、メール認証技術の設定。
  • メール監視・異常検知:受信ボックスの自動転送ルール、新規ログイン場所など、アカウント乗っ取りの兆候を IT 側で監視。

被害に気づいたときの初動 ― 「24 時間以内」が分かれ目

  1. 即座に銀行へ連絡:送金先の銀行に組戻し(リコール)を依頼。24 時間以内なら回収可能性が残ることが多い。
  2. 警察(サイバー犯罪相談窓口)に通報:BEC は刑法上の詐欺。被害届を早期に提出。
  3. IPA・JPCERT/CC に通報:被害情報を共有し、同種被害の波及防止に貢献。
  4. 関係者全員に注意喚起:自社・取引先双方に同じ手口の警戒を発信。攻撃者は同じ手で他の関係者も狙っている。
  5. アカウント侵害の確認:自社の誰かのメールが乗っ取られていた可能性を IT 監査。パスワード変更・MFA 再設定。
  6. 内部統制の再点検:「なぜすり抜けたか」をプロセス側で検証。属人化していた点を明文化。

BEC は「メールの違和感」ではなく「動線の弱さ」を突く詐欺。

AI 時代に増す難度

大規模言語モデルの普及で、攻撃者は標的の文体を秒で再現し、多言語で精密にローカライズできます。さらに合成音声を使った「電話で念押し」も成立する時代です(”あの社長の声で電話がかかってきた”)。国家情報会議設置法などの政府側の体制整備と並行して、企業側も「メール文面で見抜く」から「業務動線で止める」への発想転換が、これからの BEC 対策の核になります。

Omamori AI の結論

  1. 事実:BEC は取引先・役員になりすました高額送金詐欺で、被害は単発で数千万〜数億円規模。攻撃者は数週間〜数か月の偵察を経て仕掛け、AI で文体や合成音声まで再現できる時代に入っている。
  2. 判断軸:「メール文面の見抜き」は AI 時代に通用しなくなった。BEC 対策の核は業務動線(決裁・裏取り・送金フロー)の設計にある。属人的な注意力ではなく、ルールと多段承認で止める設計に切り替える。
  3. 打ち手:振込先変更・高額送金のメール以外裏取り必須化、二人決裁、クールダウン、DMARC・SPF・DKIM 設定、定期的な訓練。被害時は 24 時間以内の銀行リコール、警察・JPCERT/CC への通報、関係者注意喚起。

関連記事

👉 フィッシング詐欺とは? 手口・見分け方・対策 完全ガイド
👉 ランサムウェアとは? 完全ガイド
👉 サポート詐欺とは? 偽の警告画面の手口と対処法
👉 個人・中小企業向け セキュリティ自己点検 20項目

TAGS 脅威別解説
SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細