ビジネスメール詐欺(BEC)とは｜手口・対策 | london3.jp

概要

ビジネスメール詐欺（BEC：Business Email Compromise）とは、経営者や取引先になりすました偽のメールで、振込先の変更や緊急の送金を指示し、金銭をだまし取る詐欺です。企業の経理・財務担当者を狙い、1件で数千万〜数億円規模の被害が出ることもあります。

マルウェアを使わず「人をだます」ことに特化している点が特徴で、巧妙な日本語と、実在の取引・人物を装う周到な準備が行われます。事前にメールを盗み見て、やり取りの流れを把握したうえで割り込んでくることもあります。

詳細（手口・パターン）

経営者なりすまし型：CEO等を装い「極秘の買収案件だ。至急この口座へ送金を」と指示する。
取引先なりすまし型：請求書の振込先が変更になったと偽り、攻撃者の口座へ誘導する。
メールアカウント乗っ取り型：実在の担当者のメールを乗っ取り、本物のスレッドに割り込む。

「緊急性」「秘密保持の要求（他者に確認させない）」「普段と違う振込先」が共通する危険サインです。

BECはマルウェアを使わない（あるいは補助的にしか使わない）「だまし」の攻撃である点がポイント。技術対策より業務プロセス（送金時の複数人確認）が効くという点が頻出です。

対策

送金・振込先変更はメールだけで判断せず、電話など別経路で確認する（ダブルチェック）。
高額送金には複数人の承認を必須とする業務ルールを設ける。
メールアカウントの多要素認証で乗っ取りを防ぐ。
送信ドメイン認証（SPF/DKIM/DMARC）でなりすましメールを抑止する。
「経営者からの緊急・秘密の送金指示」というBECの典型パターンを従業員に周知する。

BECは「メールの内容を信じてしまう」ことが被害の原因です。別経路での確認という業務プロセスを徹底することが、最も確実な防御になります。

インシデント事例

日本企業の数十億円規模の被害

海外子会社の経理担当者が、取引先や経営幹部になりすました偽メールの指示に従って送金し、数十億円をだまし取られた事例が報じられています。巧妙ななりすましと緊急性の演出により、担当者が疑いを持たないまま送金してしまいました。

請求書の振込先すり替え

取引のメールを盗み見た攻撃者が、請求段階で「口座を変更した」と偽メールを送り、攻撃者の口座へ振り込ませる被害も多発しています。別経路での確認が行われていれば防げた事例です。

試験での問われ方

「経営者や取引先になりすまし、偽の送金指示で金銭をだまし取る攻撃はどれか」→ ビジネスメール詐欺（BEC）。
「BECへの有効な対策はどれか」→ 別経路での確認・複数人承認。