ビジネスメール詐欺（BEC）とは？仕組み・対策・事例をわかりやすく解説

📖

Overview

ビジネスメール詐欺（BEC：Business Email Compromise）とは、企業の経営者や取引先になりすまし、偽のビジネスメールを送信して金銭や機密情報を詐取するサイバー犯罪です。CEO詐欺、取引先なりすまし、請求書詐欺など、ソーシャルエンジニアリングを駆使した巧妙な手口で企業に多額の損害を与えます。

FBIのインターネット犯罪苦情センター（IC3）の統計によると、BECはサイバー犯罪の中で被害額が最も大きいカテゴリであり、2022年だけで約27億ドル（約4,000億円）の被害が報告されています。マルウェアを使用しないため従来のセキュリティ対策では検知が困難であり、人的な判断ミスを誘発する点が特徴です。

近年では生成AIやディープフェイク技術を用いた音声・映像の偽装により、攻撃の精度がさらに向上しています。従来のメールベースの攻撃に加え、ビデオ会議やチャットツールを利用した新たなBEC手法も増加しており、企業のセキュリティ対策は多層的なアプローチが求められています。

🔬

Details

5つのBECタイプ（FBI分類）

タイプ1：CEO詐欺（CEO Fraud）：経営幹部になりすまし、財務担当者に緊急の送金を指示する手口。「極秘案件」「至急対応」などの表現で心理的プレッシャーをかけ、通常の承認プロセスを回避させる
タイプ2：請求書詐欺（Invoice Fraud）：取引先や仕入先になりすまし、正規の請求書に酷似した偽の請求書を送付して振込先口座を変更させる。長期的な取引関係を悪用する
タイプ3：アカウント侵害（Account Compromise）：従業員のメールアカウントを実際にハッキングし、そのアカウントから取引先に偽の請求書を送付する。正規のメールアドレスから送信されるため検知が極めて困難
タイプ4：弁護士なりすまし（Attorney Impersonation）：弁護士や法律事務所を装い、機密性の高い法的手続きを理由に緊急の送金を要求する。営業時間外に連絡することで確認を困難にする
タイプ5：データ窃取（Data Theft）：人事部門を狙い、従業員の個人情報（W-2フォーム、給与情報、社会保障番号）を窃取する。金銭の直接的な詐取ではなく、個人情報を利用した二次犯罪に発展する

BEC攻撃の手順

BEC攻撃は通常、以下の段階を経て実行されます。

偵察（Reconnaissance）：標的企業のウェブサイト、SNS、プレスリリースなどから組織構造、経営陣の情報、取引先関係を調査する。LinkedInは攻撃者にとって特に有用な情報源となる
ドメイン詐称（Domain Spoofing）：標的企業や取引先に酷似したドメインを取得する（例：company.com → cornpany.com、company-inc.com）。または、メールヘッダーを偽装して正規のアドレスから送信されたように見せかける
ソーシャルエンジニアリング：信頼関係、権威、緊急性を巧みに利用し、標的に正常な判断をさせないよう心理的に操作する。「この件は他言しないように」「今日中に処理が必要」などの表現を多用する
送金指示：最終的に偽の銀行口座への送金を指示する。送金後は速やかに資金を複数の口座に分散・転送し、回収を困難にする。暗号資産への変換も増加している

メール認証技術による防御

BEC対策として、以下のメール認証プロトコルの導入が重要です。

SPF（Sender Policy Framework）：送信元メールサーバーのIPアドレスを検証し、許可されたサーバーからの送信であることを確認する
DKIM（DomainKeys Identified Mail）：電子署名によってメールの送信者と内容の改ざんがないことを検証する
DMARC（Domain-based Message Authentication, Reporting and Conformance）：SPFとDKIMの認証結果に基づいて、認証に失敗したメールの処理ポリシーを定義する。reject（拒否）ポリシーの適用が推奨される

AI・ディープフェイクを活用した新手口

生成AIの進化により、BEC攻撃は新たな段階に入っています。ディープフェイク音声を使用してCEOの声を模倣し、電話で直接送金を指示するケースが報告されています。さらに、ディープフェイク映像を使ったビデオ会議での成りすましも確認されており、「見て聞いて確認する」という従来の対策が通用しなくなりつつあります。生成AIにより、文法的に完璧で文体も模倣した説得力の高い詐欺メールが大量に生成可能となり、従来の不自然な言語表現に基づく検知が困難になっています。

🛡️

Security Measures

01
送金プロセスの多重承認制度：一定金額以上の送金や振込先口座の変更には、複数の承認者による確認を義務化してください。メールのみでの送金指示は原則として受け付けず、電話や対面での二重確認を必須プロセスとして組み込みましょう。
02
DMARC認証のrejectポリシー適用：自社ドメインにSPF、DKIM、DMARCを設定し、DMARCポリシーをreject（拒否）に設定してください。これにより、自社ドメインを詐称したメールが取引先に届くことを防止できます。BIMI（Brand Indicators for Message Identification）の導入も検討しましょう。
03
従業員のセキュリティ意識向上訓練：BEC攻撃の手口と最新事例を題材にした定期的なセキュリティトレーニングを実施してください。特に経理・財務部門の担当者には、CEO詐欺や請求書詐欺の実例を用いたシミュレーション訓練を重点的に行いましょう。
04
メールセキュリティゲートウェイの導入：AI搭載のメールセキュリティソリューションを導入し、類似ドメインの検出、送信者の行動分析、メール内容の異常検知を自動化してください。外部からのメールに「External」タグを付与する設定も効果的です。
05
取引先との連絡手段の事前取り決め：主要な取引先と、口座変更や緊急送金の際の確認手順を事前に合意してください。メール以外の連絡手段（事前に交換した電話番号での直接通話など）による二重確認を標準化しましょう。
06
インシデント対応手順の整備：BEC被害が発生した場合の緊急連絡体制と対応手順を整備してください。送金後72時間以内であれば金融機関を通じた資金回収の可能性があるため、迅速な報告ルートの確立が重要です。警察やJPCERT/CCへの通報手順も明確にしましょう。

⚠️

Incidents

📋 Ubiquiti Networks BEC被害（2015年 — 被害額4,670万ドル）

2015年、ネットワーク機器メーカーのUbiquiti Networksが、BEC攻撃により約4,670万ドル（約56億円）の被害を受けました。攻撃者は同社の経営幹部になりすまし、香港子会社の財務担当者に対して海外口座への送金を指示しました。

犯行は巧妙に計画されており、正規のビジネスコミュニケーションを模倣した複数のメールが使用されました。被害発覚後、同社は法執行機関と協力して資金回収に努め、最終的に約1,500万ドルを回収しましたが、約3,170万ドルの損失が確定しました。この事件はBECの被害規模の大きさを世界に知らしめ、企業の送金プロセス見直しの契機となりました。

📋 トヨタ紡織 BEC被害（2019年 — 被害額3,700万ドル）

2019年9月、トヨタ自動車の主要部品サプライヤーであるトヨタ紡織の欧州子会社が、BEC攻撃により約3,700万ドル（約40億円）の被害を受けました。攻撃者は取引先になりすまし、正規の支払い先口座の変更を依頼する偽のメールを送信しました。

日本企業を標的としたBEC攻撃の中で最大規模の被害であり、グローバルサプライチェーンにおけるBECリスクを浮き彫りにしました。この事件を受けて、日本国内でもBEC対策の意識が急速に高まり、IPA（情報処理推進機構）が注意喚起を発出しました。海外子会社における送金プロセスの脆弱性と、本社からのガバナンスの重要性が改めて認識されました。

📋 ディープフェイク音声によるCEO詐欺（2019年 — 被害額24.3万ドル）

2019年、英国のエネルギー企業のCEOが、親会社であるドイツ企業のCEOからの電話指示を受けて、ハンガリーの取引先に24.3万ドル（約2,600万円）を緊急送金しました。しかし、この電話はAIによって生成されたディープフェイク音声であり、実際にはサイバー犯罪者による詐欺でした。

被害者はドイツ人CEOの声の特徴、アクセント、話し方のパターンを正確に再現した音声に完全に騙されたと証言しています。この事件はAI技術を用いたBEC攻撃の最初の公に報告された事例として注目を集め、音声による本人確認の信頼性に疑問を投げかけました。「声を聞いたから本物」という従来の確認方法が通用しない時代の到来を示す象徴的な事件となりました。

🔗