Email Security

BEC

ビジネスメール詐欺(Business Email Compromise)

Category: Email Security / Updated: 2026-05-26

📖

Overview

BEC(Business Email Compromise:ビジネスメール詐欺)とは、組織の経営層・取引先・従業員になりすましたメールを送信し、不正な送金や機密情報の窃取を行うサイバー犯罪です。マルウェアや技術的な脆弱性を利用しない「ソーシャルエンジニアリング」を主体とする攻撃であり、検知が極めて困難な犯罪の一つです。

FBI(米国連邦捜査局)のIC3(Internet Crime Complaint Center)の報告によると、BECは最も経済的被害が大きいサイバー犯罪であり、2023年の被害総額は約29億ドルに達しています。1件あたりの平均被害額が他のサイバー犯罪と比較して格段に大きいことが特徴で、数千万円から数億円規模の被害が単一の攻撃で発生することも珍しくありません。

BECの手法は年々巧妙化しており、単純な「CEO詐欺」(経営層になりすまして送金を指示)から、取引先のメールアカウントを実際に侵害して正規のメールスレッドに割り込む「ベンダー偽装」、給与振込先の変更を依頼する「給与詐欺」、さらには不動産取引における「送金先変更詐欺」など、多様な形態に発展しています。

🔬

Details

CEO詐欺(経営層なりすまし)

CEO詐欺は、BECの最も代表的な手法です。攻撃者は企業のCEO、CFO、社長などの経営層になりすまし、経理部門や財務担当者に緊急の送金を指示するメールを送信します。「極秘案件のため他言しないように」「急ぎの対応が必要」などの文言で、通常の承認プロセスを回避させようとします。

攻撃者は事前に標的組織の組織構造、経営層の名前・役職、メールアドレスの命名規則、出張スケジュールなどをリサーチし、経営層が不在のタイミングを狙って攻撃を仕掛けます。実際のメールアドレスに酷似したドメイン(例:example.comに対してexamp1e.com)を使用したり、フリーメールに表示名だけを変更して送信するケースもあります。

ベンダー偽装(取引先なりすまし)

ベンダー偽装は、取引先の担当者になりすまし、または取引先のメールアカウントを実際に侵害して、請求書の振込先変更を依頼する手法です。正規の取引メールスレッドに割り込む形で行われるため、検知が極めて困難です。

攻撃者は取引先のメールシステムに不正アクセスし、メールの転送ルールを設定して通信内容を監視します。支払いのタイミングを見計らって、「銀行口座を変更した」という旨のメールを正規のアカウントから送信するため、受信者は正当な要求と信じて送金してしまいます。この手法は「Man-in-the-Email」攻撃とも呼ばれています。

アカウント侵害型BEC

アカウント侵害型BECは、フィッシングやクレデンシャルスタッフィングにより、組織内の実際のメールアカウントを乗っ取って行うBECです。正規のメールアカウントから送信されるため、送信元認証(SPF、DKIM、DMARC)による検知ができず、受信者も疑いにくいという特徴があります。

攻撃者は侵害したアカウントのメールボックス内容を精査し、進行中の取引や承認プロセスを把握した上で、最も効果的なタイミングで不正な送金依頼や情報要求を行います。さらに、受信したメールの転送ルールやフィルタルールを設定して、正規のアカウント所有者が異常に気づかないようにする工作も行われます。

送金詐欺と資金回収

BECによる不正送金は、通常の銀行送金(電信送金)を使用するため、送金後の資金回収が極めて困難です。攻撃者は受取口座として、マネーミュール(資金の中継役)が開設した口座や海外の口座を指定し、送金された資金は即座に複数の口座に分散・転送されます。

FBIのIC3は「Recovery Asset Team」を通じて金融機関と連携し、不正送金の凍結を試みていますが、成功率は送金から24時間以内に報告された場合に限られています。日本でもJC3(日本サイバー犯罪対策センター)が同様の取り組みを行っていますが、被害報告の遅れが資金回収の最大の障壁となっています。

FBI IC3の統計とBECの脅威規模

FBI IC3のInternet Crime Reportによると、BECは2013年の統計開始以来、累計被害額が550億ドル(約8兆円)を超えています。2023年だけでも約21,000件の報告があり、被害額は約29億ドルに達しました。これはランサムウェアの被害報告額の約10倍に相当し、サイバー犯罪で最も経済的インパクトが大きい脅威です。

日本においても、IPA(情報処理推進機構)の調査により、国内企業のBEC被害が年々増加していることが報告されています。特に海外との取引が多い製造業や商社において被害が集中しており、数億円規模の被害事例も複数確認されています。

🛡️

Security Measures

  • 01
    送金・振込先変更の二重確認プロセスの確立:一定金額以上の送金や振込先口座の変更については、メール以外の手段(電話、対面、別チャネル)で必ず確認するプロセスを確立してください。確認先の電話番号は、依頼メール記載のものではなく、事前に登録された連絡先を使用しましょう。
  • 02
    メール認証技術(DMARC/DKIM/SPF)の厳格な運用:自社ドメインのDMARCポリシーをrejectに設定し、なりすましメールの送信を防止してください。取引先にも同様の対応を依頼し、サプライチェーン全体でメール認証を強化しましょう。
  • 03
    外部メール警告バナーの表示:組織外から受信したメールに「外部からのメールです」等の警告バナーを表示する設定を導入してください。特に、表示名が社内の人物名と一致する外部メールには追加の警告を表示することで、なりすましへの注意を喚起しましょう。
  • 04
    従業員向けBEC対策訓練の実施:経理・財務部門を中心に、BECの手法と対処法に関する専門的な訓練を定期的に実施してください。実際のBEC事例を用いたケーススタディや、模擬BECメールによるシミュレーション訓練が効果的です。
  • 05
    メールアカウントの多要素認証(MFA)と異常検知:すべてのメールアカウントにMFAを導入し、アカウント侵害を防止してください。さらに、通常と異なるログイン場所やメール転送ルールの追加など、アカウントの異常な操作を検知するアラートを設定しましょう。
  • 06
    インシデント発生時の即時報告と資金回収プロセス:BEC被害が発覚した場合、72時間以内に送金元の金融機関に送金停止を依頼し、警察およびJC3/IC3に報告するプロセスを事前に策定してください。迅速な報告が資金回収の可能性を大きく左右します。
⚠️

Incidents

📋 日本航空(JAL)BEC被害事件(2017年)

2017年、日本航空(JAL)がBECにより約3億8,000万円の被害を受けた事件が発生しました。攻撃者は航空機のリース料金の支払いに関するメールスレッドに割り込み、振込先口座の変更を依頼しました。JALの担当者は正規の取引と信じて、偽の口座に送金を行いました。

この事件では、攻撃者がリース会社のメールアカウントを侵害し、正規のメールアドレスから偽の請求書を送信していたため、従来のなりすまし対策では検知できませんでした。事件は大きな社会的反響を呼び、日本企業のBEC対策の強化が急務であることが広く認識されるきっかけとなりました。

📋 トヨタ紡織BEC被害事件(2019年)

2019年、トヨタ自動車の子会社であるトヨタ紡織のヨーロッパ子会社が、BECにより約40億円(約3,700万ドル)の被害を受けました。攻撃者は取引先になりすまし、支払い口座の変更を指示するメールを送信し、担当者がこれに従って偽の口座に送金を行いました。

被害額の大きさは、BECによる単一攻撃としては世界的にも極めて大規模なものでした。この事件により、日本の大企業グループにおいてもBEC対策の見直しが急速に進み、海外子会社を含めた送金承認プロセスの厳格化やセキュリティ教育の強化が実施されました。

📋 不動産取引におけるBEC被害の急増(2022年〜)

2022年以降、不動産取引の決済金を狙ったBEC被害が世界的に急増しています。攻撃者は不動産仲介業者や弁護士事務所のメールアカウントを侵害し、物件の購入者に対して決済口座の変更を指示するメールを送信します。住宅購入のための頭金や決済金が狙われるため、被害額は数千万円に上ることもあります。

米国では、FBIがこの種のBECについて特別な警告を発しており、不動産取引における送金前の電話確認を強く推奨しています。日本でも海外不動産投資に関連した同様の被害が報告されており、国際取引における送金プロセスの安全性確保が課題となっています。

🔗

Related Terms

フィッシング対策 DMARC メールセキュリティ教育 ソーシャルエンジニアリング メールゲートウェイ(SEG)