ビジネスメール詐欺に要注意!最新事例をご紹介
ビジネスメール詐欺(BEC:Business Email Compromise)とは、偽の電子メールを企業に送り付け、入金や送金などを促すサイバー攻撃のことです。ビジネスメール詐欺は、自社の経営者や取引先の担当者になりすますといった巧妙かつ悪質な攻撃が多く見られます。
本記事では、ビジネスメール詐欺の最新事例を紹介します。企業で行うべきセキュリティ対策についても解説しますので、最後までご覧ください。
ビジネスメール詐欺の被害は年々増加している
ビジネスメール詐欺の被害は年々増えており、IPAでは実際に起きたビジネスメール詐欺の事例をもとに何度も注意喚起を行っています。2022年9月からは「ビジネスメール詐欺(BEC)対策特設ページ」を設置し、事例や対策方法などを紹介しています。
ビジネスメール詐欺の事例
ここでは、「情報セキュリティ白書2023」をもとに、ビジネスメール詐欺の事例を紹介していきます。
①取引先担当者のメールアカウントを乗っ取った攻撃
2022年4月、海外関連企業のA社(請求側)と、その海外取引先企業B社(支払側)との取引において、A社の担当者になりすました攻撃者から、偽の口座へ振込を要求するメールが送られました。
A社の担当者になりすました攻撃者は、現在の支払い口座が利用できなくなるという理由で、支払い先の銀行口座の変更を依頼する偽のメールをB社担当者へ送付。このとき攻撃者から送られてきたメールは、A社の担当者のメールアカウントが乗っ取られて送付されたものでした。
B社の担当者は、新しい銀行口座の情報を送るように返信しましたが、すぐに連絡が来なかったことや、支払い日直前の急な口座変更を不審に感じ、関係者へ通報したことで偽メールであることが発覚しました。そのため、金銭的な被害は発生しませんでした。
この事例の場合、送信元のアドレスは正規のものでしたが、CCに指定されていたメールアドレスが偽物だったため、詐欺メールであることが発覚しました。CCのメールアドレスは、下記のように正規のドメイン名の「.」を「-」に変更しており、末尾に「.com」が追加されていたそうです。
●本物のメールアドレス→alice@abc.●●
●偽物のメールアドレス→alice@abc–●●.com
②CEOを詐称する攻撃
CEO(Chief Executive Officer:最高経営責任者)を詐称するビジネスメール詐欺は毎年継続して発生しています。その中には「日本語化されたCEO詐欺の攻撃」も多くあり、2022年だけで27件、2021年以前も含めると合計100件ほど発生しました。IPAでは、メールのヘッダー情報から同一の攻撃者によるものだと推測しています。
CEOを詐称する攻撃は、多くの業種に対して試みたことが確認されており、今後も国内外の組織に対して行われる可能性が高いとして、注意を求めています。
ビジネスメール詐欺への対策方法
ここからは、「情報セキュリティ白書2023」で解説されている、ビジネスメール詐欺への対策方法を4つ紹介していきます。
①ビジネスメール詐欺の周知徹底と情報共有
ビジネスメール詐欺は、企業間のメールを悪用した巧妙な手口です。まずは、どのような手口で行われているのか、過去の事例をもとに周知徹底することが重要です。
ビジネスメール詐欺は外部企業との取引だけでなく、グループ企業同士の取引でも発生しています。そのため、海外関連企業を含む企業の全職員に対し、ビジネスメール詐欺への意識を高めておく必要があるのです。
特に、最高財務責任者(CFO:Chief Financial Officer)や、経理部門等の担当者が、ビジネスメール詐欺の脅威について理解し、送金前に攻撃に気付くことができれば、金銭的な被害を未然に防げるでしょう。
②送金処理のチェック体制強化
送金時のチェック体制を強化することも、ビジネスメール詐欺の被害を防止するために重要です。たとえば、別の口座への変更を求められたり、急なメールアドレス変更等があったりなど、通常と異なる対応が行われたときはビジネスメール詐欺の疑いがあります。
そのため、別の担当者とダブルチェックを実施したり、電話やメール、FAX以外の手段で事実確認を行ったりなど、二重・三重にも渡るチェック体制を構築することが重要です。
③攻撃に使われるメールアドレスへの対策
攻撃に使われているメールアドレスが偽物であることに早めに気づければ、ビジネスメール詐欺を防止できます。メールを返信する前にこれから送る相手のメールアドレスが正しいかどうか、必ず確認するようにしましょう。
たとえば、フリーメールや自組織外のメールアドレスから着信したメールについて、件名や本文にその旨の警告を表示するメールシステムを採用すれば、ビジネスメール詐欺のメールかどうかを見分けやすくなります。
④フィッシング・ウイルス・不正アクセス対策を徹底して行う
ビジネスメール詐欺を行う攻撃者は、ある。フィッシング攻撃でメールアカウント情報を入手していたり、ウイルス感染等によってメールの内容やメールアカウント情報を窃取したりしている可能性があります。
そのため、基本的なフィッシング対策やウイルス対策、不正アクセス対策等を行っておくことも重要です。
また、Microsoft 365やGoogle Workspace等のクラウドサービスを利用している場合、多要素認証等を活用し、第三者の不正ログインを防ぐようにしましょう。
BECはなぜ防ぎにくいか?
技術ではなく『業務の信頼関係』を悪用するため、フィルタだけでは止めにくい構造があります。観点は次のとおりです。
| 項目 | 内容 |
|---|---|
| なりすまし | 差出人や署名が本物そっくりで業務文脈に擬態 |
| 緊急/権威 | 緊急・経営層依頼で確認を急がせる心理操作 |
| 例外運用 | 振込先変更などの例外フローを突かれる |
| 連絡多経路 | メール/チャット/電話を組み合わせ騙す |
ポイントは、フィルタや学習だけでなく『業務フロー側で確認手順を入れる』ことが本質的という点です。技術対策と業務手順を併用することが安全確保の前提になります。フロー設計と教育が出発点になります。なお最終的には、
評判や機能数でなく自社の現状と業務に優先順位を付け、無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。加えて運用開始後も定期的に見直しを行い、現場の声をもとに小さく改善していく姿勢が、
効果を持続させ無理のない定着を実現する鍵となります。
中小企業はどう備えるべきか?
備えは、振込/機密のフローに必ず別経路確認を組み込むことが重要です。押さえる進め方は次のとおりです。
| 項目 | 内容 |
|---|---|
| 振込確認 | 振込先変更/初回送金は電話等の別経路で必ず確認 |
| 技術対策 | SPF/DKIM/DMARCと不審メールのフィルタ強化 |
| 承認フロー | 金額/相手で多段承認とログ取得を必須化 |
| 教育/窓口 | 定期教育と相談窓口、被害時の初動手順を準備 |
最大のつまずきは、担当者の判断任せで急ぎ対応してしまうことです。当社は中小企業のメール・業務フローのIT化を伴走支援しています。技術対策と業務手順を一体で備えることが、被害を防ぐ要点になります。なお最終的には、
評判や機能数でなく自社の現状と業務に優先順位を付け、無理なく続けられる体制に落とし込むことが、投資を成果へ結びつける近道になります。加えて運用開始後も定期的に見直しを行い、現場の声をもとに小さく改善していく姿勢が、
効果を持続させ無理のない定着を実現する鍵となります。
BEC対策チェック
ビジネスメール詐欺(BEC)対策とは、BECは取引先や経営層になりすまし振込先変更や緊急送金・機密情報送付を依頼して金銭・情報を詐取する手口のことで、技術ではなく業務の信頼関係を悪用するためフィルタだけでは止めにくい構造があります。
差出人や署名が本物そっくりで業務文脈に擬態、緊急・経営層依頼で確認を急がせる心理操作、振込先変更などの例外フローを突かれる、メール/チャット/電話を組み合わせ騙すが観点で、
フィルタや学習だけでなく業務フロー側で確認手順を入れることが本質的で技術対策と業務手順を併用することが安全確保の前提です。
振込先変更/初回送金の電話等別経路での確認、SPF/DKIM/DMARCと不審メールのフィルタ強化、金額/相手で多段承認とログ取得の必須化、定期教育と相談窓口・被害時初動手順の準備が要点で、担当者の判断任せで急ぎ対応してしまう失敗を避け、
技術対策と業務手順を一体で備えることが要点となります。
以下に、押さえるべき要点とその内容を整理します。
| 項目 | ポイント | 解説 |
|---|---|---|
| 振込確認 | 別経路必須 | 電話等で再確認 |
| 技術 | なりすまし対策 | SPF/DKIM/DMARC |
| 承認 | 多段化 | 金額/相手で必須 |
| 教育 | 定期 | 事例と手順 |
| 窓口 | 初動 | 相談先と連絡経路 |
より詳しい一次情報は公式の解説もあわせてご確認ください。
この記事のよくある質問(FAQ)
本記事に関して、よく寄せられる質問をまとめました。
Q. ビジネスメール詐欺とは?
A. 取引先や経営層になりすまし、振込先変更や緊急送金、機密情報の送付を依頼して金銭・情報を詐取する手口です。
Q. 中小企業も狙われますか?
A. 狙われます。攻撃者は取引関係のある中小企業を含めて広く狙うため、規模を問わず継続的な対策が必要です。
Q. 最優先で行うべき対策は?
A. 振込先変更時の電話確認ルール、なりすまし対策(SPF/DKIM/DMARC等)、上長承認フロー、教育、不審時の窓口設置が最優先です。
Q. 被害が起きたらどうする?
A. 直ちに銀行・関係先・社内窓口へ連絡し、メール経路・送金経路の遮断と証跡保全を行います。事前に手順を決めておくことが重要です。
関連情報・お問い合わせ
まとめ
今回は、ビジネスメール詐欺の最新事例を紹介しました。ビジネスメール詐欺の被害に遭うと、金銭な被害だけでなく、取引先にも影響が出たり、社会的な信頼が低下したりする可能性が高くなります。ビジネスメール詐欺を防止するためには、以下の4つの対策を徹底して行うようにしましょう。
①ビジネスメール詐欺の周知徹底と情報共有
②送金処理のチェック体制強化
③攻撃に使われるメールアドレスへの対策
④フィッシング・ウイルス・不正アクセス対策を徹底して行う
なお、以下は、メールセキュリティ対策製品の料金一括比較サイトです↓
クラウドメールセキュリティ 価格一括比較 c-compe.com ➡
法人向けセキュリティソフトの
料金自動一括比較サイトを新しくオープンしました!
c-compe.com⇒
株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております!
アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。
メリット①対象ツールを2年間、半額、もしくは1/4で利用可!
メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額!
メリット③補助期間終了後は、公式価格よりお値引き!
メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します!
【弊社取り扱いクラウドツール】
🔹オフィスソフト・グループウェア: Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善:kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理: freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: syscloud、Avepoint
🔹RPA・自動化: RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: ロジザードZERO
🔹教育・マニュアル作成管理: iTutor、NotePM、leaf
🔹PBX・電話システム: INNOVERAPBX※、MOTTEL※
🔹端末管理:LANSCOPE、clomo
🔹リモートデスクトップ:RemoteOperator在宅
🔹受付ipad:ラクネコ※
🔹タスク管理、その他:Adobe creative cloud、Noota、JOSYS、backlog※
など
※こちらのツールは補助期間終了後の値引不可
また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。
デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓
デジタル化・AI導入補助金お問合せ:03-5468-6097
以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください!
