ビジネスメール詐欺(BEC)は以前から存在する攻撃手法だが、近年は生成AIの悪用やマルチチャネル攻撃の普及を背景に被害規模が拡大している。従来であれば見抜けた不審なメールであっても判別が難しくなり、注意していたにもかかわらず被害に遭うケースも増加した。特に中堅・中小企業では、限られた予算や体制の中で対応を迫られることになり、攻撃者にとって格好の標的となりやすいのが実情だ。本記事では、BECの手口や事例を踏まえながら、従業員教育や業務プロセスの見直しといった基礎的な対策に加え、メールセキュリティソリューションを活用した実践的な対策について解説する。
巧妙化するビジネスメール詐欺(BEC)
メールは、企業活動における社内外のコミュニケーションを支える基本的な手段の1つだ。一方で、そのメールを足掛かりとして金銭を狙う詐欺被害が増えている。こうした攻撃手法はビジネスメール詐欺(以下、BEC)と呼ばれる。攻撃者の視点から考えると、標的となる人物のメールアドレスを取得・類推しやすく、攻撃の起点として利用しやすい点がBECの根本的な特徴である。
BECは、取引先や経営層になりすまし、金銭の詐取を狙う攻撃である。取引先になりすますケースでは、偽装した請求書を送り付けたり、送金先口座の変更を巧妙に促したりして金銭を詐取する手口が多い。また、経営層になりすます場合は、「至急対応」や「極秘案件」などの名目で社員に圧力をかけ、不正送金を実行させる手法が用いられる。
BEC自体は新しい攻撃ではないものの、近年は複数の要因によってその脅威が急速に拡大している。
1)生成AIの悪用
生成AIを支えるLLM(大規模言語モデル)の進化により、特定の人物の文体を模した自然な文章を容易に生成できるようになった。さらに、音声や動画を合成する技術も高度化しており、経営者の声や顔を偽装したなりすましが実際の詐欺に悪用される事例も確認されている。
2)マルチチャネル攻撃
メールに加え、チャットツールやショートメッセージ(SMS)、音声通話、ビデオ会議など複数の手段を組み合わせて標的を欺く手法が、いわゆるマルチチャネル攻撃である。例えば、メールで偽の請求書を送付した後に取引先を装って電話をかけ、標的を信じ込ませる手法が典型だ。生成AIの普及により、音声や動画の品質も向上し、真偽の判別が一段と難しくなっている。
近年では、経営者を装ったメールからLINEグループへの参加を促し、QRコードで招待する手法も確認されている。閉じたグループ内で不正な送金指示が行われるため、周囲への確認が難しく、被害を未然に防ぎにくい点が特徴だ。
3)盗聴や偵察による周到な情報収集
ソーシャルメディアやプレスリリースから、経営者の出張予定や外出スケジュールを把握できてしまう場合がある。そのタイミングを狙い、「出張中の社長」を装って緊急の送金を依頼する手口は、社員が疑いにくく、特に危険だ。
また、攻撃者がメールアカウントに不正アクセスし、正規のやり取りを盗み見た上で返信を装って会話を乗っ取る「会話ハイジャック」と呼ばれる手法も知られている。取引先との過去のやりとりを踏まえた自然な文脈で振込先の変更を依頼されると、正規の相手からのメールと誤認しやすく、詐欺だと見抜くのは極めて難しい。
ビジネスメール詐欺(BEC)の事例
IPA「情報セキュリティ10大脅威2026」によると、「ビジネスメール詐欺」が2018年以降9年連続で10大脅威に挙げられている。FBIが2024年に公表した報告でも、BECは1件あたりの被害額が極めて大きく、投資詐欺に次ぐ高額被害を記録した。被害総額は約27.7億ドル(約4,400億円相当)に達し、報告件数も2万件を超えてランサムウェアを上回る水準になっている。
さらに、Threatcop社の調査では、79%の企業が1年間で少なくとも1回はBECの標的となり、そのうち41%は中堅・中小企業であった。
以下では、実際に発生したBECの事例を紹介する。
1)取引先になりすました事例
取引条件の変更が頻繁に行われていた取引先を装い、攻撃者は過去のやり取りに続く形で口座変更依頼のメールを送信した。担当者は正規の取引先からの連絡だと誤認し、指示どおり口座変更に応じた。結果として、偽の口座へ2回の送金が行われ、合計136万ドル(約2億1,600万円相当)が流出した。実際の取引履歴を踏まえた巧妙ななりすましであった。
2)経営者になりすました事例
攻撃者は最高財務責任者(CFO)になりすまし、標的の社員をビデオ会議に招待した。その会議には、ディープフェイク技術で生成された偽のCFOの映像が登場し、不正送金を指示した。社員はこれを本物と信じ、2,500万ドル以上(約39億7,000万円相当)を送金してしまった。生成AIを悪用したマルチチャネル型のBECが、現実に甚大な被害をもたらしている典型例である。
ビジネスメール詐欺(BEC)への対策と課題
BEC対策の基本は、従業員教育である。全従業員に対し、BECの脅威と適切な対応方法を周知し、日常業務で不審点に気づける状態を維持することが重要だ。特に、緊急性を装う表現や送信元の巧妙な偽装など、典型的な兆候を見抜くためのリテラシー向上が欠かせない。
多額の送金や口座情報の変更をメールで依頼された場合に備え、複数チャネルでの確認など、決済プロセスの見直しも重要である。また、メールアカウントの乗っ取りは、なりすましや情報漏えいに直結するため、経営層を含む全従業員への多要素認証の導入が不可欠だ。
一方で、BECの被害が拡大する中、従来の対策だけでは限界が見え始めている。生成AIの悪用やマルチチャネル攻撃など、攻撃手法は急速に高度化しており、心理的な隙を突く攻撃に対しては教育だけで防ぎきれない場面が増えている。特に、業務が逼迫する繁忙期には判断が鈍りやすく、詐欺メールを見抜くのは一層困難だ。こうした状況を踏まえると、人の注意力に依存しない、メールに特化した高度なセキュリティソリューションの導入が不可欠となっている。
ビジネスメール詐欺(BEC)に有効な技術的対策
BECはメールを起点に発生するため、不審なメールをセキュリティソリューションで識別・遮断することが基礎的な対策となる。受信段階で詐欺メールを排除できれば、被害リスクが大幅に低減される。以下では、BEC対策を入口・内部・出口の3つの観点から解説する。
1)入口対策
入口対策では、受信段階で詐欺メールを排除する仕組みが重要である。ドメインを偽装したなりすましメールの検知・隔離に加え、フィッシングリンクやマルウェア添付ファイルを含むメールのブロックが基本となる。また、「送金依頼」や「口座変更」といった詐欺メールに頻出するキーワードを自動検知する仕組みも有効だ。
2)内部対策
内部対策では、不審なメールを受信した際に決済関連のやり取りへ注意を促し、誤った返信や承認を防ぐ仕組みが求められる。さらに、メールの送受信ログを適切に保存・アーカイブすることで、被害発生時の調査や原因分析を迅速に行える体制を整えることも重要だ。
3)出口対策
出口対策では、アカウント乗っ取りによる社内外へ偽装メール送信を防ぐため、送信段階で不審な挙動を検知する仕組みが必要となる。また、詐欺の可能性が高いメールや特定のキーワードを含む返信については、送信時に上長承認を必須とすることで、誤送信だけでなく不正な送金指示への加担も防止できる。
GUARDIANWALL Mailセキュリティによるビジネスメール詐欺(BEC)対策
BECに対する多層的な防御を実現するには、メールセキュリティソリューションの導入が有効な選択肢となる。その中でも、包括的なメールセキュリティを提供するのが「GUARDIANWALL Mailセキュリティ」である。以下では、BEC対策に有効な主要機能を紹介する。
1)詐欺メールの検知と隔離
詐欺の可能性があるメールを自動的に検知し、次のような特徴を持つメールを判定対象とする。
- ヘッダーfrom とエンベロープ from のドメインが異なるメール
- 偽装されたリンク先URLが本文に記載されたメール
- フリーメールアドレスから送信されたメール
- 類似ドメインから送信されたメール
SPF・DKIM・DMARCといった送信ドメイン認証を組み合わせることで、なりすましメールを受信段階で高精度にブロックできる。また、Webレピュテーション機能により、クラウド請求書サービスなどを装った偽サイトへのアクセスを抑止する。
加えて、添付ファイル内のキーワード検査にも対応しており、重要文書を装った不審メールの検知にも有効だ。検出後は、件名へのタグ挿入、迷惑メール振り分け・隔離など柔軟な処理が可能である。
2)上長承認フローの活用
上長承認フローは、偽の送金依頼や口座変更依頼への誤対応を防ぐために有効である。「振込先変更」「至急」といったキーワードや添付ファイルを含むメールを自動的に特定し、送信保留や上長承認を必須とする運用が可能だ。
また、アカウント乗っ取りによる大量のなりすましメール送信も、異常な挙動を検知してブロック・遅延・管理者通知を自動実行することで、取引先への被害拡大を防止することが可能だ。
3)アーカイブ監査
アーカイブ監査では、送受信ログを長期間保存し、期間やキーワードなどの条件で迅速に検索できる。インシデント発生時には、過去の請求書や振込口座の履歴を照合することで、取引内容の変化や不審なやり取りを早期に把握でき、原因究明や再発防止に役立つ。
ただし、すべての攻撃を単一のセキュリティソリューションで防ぐことは現実的には困難だ。そのため、技術的対策に業務プロセスの見直しを組み合わせ、組織全体で多層的な防御体制を構築することが重要である。
個人任せではない、技術と組織によるビジネスメール詐欺(BEC)対策が重要
生成AIの急速な進化や、人間の心理を突く巧妙なマルチチャネル攻撃の増加により、従業員のリテラシー向上だけに依存した対策ではBECを防ぎきれなくなっている。実際、BECの被害総額はランサムウェアを上回り、経営課題として扱うべき深刻なリスクとなっている。中堅・中小企業にも被害が広がっていることから、企業規模を問わず早急な対策が必要だ。IT部門だけでなく、標的となりやすい経理・財務部門を含め、自社の対策状況を点検することが求められる。
BECは個人の注意力に依存した対策だけでは防ぎきれない攻撃である。従業員教育に加え、メールセキュリティソリューションの導入や業務フローの改善を組み合わせ、組織として多層的な防御体制を構築することが重要だ。
