近年、ビジネスメール詐欺(BEC:Business Email Compromise) は、世界中の企業にとって重大なサイバーセキュリティリスクとなっています。
特に、日本国内でも被害額が年々増加しており、BECは単なる詐欺の一種ではなく、高度なソーシャルエンジニアリングとIT技術を組み合わせたサイバー攻撃です。
本記事では、BECの手口、なぜこれほど多くの企業が騙されるのか、そしてIT部門としてどのように対策すべきかを詳しく解説します。
ビジネスメール詐欺(BEC)とは?
BECの定義と特徴
ビジネスメール詐欺(BEC)とは、企業の従業員に対して、上司や取引先になりすました偽のメールを送信し、不正な送金を誘導する詐欺の一種です。
この手口は、以下のような特徴を持ちます:
-
経営幹部や取引先を装って信頼を得る
-
社内で確認を避けさせるために「極秘案件」などを装う
-
偽のメールアドレスやドメインを使用することで、正規のやり取りに見せかける
このような攻撃は、特にCEO詐欺(CEO Fraud)とも呼ばれ、経理担当や送金権限のある社員を標的にします。
BECの攻撃手法
ソーシャルエンジニアリング
攻撃者は、BEC攻撃を成功させるために、徹底的な情報収集を行います。
これには以下が含まれます:
-
LinkedInやSNSからの役職情報の取得
-
Webサイトに掲載されている取引先や経営陣の調査
-
メールアドレスや書き方のパターン分析
このようにして、本物そっくりのメールを作成し、標的を騙します。
メールアカウントの乗っ取り
より高度な手口として、攻撃者は以下のような技術的手段を用いて実際のアカウントを乗っ取ります:
-
マルウェア(特にキーロガー)によるログイン情報の窃取
-
フィッシングメールによる認証情報の詐取
-
Microsoft 365やGoogle Workspaceのログインセッションを不正利用
こうした手法により、実際の取引メールスレッドの中で偽の送金指示を送ることも可能になります。
なりすましの種類とケーススタディ
ケース1:CEOを装った極秘送金依頼
ある企業では、CEOを装ったメールが経理部長に送られ、「M&A案件に関する極秘送金をすぐ実行せよ」という指示がありました。
送金前の確認は「社外秘のため不可」とされ、結果的に5,000万円の被害が発生しました。
ケース2:取引先になりすました請求書送信
別のケースでは、実際の取引先のメールアドレスに酷似したドメインから、「振込先が変更された」と連絡が入りました。
確認を怠ったことで、攻撃者の口座に送金してしまい、取引先との信用も失われる事態となりました。
IT部門が実施すべきBEC対策
メールセキュリティ対策の強化
-
SPF、DKIM、DMARCの設定によるなりすまし防止
-
2段階認証の導入
-
不審なメールを自動検出するフィルタリングの導入(Microsoft Defender, Google Workspace等)
社内教育と訓練
-
経営層と経理担当を中心としたBEC対応トレーニング
-
フィッシングテストによる定期的な意識向上
-
「送金前の二重確認」を義務化する社内ルールの明確化
ログ監視とインシデント対応体制の整備
-
ログイン異常や不審なメール挙動を検知するSIEMの導入
-
インシデント対応プロセス(CSIRT)の整備
-
万が一の被害時に備えたサイバー保険の検討
まとめ
ビジネスメール詐欺(BEC)は、単なるフィッシングを超える、巧妙かつ組織的なサイバー攻撃です。
攻撃は主に「人」をターゲットにしつつも、ITシステムやインフラの脆弱性も突かれることが多く、企業全体での対策が不可欠です。
本記事で解説した通り、BEC対策には技術的施策と人的対策の両立が求められます。
IT部門は、社内のセキュリティ体制を根本から見直し、BECの脅威に備えた防御力を高める必要があります。