はじめに
ビジネスメール詐欺(BEC: Business Email Compromise)は、企業や組織を対象に正規の担当者や取引先になりすましたメールを送り、不正な送金や情報漏えいを引き起こす詐欺です。攻撃者は人間の心理と組織の業務プロセスに付け込み、テクニカルな脆弱性を利用しない場合も多いため、従業員の意識向上と運用改善が不可欠です。2025年版「情報セキュリティ10大脅威」では、BECは8年連続で選ばれ続けており、AI技術の悪用によって手口が巧妙化しています。
ビジネスメール詐欺の手口
IPAの解説書では、BECの典型的な攻撃プロセスを次のように説明しています。
- 情報収集と侵入
- 攻撃者は標的企業や取引先の従業員の役職やメールアドレスを調べ、フィッシングやマルウェア感染などでメールアカウントの認証情報を盗み取ります。盗んだ情報を使って正規のメールアカウントへログインし、実際のメールのやり取りや業務フローを把握します。
- なりすましと指示送信
- 送金または情報詐取
- 受け取った担当者が指示に従って資金を指定口座へ振り込むと、攻撃者がその資金を引き出す。また、場合によっては機密情報や個人情報を詐取するケースもあります。
攻撃者はメールだけでなく、電話やSMS、チャットツールを併用して信憑性を高めることもあります。また、AI技術によるテキスト生成や音声合成を利用し、文章の不自然さや声の違和感を減らす手口も報告されています。
攻撃者の戦術と分類
BECは大きくいくつかのタイプに分類されます。米連邦捜査局(FBI)は、BECを「CEO詐欺」「ベンダー詐欺」「弁護士詐欺」「給与変更詐欺」などに分類しており、攻撃者の標的や手口が異なります。CEO詐欺は経営者や役員になりすまし、担当者へ緊急の送金を指示するパターンで、組織のヒエラルキーや威圧感につけ込む点が特徴です。ベンダー詐欺は取引先企業のメールアカウントを侵害し、請求書の振込先を変更するメールを送付します。弁護士詐欺では弁護士や公的機関になりすまし、裁判費用や税金などの支払いを装います。給与変更詐欺は人事部や給与担当者に対し、従業員になりすまして給与振込口座の変更を依頼する手法です。このように、攻撃者は業務プロセスの隙間や組織内の人間関係を巧みに利用します。
BECで利用される技術的手法には、メールアドレスのわずかな表記違い(typosquatting)や表示名の偽装、正規ドメインを用いたメールアカウント侵害などがあります。送信者名に取引先担当者の名前を表示し、実際のドメインは一文字異なる別ドメインを使うことで、受信者が違和感なくメールを開封してしまうケースが報告されています。攻撃者はフィッシングやマルウェア感染を通じてメールアカウントの認証情報を窃取し、正規アカウントから内通メールを送ることでなりすましをさらに巧妙にします。
国内外の被害事例
BECは世界中で被害が相次いでいます。日本国内では2023年、製造業A社が取引先への支払いを指示するメールを受け取り、請求書に記載された振込先を変更したところ約5億円をだまし取られました。後に攻撃者は取引先の担当者になりすまし、請求書の内容も正規の書式とそっくりに作成していたことが判明しました。また、米国では自治体が図書館の工事代金を誤って攻撃者に振り込んでしまい、数千万ドルの損失が発生した例があります。これらの事例から、BECが特定の業種にとどまらず、あらゆる組織にとって脅威であることがわかります。
AI技術を用いた詐欺も急速に増えています。CFOを装ったディープフェイク動画のほか、生成AIを利用して過去のメールの文体や挨拶文を模倣し、担当者が気付かないようにするケースが報告されています。IPAは、音声だけでなく映像も含めた複数要素で本人確認を行う重要性を指摘しています。
近年の事例
CFOのディープフェイクによる詐欺
2024年、国内企業でCFOを装ったディープフェイク動画が作成され、経理担当者に対して3億7,500万円の送金を指示する事件が発生しました。経理担当者は動画の指示を信じ、指定された口座に送金してしまいました。この事件では、AIによる顔の映像と声の合成技術が巧みに利用され、被害者は本物のCFOとの区別ができませんでした。ディープフェイク技術が詐欺に使われることが明らかになった象徴的なケースです。
BEC報告の増加
セキュリティ会社Vipreによる報告では、2024年下半期に確認されたメール攻撃の49%がBEC関連であり、さらに40%の攻撃にAIによるテキスト生成が利用されていたとされています。攻撃者は本物らしい文面を自動生成し、緊急性や役職者名を盛り込むことで、受信者が偽メールと気付かないようにしています。BECは技術の進歩とともに急速に進化しており、企業は対策の強化を迫られています。
対策と運用改善
多段階の承認フロー
単一の担当者が送金処理を完結しないよう、複数人による承認プロセスを設けます。取引先の口座情報の変更や大口送金については、経営陣や複数部門の確認を必要とするワークフローを構築します。急な支払い要請が届いた場合は、電話など別チャネルで本人確認を行うことも重要です。
メール認証技術の導入
送信元ドメインのなりすましを防ぐため、SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting and Conformance)などのメール認証技術を導入します。これにより、受信者側で認証に失敗したメールを隔離したり警告表示を行うことができます。
デジタル署名と暗号化
メールに電子署名を付与し、送信者の正当性を確認できるようにします。また、機密情報や請求書データなどは暗号化して送信し、第三者による改ざんや盗聴を防ぎます。S/MIMEやPGPなどの暗号化技術を活用し、社内外の通信を保護しましょう。
従業員教育と手順の明確化
BECは人間の判断を利用する詐欺であるため、従業員教育が最も重要な対策の一つです。疑わしいメールを受け取った場合の確認方法や、送金手続きの標準的な手順を明確にしておき、従業員が迷わず対応できるようにします。IPAは、緊急性を強調するメールや不自然な日本語が含まれるメールに注意し、必ず上司や情報システム部門へ報告することを推奨しています。
インシデント発生後の対応
万が一BECの被害が発生した場合は、速やかに取引先や金融機関、警察に連絡し、送金停止や口座凍結を要請します。また、被害の範囲や原因を調査し、再発防止策を講じることが必要です。攻撃に使われたメールアカウントの設定を確認し、不正な転送設定や自動返信の有無をチェックします。
ワークフローと内部統制の強化
効果的なBEC対策には、個人の注意に頼らないプロセス設計が欠かせません。例えば、請求書の受領から支払いまでのフローを細分化し、担当者・承認者・検証者を分離することで単点故障を防ぎます。金融機関への振り込み手続きは専用端末からのみ実施する、または決済サービスにトランザクション承認機能を付与するなど、技術的な仕組みで誤送金を抑止します。会計ソフトと銀行口座を連携させる場合でも、二要素認証やワンタイムパスワードを必須とし、不正な接続を阻止しましょう。
メールフィルタリングと自動検知ツール
AIを活用したメールセキュリティ製品は、不審な件名や本文の特徴を検知し、危険性の高いメールを自動的に隔離することができます。近年では、メール本文の文体や語調を機械学習で分析し、通常の業務メールとの乖離をスコアリングする技術も登場しています。これらのツールを導入する際は、誤検知を減らすために自社のメール運用とチューニングを行うとともに、定期的にルールを更新し新たな手口への対応を強化しましょう。
法制度と保険による備え
日本では、電子帳簿保存法や会社法などが企業の会計処理や内部統制に一定の基準を設けています。BEC被害によって会社資産を失った場合、内部統制の不備が取締役の善管注意義務違反と評価される可能性もあります。また、不正送金を補償するサイバー保険商品が登場しており、万が一の際に損失を補填できるよう備える企業が増えています。ただし、保険に加入するだけでは十分ではなく、保険会社によるセキュリティ要件を満たすための対策や審査を受けなければなりません。
おわりに
ビジネスメール詐欺は、巧妙ななりすましによって企業の資金や機密情報を奪う深刻な脅威です。CFOのディープフェイク事例やVipreの報告が示すように、AI技術の発展により詐欺メールの見分けが難しくなっています。多段階の承認フロー、メール認証技術の導入、従業員教育を組み合わせることで、BECのリスクを低減しましょう。また、疑わしいメールや送金依頼を受けた際は、焦らずに複数のチャネルで確認を行う習慣を組織全体で徹底することが重要です。
BECは他の脅威とも連動しています。攻撃者は盗んだメールアカウントを使用して標的型攻撃やランサムウェアの侵入経路を確保したり、入手した個人情報を使って不正ログインやフィッシングを仕掛けることがあります。したがって、メール運用の改善はサイバーセキュリティ全体の強化につながります。複数の脅威に共通する基本対策―パッチ管理、アクセス権限の最小化、バックアップ、ベンダー管理―を統合的に実施し、組織全体でセキュリティ文化を醸成することが成功への鍵となります。
