ドメイン番人
BECなりすましメール認証中小企業

ビジネスメール詐欺(BEC) 手口と中小企業の事例|対策優先順位

ドメイン番人6 分で読めます
目次

BECは技術と運用の二段構えで防ぐ

この記事でわかること

  • ビジネスメール詐欺(BEC)の代表的な2つの手口(取引先詐欺型・経営者詐欺型)と国内の被害状況
  • 中小企業が狙われやすい理由と、典型的な攻撃シナリオの全体像
  • 「技術側の対策(SPF・DKIM・DMARC)」と「運用側の対策(送金時の確認手順)」を組み合わせた防御の優先順位

ビジネスメール詐欺(BEC)とは|国内の被害実態

ビジネスメール詐欺、通称BEC(Business Email Compromise)は、取引先や自社の経営者になりすました偽のメールで送金を指示し、金銭をだまし取るサイバー犯罪です。一般的なフィッシングメールが不特定多数を狙うのに対し、BECは特定の企業の経理・財務担当者を入念に下調べして狙う点が特徴です。

IPA(独立行政法人 情報処理推進機構)には2015年以降、BEC関連の情報提供が継続的に寄せられており、その中には数千万円から億単位の金銭被害が発生したケースも報告されています(IPA ビジネスメール詐欺(BEC)対策)。報告件数自体は他のサイバー攻撃と比べて多くありませんが、1件あたりの被害額が突出して大きいのがこの手口の怖さです。

「うちは規模が小さいから狙われない」と感じる方もいらっしゃるかもしれませんが、BEC攻撃者はむしろ経理担当が少人数で、社長と直接やり取りする中小企業ほど騙しやすいと判断する傾向があります。決裁ルートが短い分、確認のひと手間が省略されやすいためです。

BECの代表的な2つの手口

IPAは、BECを「だます相手」によって2つの型に分類しています。中小企業が遭遇するのもほぼこの2型です。

BECの2つの手口の比較

取引先詐欺型(請求書なりすまし)

長年取引のある仕入先や下請先の担当者になりすまし、「振込先の銀行口座を変更しました」という内容のメールを送る手口です。実在する請求書や見積書のフォーマットを真似し、宛先の社名・担当者名・案件名まで正確に書かれているため、受け取った側は違和感に気付きにくくなります。

攻撃者は事前に取引先のメールサーバーへ侵入してやり取りを盗み見ているケースもあり、これまでのスレッドにそのまま返信する形で偽メールを差し込むこともあります。差出人のメールアドレスは正規のものとほぼ同じで、たとえば taro@example.co.jptaro@exarnple.co.jp(mがrnに置換)のように、人の目では見分けにくい類似ドメインが使われます。

経営者詐欺型(CEOフラッド)

社長・役員になりすまし、経理担当者に対して「今すぐこの口座に送金してほしい」と急ぎの送金を指示するパターンです。「M&Aの極秘案件で、外部に漏らさず処理してほしい」といった緊急性と機密性を強調する文面が典型的で、確認電話を躊躇させる心理的な仕掛けが組み込まれています。

警察庁も「実在する社長名や会社名が使われるため、気がつきにくいのが特徴」と注意喚起しており(警察庁 ビジネスメール詐欺に注意!)、SNSグループへの招待や連絡手段の切り替えを誘導する亜種も確認されています。

典型的な攻撃シナリオ|偵察から送金まで

BECは送金依頼メール1通だけで完結しているように見えますが、実際は数週間から数ヶ月にわたる準備を経て実行されます。

BEC攻撃の典型的な時系列フロー

  1. 偵察フェーズ:企業のWebサイト、プレスリリース、SNSから、社長名・経理担当者名・取引先・進行中の案件などを収集します
  2. 侵入または偽装:取引先または自社のメールアカウントを乗っ取る、もしくは類似ドメインを取得して偽装メール送信の準備をします
  3. タイミングを待つ:実際の取引や決算期、送金が想定される時期まで様子を見ます
  4. 送金依頼メールの送信:正規のスレッドに混入させたり、社長を装って単発で送ったりします
  5. 送金実行・資金洗浄:送金された資金は短時間で複数の口座を経由して海外送金されることが多く、気付いた時には回収困難になっています

このシナリオの怖さは、各ステップ単体は技術的に高度ではない点です。ドメイン取得・メール送信・人をだます文面作成は、攻撃者にとって難しい作業ではありません。だからこそ、防御側も「特殊な対策」ではなく「日常運用の中に確認の癖を組み込む」ことが最重要になります。

中小企業がやるべき対策の優先順位

対策は「技術側で偽メールを受け取らない」と「運用側で送金前に必ず確認する」の二段構えです。どちらか一方ではなく、両輪で初めて効果を発揮します。

BEC対策の二段構え(技術側と運用側)

技術側の対策(メール認証 + 多要素認証)

技術側の中心はSPF・DKIM・DMARC という3つのメール認証の仕組みです。これらを正しく設定しておくと、攻撃者があなたのドメインや取引先ドメインになりすまそうとしたメールが、受信側のサーバーで弾かれる、または迷惑メールに振り分けられるようになります。

3つの仕組みの違いと役割はSPF・DKIM・DMARCの違いをわかりやすく解説で詳しく説明していますが、要点は以下の通りです。

  • SPF:自社ドメインからメールを送信できるサーバーを宣言する仕組み
  • DKIM:メール本文に電子署名を付けて改ざんとなりすましを検出する仕組み
  • DMARC:SPF/DKIMの結果をもとに、なりすましメールをどう扱うか(拒否・隔離・観察)を受信側に指示する仕組み

DMARCは段階的にポリシーを強化していくのが基本で、最終的に p=reject まで持っていくと、自社ドメインを詐称した偽メールはGmailやMicrosoft 365で配信拒否されます。具体的な設定手順はDMARC設定方法を徹底解説を参照してください。

加えて、経理担当者の業務メールアカウントには多要素認証(MFA)を必ず設定してください。BECの一部はそもそも「経理担当者のアカウントを乗っ取って、内部から送金依頼を出す」パターンで、MFAがないと侵入に気付くきっかけが乏しくなります。

運用側の対策(確認フローの標準化)

運用側で効くのは「送金前に必ずメール以外の手段で確認する」というシンプルなルールです。警察庁も同じ点を強調しており、特に送金先の変更を伴う依頼は赤信号として扱う必要があります。

中小企業向けの実務的なチェックリストは以下の3点に集約されます。

  1. 送金先の口座変更通知は、必ず電話または対面で確認する:メールに書かれた電話番号には絶対にかけ直さず、過去の取引で使っている連絡先を使います
  2. 緊急・極秘・トップシークレットといった圧をかけてくる依頼は一度立ち止まる:経営者詐欺型はこの心理的圧迫が最大の武器なので、社内で「急ぎ依頼でも確認する」ルールを明文化しておきます
  3. 一定額以上の送金は二重承認:金額の閾値(例:50万円以上)を決め、必ず別の担当者または上長の承認を経るプロセスを作ります

これらは「ITの仕組み」ではなく「業務手順書のルール」なので、中小企業でも今日から導入できます。

もし被害に遭ったら|時間との勝負

万一不正送金してしまった場合は、送金から数時間以内の対応で回収率が大きく変わります。連絡順序を頭に入れておきましょう。

  1. 送金元の銀行に即時連絡:振込先口座の凍結を依頼します。多くの場合、銀行間で振込先銀行に連絡し、組戻し(送金取消)を試みます
  2. 警察に被害届:管轄の警察または都道府県警サイバー犯罪相談窓口へ。被害届の受理が組戻しや国際送金停止の根拠になります
  3. IPAへの情報提供IPAのBEC事例集に新たな手口として登録され、他社の被害防止につながります
  4. 取引先・関係者への注意喚起:自社のメールが乗っ取られた可能性がある場合は、過去のスレッドに混入されている恐れがあるため取引先に速やかに通知します

被害発生から24時間を超えると、資金は海外送金や暗号資産への変換で回収が困難になります。「不審に気付いたら、まず止める」が最優先です。

まとめ

  • BECは「取引先詐欺型」「経営者詐欺型」の2型で、中小企業ほど決裁ルートの短さを突かれやすい
  • 防御は技術側(SPF・DKIM・DMARC + MFA)と運用側(送金前のメール外確認・二重承認)の二段構えが基本
  • 万一の被害発生時は送金後数時間以内の銀行連絡が回収のカギ。日頃から連絡順序を整理しておく

まずは現状を把握しましょう

自社ドメインのSPF・DKIM・DMARCが正しく設定されているかは、無料のドメイン番人 診断ツールでドメイン名を入れるだけで確認できます。なりすましメールの遮断レベルや、もう一段強化できるポイントを数十秒で把握できますので、BEC対策の第一歩としてご利用ください。

設定の見直しや、社内の送金確認フロー整備でお困りの場合は、お問い合わせから気軽にご相談ください。中小企業の運用に合わせた、現実的な優先順位でご提案します。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから