ビジネスメール詐欺（BEC）とは？標的型攻撃との違いや手口、事例、セキュリティ対策を解説

ビジネスメール詐欺（BEC）は、サイバー攻撃手法のひとつです。社長や役員になりすましたメールによって送金を指示し、詐欺グループの口座に誤って送金してしまうケースが実際に発生しています。まるで映画の中の出来事のようですが、こうした被害は現実に起きており、深刻な社会問題となっています。この記事では、ビジネスメール詐欺の脅威と対策について詳しく解説します。

Cloud Mail SECURITYSUITEについて詳しく見る

ビジネスメール詐欺（BEC）とは？

ビジネスメール詐欺（Business E-mail Compromise、略してBEC）は、経営者や取引先などになりすまし、「振込先口座が変更になった、至急送金するように」といった偽のメールを送り付け従業員をだまし、詐欺師が用意した口座へ不正に送金させたりID・パスワードを入手する詐欺行為です。

2015年1月に米国FBIのインターネット犯罪苦情センター (IC3) は、「定期的に海外のサプライヤーや取引先と電信送金を行う組織を標的とした高度な詐欺行為」をBEC（ビジネスメール詐欺）と定義し警告を発しました。

IC3が、2025年4月に公開した「Internet Crime Report 2024」によると、2024年にアメリカの同組織に報告されたビジネスメール詐欺被害は、160億ドル（約2兆4,000億円、1ドル=150円）でした。

日本においても警察庁が2025年3月に公開した「令和6年におけるサイバー空間をめぐる脅威の情勢等について」では、2024年のネットバンキングによる不正送金の被害額が86億円を超えました。

Eメールアカウント侵害（EAC）との違い

Eメールアカウント侵害（EAC）とは、攻撃者が正規のEメールアカウントに不正アクセスし、メールシステムを乗っ取るサイバー攻撃です。ビジネスメール詐欺との違いは、システムを侵害するかどうかです。

Eメールアカウント侵害では、悪意ある攻撃者が正規のメールボックスにアクセスし、不正に金銭を要求します。正規アカウントから送信されるため迷惑メールフィルターをすり抜けやすく、不正なメールに気付きにくい点が特徴です。

標的型攻撃との違い

標的型攻撃とは、特定の個人や法人を狙い、機密情報の窃取を目的として行われるサイバー攻撃です。取引先や顧客、経営層などを装い、マルウェアに感染するURLやファイルを添付したメールを送信します。一方、ビジネスメール詐欺は金銭の窃取を目的とするサイバー攻撃であるため、情報の取得を目的とした標的型攻撃とは異なります。

「情報セキュリティ 10大脅威 2025 」ビジネスメール詐欺は9位に

独立行政法人 情報処理推進機構（IPA）が、2025年1月に発表した「情報セキュリティ10大脅威 2025」に、ビジネスメール詐欺は、9位にランクインしています。

ビジネスメール詐欺手口の５つのタイプと事案の傾向

独立行政法人 情報処理推進機構（IPA）は、ビジネスメール詐欺を次の５つに分類しています。（出典：ビジネスメール詐欺「BEC」に関する事例と注意喚起（続報）IPA）

1. 取引先との請求書の偽装
2. 経営者等へのなりすまし
3. 窃取メールアカウントの悪用
4. 社外の権威ある第三者へのなりすまし
5. 詐欺の準備行為と思われる情報の詐取

JPCERT コーディネーションセンター（JPCERT/CC）が、2020年3月に公開した「ビジネスメール詐欺の実態調査報告書」によると、上記の5つの分類のうち、「取引先との請求書の偽装」に該当する事案が全体の75%、次いで、CEOやCFOなどの「経営者等へのなりすまし」が見られました。また、役員のメールアカウントが窃取され、偽の振込先に振り込みを誘導されるなど複数のタイプの要素をあわせ持った事案もありました。

1.取引先との請求書の偽装

取引先との請求書を偽装する手口です。何らかの方法で取引先のメールアドレスまたはやり取りを入手して、偽の巧妙なメールを送信します。例えば「請求書に誤りがあった」、「口座が変更された」などと伝え、偽の口座に支払いを要求するメールです。また、自社の社員を騙り、偽の取引先情報を送付するケースもあります。

2.経営者等へのなりすまし

事前に企業の経営者や幹部などのメールアドレスを調べてなりすまし、金銭を扱う部署の社員に偽のメールを送ります。例えば「指定する口座に入金してほしい」と伝え、偽の口座へ入金を促すケースです。文面に機密情報や極秘情報などと記載し、他の社員に伝えないように指示する手口も多くみられます。

3.窃取メールアカウントの悪用

窃取したメールアカウント・パスワードなどを悪用する手口です。さまざまなサービスで同じIDやパスワードを使用していた場合、メールアドレスをはじめ、ID・パスワードなどが漏えいした際に、悪用される恐れがあります。

また、入手したIDとパスワードを使用して、正規のルートからシステムやサービスへ不正ログインする「パスワードリスト攻撃」への注意が必要です。メールアカウントに不正ログインされると正規のメールアドレスから偽のメールを送られる恐れがあるため、気付きにくくなります。

4.社外の権威ある第三者へのなりすまし

弁護士や法律事務所など、社外の権威ある第三者へなりすますものです。例えば、顧問弁護士になりすまして経理の担当者へ送金を指示するメールです。「緊急」、「機密情報」を強調するケースが多くみられます。

5.詐欺の準備行為と思われる情報の詐取

将来的に詐欺を行うために、事前に情報を集めたり、攻撃の準備をしたりするケースです。将来の詐欺行為に備え、情報収集や攻撃準備を入念に行います。ターゲットを信用させ多くの金銭を得るために、取引先・所属企業の経営者に関する情報を不正に入手します。

ビジネスメール詐欺（BEC）事例

メールアカウントを乗っ取られたケース

サイバー情報共有イニシアティブ（J-CSIP）参加組織の海外関連会社（A社: 請求側） の担当者になりすました攻撃者から、海外の取引先企業 （B社: 支払側）の担当者に、従来の銀行口座が使えなくなるため、新しい口座への支払いを依頼する内容の偽のメールが送られました。

支払側B社の担当者がそのメールに、新しい銀行口座情報を送ってほしいと返信しました。しかし、A社の担当者になりすました攻撃者から、新しい銀行口座の情報を連絡するのには時間がかかるため支払いを止めてほしいと連絡がありました。

B社の担当者は、新しい銀行口座の情報をすぐに連絡できないこと、支払日の直前の依頼であることを不審に思い関係者に通報することで金銭的な被害詐欺はありませんでした。

攻撃者は、何らかの方法でA社の担当者のメールアカウントを乗っ取っていました。また、メールのCcに請求側企業の関係者のメールアドレスに似せた偽のメールアドレスが指定されており、詐欺の発覚を避ける巧妙な手口でした。

出典：サイバー情報共有イニシアティブ（J-CSIP）運用状況[2022年4月～6月]（IPA）

金銭被害が発生したケース

人材育成サービスを提供しているウィルソン・ラーニングワールドワイドは、2022年11月ビジネスメール詐欺（BEC）被害を公表しました。

2022年9月、子会社2社宛に悪意ある第三者から支払代金の送金を指示する虚偽のメールが届きました。当該子会社2社がメールの指示にもとづき、2社合わせて約530万円を送金。送金後に指示が虚偽である可能性に気付き、デジタルフォレンジック等による事実関係を確認し、保険会社、捜査機関に相談しました。

ビジネスメール詐欺の事例集

IPAは、ビジネスメール詐欺の事例を紹介しています。ビジネスメール詐欺の手口を理解することで、同様の被害の未然防止啓発活動、被害の早期発見に役立てることができます。

1. 偽口座送金後、一部資金を回復できた事例
2. 銀行口座証明書類を偽造し振込先口座変更を依頼してきた事例
3. 毎月の支払方法を変更させられ数か月間偽口座へ送金してしまった事例
4. 銀行と協力し、偽口座への送金を防げた事例
5. 取引相手の証明書類を偽装した事例
6. 国内企業社長になりすまし、グループ企業役員に金銭の支払を要求した事例

ビジネスメール詐欺にあった場合の対処法

1.送金のキャンセル・組み戻し手続き

送金後に詐欺だと認識した場合、即座に金融機関に連絡し、送金のキャンセル・組み戻しの手続きを行います。口座が海外のものであれば、消費者ホットライン「188」への相談がおすすめです。関係機関を通すことで、返金や偽口座の凍結を要請できる場合があります。偽口座からの出金がされていなければ、返金される可能性があります

2.被害状況の把握・証拠の確保

日本の警察に被害届を提出したり消費者ホットライン「188」に連絡したりするために、被害状況の把握し、証拠を確保します。時系列で正確に記録することで、法的措置を講じる際の資料となります。偽のメールや送付された偽の請求書などは、提出できるように保存・保管することが必須です。

3.取引先や関係者へ連絡

ビジネスメール詐欺に利用された取引先や関係者へ連絡も重要です。詐欺の状況を伝え、情報を共有することで、被害の拡大を防ぎ、関係者との信頼関係の維持にもつながります。取引先や関係者に連絡することで、詐欺の実態が明らかになる可能性もあります。

4.ウイルスチェック・パスワードの変更

ウイルスチェックの実施後、パスワードを変更します。攻撃者はデバイスをマルウェアに感染させ、情報を盗んでいる可能性があります。そのため、詐欺メールが送られてきた場合はウイルス対策ソフトでチェックし、検出された際は駆除が必要です。

また、メールアカウントのログイン情報を知られている可能性があるため、メールアカウントのパスワードを変更します。パスワードを複雑なものにすることで、ビジネスメール詐欺以外の攻撃も含め、リスクを軽減できます。ウイルスチェックの実施後、パスワードを変更します。攻撃者はデバイスをマルウェアに感染させ、情報を盗んでいる可能性があります。そのため、詐欺メールが送られてきた場合はウイルス対策ソフトでチェックし、検出された際は駆除が必要です。

また、メールアカウントのログイン情報を知られている可能性があるため、メールアカウントのパスワードを変更します。パスワードを複雑なものにすることで、ビジネスメール詐欺以外の攻撃も含め、リスクを軽減できます。

5.原因の調査・社内外へ注意喚起

最後に、原因の調査や社内外へ注意喚起を行います。メールアカウントを確認して不正なアクセスがなかったか、不審な設定がされていないかなどを調べます。同時に、関係者に不審なWebサイトへのアクセスや添付ファイルの開封などがなかったかなどの確認も必要です。

また、今後同じような手口に引っかからないよう、自社内やグループ企業に情報共有や注意喚起を実施します。

ビジネスメール詐欺 の防止対策

ビジネスメール詐欺の防止には、偽の送金指示などに担当者が騙されることを防止する人的な対策となりすましメールを受信するメールセキュリティ面の対策の両面が必要です。

1. 支払いに関する作業フローの強化

担当者1人で振込や口座変更などを完了できる環境は危険性があるので、リスクが高くなります。支払いに関するメールの指示にすぐに従わずに、電話など必ずメール以外の方法で確認することや、複数人であらかじめ決めたチェック項目や承認フローを通してから送金する社内ルールを整えます。

2. ビジネスメール詐欺に対する社内リテラシー教育

BEC詐欺の典型的な例は、経営者などになりすまして極秘の指示として送金を指示するものです。社員がこのような文面を信じて被害にあわないためには、経営者を含め全社的な共通認識として、支払いに関するフローを厳守する必要性や典型的な手口を学ぶ教育が有効です。

3. DMARCをベースとした認証技術

ビジネスメール詐欺を受信しないためには、DMARCと呼ばれるなりすましメール対策が有効です。DMARCは、SPF (Sender Policy Framework) およびDKIM (DomainKeys Identified Mail) をベースとしたメールドメインの認証技術です。

日本国政府は、「サイバーセキュリティ基本法」に基づき​​決定された「政府機関等のサイバーセキュリティ対策のための統一基準​​」において、電子メールのなりすまし防止策を講ずることを明記しています。統一基準案では、電子メールの遵守事項になりすまし対策が規定され、政府機関等の対策基準策定のためのガイドラインで「DMARC」によるドメイン認証技術によるなりすましメール対策が明記されました。

4.ウイルス対策ソフトやOSを最新の状態にアップデート

ビジネスメール詐欺の対策として、ウイルス対策ソフトやOSを最新の状態に保つことが重要です。定期的にアップデートを行うことで、不正アクセスやマルウェアの侵入を防止できます。多くのマルウェアは既知の脆弱性を狙って攻撃するため、最新版への更新が必須です。

5.電子署名の付与

電子署名とは、印鑑や手書きサインと同様に、文書の作成者や作成日時を証明する仕組みです。電子署名の付与により、偽造した請求書やなりすましなどを防止でき、本人による作成や第三者に改ざんがないことを証明できます。ビジネスメールの信頼性が向上し、詐欺に遭うリスクの軽減にもつながります。

6.メール以外で連絡・確認

ビジネスメール詐欺の対策として、メール以外の連絡手段の併用も有効です。送金や支払い情報の変更を行う前に、電話やFAX、チャットなどを用いて確認することで、本人確認や重要な方法伝達ができます。複数の手段での事実確認によって、詐欺被害を未然に防げる可能性が高まります。

7.組織内外での情報共有

ビジネスメール詐欺では、社内の担当者や関係者になりすますケースがあるため、組織内での情報共有が不可欠です。また、取引先や関係者などに情報を共有し、不審なメールに適切に対応できる体制を整えることも重要です。社内外で最新の攻撃手口や事例を共有し、組織全体で情報セキュリティの意識を高める必要があります。

メール本文のフィルタリングの組み合わせも重要に

ビジネスメール詐欺の5つのタイプ（IPA）は、次のとおりです。

1. 取引先との請求書の偽装
2. 経営者等へのなりすまし
3. 窃取メールアカウントの悪用
4. 社外の権威ある第三者へのなりすまし
5. 詐欺の準備行為と思われる情報の詐取

DMARCは、これらの5つのパターンのうち、1. 取引先との請求書の偽装 、2. 経営者等へのなりすまし、3.  窃取メールアカウントの悪用に有効な対策です。

一方で「4. 社外の権威ある第三者へのなりすまし」は経営幹部や取引先を偽装するのではなく、代理人としての弁護士などを騙ったメールで受信者を信用させる手口です。オレオレ詐欺といった特殊詐欺と同様に親族、警察官、弁護士を装い、親族が起こした事件・事故に対する示談金等を名目に金銭を騙し取る（脅し取る）手口と同様です。

これらのなりすましメール対策には、DMARCによるチェックだけでは限界があります。メール本文や添付ファイルで記載されている文言でのフィルタリングで詐欺メールを検知する仕組みも組み合わせることが重要です。

ビジネスメール詐欺対策ソリューション

Microsoft 365やGoogle Workspaceのビジネスメール詐欺（BEC）対策

サイバーソリューションズが提供するCloud Mail SECURITYSUITE（CMSS）は、月額200円から可能なDMARCによるなりすましメール対策で、Microsoft 365やGoogle Workspaceのビジネスメール詐欺（BEC）を対策します。CMSSの受信対策では、フィッシング、スパム、PPAP受信対策、マルウェア対策など複合的なメールセキュリティにより、危険なメールの受信を防ぎます。

詳しくは、3分でわかる「Cloud Mail SECURITYSUITE」をご覧ください。

現在ご利用中のメール環境のビジネスメール詐欺（BEC）対策

サイバーソリューションズが提供するMAILGATES Σ（メールゲーツ シグマ）は、セキュリティを強化しながら誤送信などのミスも防止できるサービスです。

DMARCによるビジネスメール詐欺（BEC）対策に加え、アンチスパム、フィッシングメール対策、なりすましメール対策、マルウェアやEMOTET（エモテット）などのトロイの木馬の受信防御を月額100円で実現します。受信したメールに潜む未知の脅威を防御するサンドボックスを、月額200円で導入できます。

詳しくは、MAIL GATES Σのサービスページをご覧ください。

Microsoft 365 メールセキュリティ対策事例

不動産最大手の株式会社レオパレス21様では、Microsoft 365で運用する約7,000のメールアカウントの複合的なメールセキュリティ対策と脱PPAPを実現するためにCMSSを導入。

CMSSの導入により、最新の脅威の防御と、メールセキュリティの運用・管理工数を削減しました。

詳しくは、レオパレス21様の導入事例をご覧ください。