IT & Information security Journal

  1. UNITIS
  2. 脅威とサイバー攻撃
  3. ビジネスメール詐欺(BEC)最新動向 1件で1億円超の被害も、「本人確認」で対策

従業員を狙うソーシャルエンジニアリングの実態 第2回

ビジネスメール詐欺(BEC)最新動向 1件で1億円超の被害も、「本人確認」で対策

企業の取引先やCEOなどになりすましたメールによって従業員をだまし、犯罪者の口座へ送金させる「ビジネスメール詐欺(BEC)」による被害が、国内企業でも発生しています。特に2025年末からはLINEを悪用した新たな手口も確認されており、従来の対策だけでは防ぎきれない局面を迎えています。

本記事では、最新の手口から実効性のある事前・事後対策まで、詳しく解説します。

この記事のポイント


  • ビジネスメール詐欺(BEC)による被害額は1件あたり1億円以上も珍しくなく、数十億円の被害も散見される

  • 取引先やCEOをかたる手口に加えて、近年では、ディープフェイクを用いた手口や、LINEグループを悪用した「ニセ社長詐欺」など、手口が多様化している

  • 不審な送金依頼には「いつもの電話番号」へ確認するプロセスを徹底することで、被害を未然に防げる

ビジネスメール詐欺の最新傾向

ビジネスメール詐欺(Business E-mail Compromise:BEC)とは、企業・組織に偽の電子メールを送り付け、従業員をだまして犯罪者の口座へ送金させる詐欺の手口です。その手口は、犯罪者が企業の電子メールのやり取りを不正アクセスなどで盗み見て、取引先やCEOなどになりすました偽の電子メールで送金を依頼するものです。会社の規模を問わず被害が発生しており、被害額は1件あたり1億円以上も珍しくなく、数十億円の被害も散見されます。

図1:BEC被害の推移
図1:BEC被害の推移

ビジネスメール詐欺の手口

手口は、「取引先をかたる手口」「CEO詐欺」の2つに大別できます。ここでは、海外で流行しているディープフェイクや、最近見られる新たな手口となるニセ社長詐欺を含め、順を追って解説します。

  1. 取引先をかたる手口
  2. CEO詐欺
  3. ディープフェイク
  4. ニセ社長詐欺

取引先をかたる手口

取引先になりすまして偽の請求書を電子メールで送付し、送金させる手口です。犯罪者は事前に取引先のシステムに侵入して、過去の取引先とのやり取りの情報や、取引請求に関する情報等を入手します。そして、請求書が発行されそうなタイミングを狙って偽の請求書を送付するため、送金者はいつもの取引先からの連絡と思い込み、疑わずに送金してしまいます。

2017年には国内航空会社において、取引先をかたったBECにより約3億8,400万円の被害が発生しました。その手口は図2のとおりです。

図2:取引先をかたるBEC手口
図2:取引先をかたるBEC手口

このように、犯罪者が取引先になりすまし、電子メールで送金口座の変更を依頼して、商品代金などを犯罪者の口座に送金させる手口もあります。「いつもの口座が監査中で使用できない」など、もっともらしい理由をつけて送金者を信じ込ませます。このため、送金者は不自然に感じることなく送金してしまいます。

CEO詐欺

犯罪者が親会社のCEOなど経営幹部になりすまし、M&Aの資金などと偽り、送金させる手口です。海外の子会社や現地法人のCEOやCFOが狙われるケースが多く、「極秘」「至急」と伝えることで、送金者が誰にも相談せず焦って送金する状況を作り出します。電子メールの送信元を経営者の名前やメールアドレスになりすまして送る場合もあります(図3)。

図3:CEO詐欺のBECメール例
図3:CEO詐欺のBECメール例

ディープフェイク

海外では、「ディープフェイク」を用いたBECの手口も多く確認されています。ディープフェイクとは、AI技術を用いて作成した偽の画像や動画、音声などのことです。CEOがメディア出演した際の音声情報を入手し、犯罪者はそれを元に偽音声を生成し、CEOになりすまして電話で送金指示をしてくる手口です。

ニセ社長詐欺

2025年末から新たな手口による被害が発生しています。経営者をかたり、正規の業務連絡をよそおって指定した銀行口座に振り込みを指示する手口です。実在する社長名が使われるため、気づきにくいのが特徴です。

まず、電子メールでは、「新プロジェクトのため」や「業務上のため」として、『LINEグループ』の作成を指示されます。LINEグループ作成後、当該グループの招待用QRコードを返信するよう求められます。

その後、SNSグループ内でやりとりして、当該企業の口座残高を聞き出した後、「決済資金(手付金など)を至急送金して欲しい」などと要求し、指定した口座に送金させます。

図4:ニセ社長詐欺の電子メール文面例
図4:ニセ社長詐欺の電子メール文面例

実際に、LINEグループを作成し、当該LINEグループのQRコードを返信した後の犯罪者とのチャットの様子を再現したイメージ図を図5に示します。

図5:犯罪者とのLINEグループ内チャットのイメージ図
図5:犯罪者とのLINEグループ内チャットのイメージ図

組織を守る「事前・事後」の対策

対策は「事前」と「事後」に分かれます。

まず、「事前」の対策です。不審な送金依頼には、取引先に電子メールではなく電話で確認することが重要です。その際、いつも連絡している電話番号または名刺に記載されている電話番号に連絡しましょう。偽メールに記載されている電話番号に電話をかけないよう注意が必要です。それでは犯罪者に電話をかけることになってしまうためです。

特にCEO詐欺では経営幹部からの依頼ということで、確認する必要がないと思いがちですが、必ず電話で本人に確認しましょう。高額送金ではCFOに事前確認する社内プロセスをルール化しておくことも有効です。また、社長からLINEグループ作成を指示されたら詐欺と疑うように社内で情報共有しておくことも重要です。その他の対策については図6に示すとおりです。

図6:BECの対策
図6:BECの対策

次に、「事後」の対策としては、万が一、犯罪者の口座に送金してしまった場合、送金手続をした銀行に速やかに組み戻しの手続を依頼することが必要です。時間が経つと、資金回収の可能性が低下していくためです。特に外国送金の場合は、その傾向が強くなります。

BECは、技術的な隙以上に「心理的な隙」を巧みに突く攻撃です。最後の砦となるのは、従業員1人ひとりの意識にほかなりませんが、送金ルールの明文化や電話確認の徹底といった基本的なルールによっても、被害を未然に防ぐことが可能です。巧妙な詐欺から大切な資産と信頼を守るため、今一度、自社の運用プロセスを見直してみてはいかがでしょうか。

この記事は会員限定です。
登録すると続きをお読みいただけます。

UNITIS 利用規約に同意のうえ

このサイトはreCAPTCHAによって保護されており、
Googleの プライバシーポリシー利用規約 が適用されます。

従業員を狙うソーシャルエンジニアリングの実態

バックナンバー(全2件)

もっと見る
小森 美武

小森 美武

株式会社ラック 金融犯罪対策センター エバンジェリスト

慶応義塾大学卒。2020年まで三菱UFJ銀行にてリスク統括オフィサーなどを歴任、金融犯罪対策やサイバー犯罪対策の陣頭指揮を執る。20年に株式会社ラックに転職。翌21年に金融犯罪対策センターを立ち上げ、初代センター長に就任。「金融犯罪対策の駆け込み寺」として銀行実務を踏まえた支援を提供。日本初のAI不正送金対策システムの企画開発責任者。25年からはエバンジェリストとして、これまで培った金融犯罪対策の経験や知見を活かした講演・啓発活動を行う。詐欺対策啓発本「だます技術」の著者。専門家として、TV・新聞・雑誌などメディア出演多数。三菱UFJ銀行勤務時の海外駐在経験(英国6年)やドイツ留学経験を生かして海外事情にも精通。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP