ビジネスメール詐欺(BEC: Business E-mail Compromise)とは、巧妙な騙しの手口を駆使した偽の電子メールを企業・組織に送り付け、従業員を騙して攻撃者が用意した口座へ送金させる詐欺の手口です。
技術的な脆弱性を突く攻撃ではなく、「人」を騙すソーシャルエンジニアリングが核心です。マルウェアなしでも成立するため、従来のセキュリティフィルターでは検出が難しく、被害金額の規模が特に深刻です。FBI・IC3の2025年報告では、BECの被害申告件数は24,768件、損失額は約30億5,000万ドル(約4,400億円)に達し、前年比約16%増と拡大を続けています。
この記事でわかること
- BECの正確な定義と、フィッシングとの違い
- 攻撃者が使う2つの主なパターン
- なぜ被害が後を絶たないのか
- 情シス担当者が今すぐ取れる対策
BECとフィッシングはどう違うのか?
BECはメールを使う点でフィッシング詐欺と似ていますが、目的と狙いが異なります。フィッシングが不特定多数に送り付けてID・パスワードを盗むのに対し、BECは特定の企業・担当者を事前に調査したうえで、金銭の不正送金を目的に仕掛けます。
攻撃者は事前に以下の情報を収集します。
- ターゲット企業の取引先・担当者名・メールアドレス
- 経営者・役員の氏名・肩書き・メールアドレス
- 実際のメールのやり取り(メールアカウント侵害で入手するケースも)
こうした情報をもとに「本物らしい」偽メールを作成するため、受信者が騙されやすく、被害に気づくまでに時間がかかります。
BECの主な手口:2つのパターン
IPAはBECを主に以下の2パターンに分類しています。
パターン1:取引先へのなりすまし(請求書詐欺型)
攻撃者が取引先企業になりすまし、「振込先口座が変更になりました」などと偽の請求書を送り付けます。事前にメールのやり取りを何らかの方法で盗み見ていることが多く、実際の取引の流れに沿った内容で送られるため、受信者が疑いにくい点が特徴です。
海外企業との取引があり、外貨建て決済が発生する企業で特に多く確認されています。
パターン2:経営者等へのなりすまし(CEO詐欺型)
攻撃者が社長・役員などの経営幹部になりすまし、財務・経理担当者に対して「秘密の案件がある」「至急、この口座に送金してほしい」などと指示します。権威ある人物からの依頼という心理的プレッシャーと、「秘密にするように」という口止め指示が組み合わさることで、担当者が上司や同僚に確認できない状況に追い込まれます。
IPAの注意喚起(2026年3月)によると、2025年12月〜2026年3月の約3ヶ月間だけで、社長等をかたる詐欺メールに関する相談が106件寄せられています。
なぜ被害が後を絶たないのか
BECが特に厄介なのは、技術的な弱点ではなく「プロセスの隙」と「人の心理」を突くからです。
多くの組織では、一定金額以下の送金や、既存取引先への振込は担当者レベルで処理できます。この効率を重視したプロセスが、攻撃者の入り込む余地を生んでいます。また、役員や取引先からの指示を疑うこと自体、日本の職場文化では心理的ハードルが高く、「確認する」一歩が踏み出しにくい実態があります。
技術的な防御(スパムフィルター・DMARC等)は一定の効果がありますが、攻撃者が正規のメールアカウントを侵害している場合や、ドメインを巧妙にタイポスクワットしている場合は、フィルターをすり抜けることがあります。
情シスはどうすべきか
BECへの対策は「技術」と「業務プロセス」の両輪が必要です。どちらが欠けても不完全です。
業務プロセスの見直し(最優先)
- 振込先変更・緊急送金の確認ルールを整備する:メールだけで完結させない。電話や対面など別の経路で必ず確認する手順をルール化する。
- 複数承認プロセスを導入する:一定金額以上の送金は1人で完結させず、複数名の承認を必須とする。
- 「秘密の案件」「至急」への警戒を教育する:これらはBECの典型的な誘導文句。疑ったとき確認することは失礼ではなく、職責だと周知する。
技術的な対策
- メールアカウントへのMFA(多要素認証)導入:アカウント侵害によるBECを防ぐ最も効果的な手段のひとつ。
- DMARCの設定と監視:自社ドメインのなりすましメール送信を防ぐ送信ドメイン認証。受信側フィルターとしても機能する。
- パスワードの複雑化と使い回し防止:メールアカウントの不正アクセス防止の基本。
啓発・訓練
技術対策の限界を補うのが人への教育です。定期的な社内訓練と事例共有が効果的です。IPA「ビジネスメール詐欺(BEC)対策特設ページ」には、啓発チラシ・動画・事例集など実務で使えるリソースが揃っています。
IPA BEC対策特設ページ:https://www.ipa.go.jp/security/bec/index.html
現場目線の課題:「確認する」一歩のしづらさ
技術的な対策は比較的整備しやすい。難しいのは「プロセスの変革」と「文化の変容」です。「役員からの指示を疑う」「取引先への振込前に再確認の電話を入れる」という行動は、組織によっては「失礼」「慎重すぎる」と思われがちです。
これを変えるには、「確認することはリスク管理の職責である」というメッセージを経営層から明示的に出してもらうことが重要です。情シスだけが声を上げても変わりにくい部分をどう動かすか、というのが実務の本当の難所です。もし社内で事例を共有できる機会があれば、実被害額の規模(「1件で数千万円規模の損失」)は経営層の意識を変えるのに有効な材料になります。
まとめ
- BECは技術ではなく「人とプロセス」を騙す詐欺で、FBIの2025年報告では米国だけで約30億ドルの被害。日本でも増加傾向が続く。
- 主な手口は「取引先なりすまし(請求書差し替え)」と「経営者なりすまし(CEO詐欺)」の2パターン。いずれも事前調査をもとにした高度な偽装が特徴。
- 対策の核心はプロセスの見直し(振込先変更時のメール外確認ルール)+技術対策(MFA・DMARC)+継続的な啓発の三本柱。
