ビジネスメール詐欺とは？基本と実際の手口、被害事例、対応策を紹介|ケイティケイ

ビジネスメール詐欺とは？基本と実際の手口、被害事例、対応策を紹介

2024.07.02

ビジネスメール詐欺（BEC）は、企業にとって重大な脅威となるサイバー犯罪です。巧妙な手口を用いて企業の財務や機密情報を狙う詐欺師は、日々その手法を進化させています。

本記事では、BECの基本概念と重要性から始め、主な手口や被害事例、そして効果的な防止策について詳しく解説します。最新の技術やツールを活用した対策方法も紹介し、企業が直面するリスクを最小限に抑えるための総合的なガイドラインを提供します。ビジネスメール詐欺の脅威を理解し、適切な対策を講じることで、企業の安全と信用を守りましょう。

ビジネスメール詐欺とは？基本概念と重要性
ビジネスメール詐欺の主な手口と見破り方
実際の被害事例を紹介
ビジネスメール詐欺の影響とリスク評価
ビジネスメール詐欺に対する技術的対策
社内教育とガバナンスの強化
被害時の法的対応と手順
最新！対策の新技術とツールを紹介
セキュリティ体制を維持して継続的な対策を

ビジネスメール詐欺とは？基本概念と重要性

まず、ビジネスメール詐欺の基本事項について解説します。

ビジネスメール詐欺はサイバー犯罪の一種

ビジネスメール詐欺（BEC：Business Email Compromise）は、企業の財務部門や経営者に対して巧妙に仕掛けられるサイバー犯罪の一種です。BECはフィッシング詐欺やスピアフィッシングとは異なり、特定のターゲットを狙い撃ちにする点が特徴です。BECの典型的な手口には、取引先になりすまして請求書を偽造する方法や、経営者になりすまして送金指示を出す方法などがあります。

企業の経済的損失や信用失墜を防ぐために、BECの対策は非常に重要です。近年の調査によれば、BECは企業にとって最も高額な被害をもたらすサイバー犯罪の一つであり、その被害総額は年々増加しています。

例えば、2023年には大手新聞社の経営幹部になりすまして32億円を詐取する事件が発生しました。このような事例は、企業がBECに対する防御策を強化する必要性を強く示しています。

ビジネスメール詐欺の主な手口と見破り方

ビジネスメール詐欺（BEC）は、非常に巧妙な手口を用いて企業の資金や機密情報を狙います。そのため、各種の詐欺手口を理解し、見破るための知識を持つことが重要です。本章では、BECの主な手口とそれを見破る方法について詳しく解説します。

フィッシング詐欺の手口と対策

フィッシング詐欺は、BECの中でも一般的な手口の一つです。攻撃者は偽のウェブサイトやメールを作成し、ターゲットから個人情報や認証情報を盗み取ります。具体的には、以下のような手口が使われます。

偽のログインページ: 正規のサービスを装ったログインページにユーザーを誘導し、IDやパスワードを入力させる。
緊急のセキュリティ通知: セキュリティ問題が発生したと偽り、リンクをクリックさせて情報を入力させる。

対策としては、以下の方法があります。

メールの送信元を確認: 不審なメールの送信元アドレスを確認し、正規のアドレスと一致するかを確認する。
リンク先のURLをチェック: メール内のリンク先URLをホバーして確認し、正規のドメインであることを確かめる。

スピアフィッシングの特徴と防止策

スピアフィッシングは、特定の個人や組織を狙ったフィッシング攻撃です。攻撃者はターゲットの詳細な情報を収集し、それに基づいて個別にカスタマイズしたメールを送信します。

カスタマイズされたメール: ターゲットの名前や役職、最近の活動に基づいて内容をカスタマイズし、信頼性を高める。
添付ファイルの悪用: 添付ファイルにマルウェアを仕込んで、開かせることで感染させる。

防止策としては以下が有効です。

メールの内容を慎重に確認: 不審なメールは内容を慎重に確認し、送信元に直接確認する。
添付ファイルを不用意に開かない: 知らない相手からの添付ファイルは開かず、IT部門に相談する。

経営者等のなりすまし手口

BECの中でも特に被害が大きいのが経営者や幹部になりすまして送金指示を出す手口です。攻撃者は、経営者や幹部のメールアカウントをハッキングし、そのアカウントから送金指示を出します。

偽の送金指示: 経営者からの指示と見せかけ、緊急性を装って送金を要求する。
信頼性を高める手法: メールの書き方や署名を正規のものに似せ、信頼性を高める。

防止策としては、以下の方法が有効です。

送金指示の確認: 送金指示を受けた場合、必ず電話や別の方法で送信者本人に確認する。
多要素認証の導入: メールアカウントのアクセスに多要素認証を導入し、ハッキングを防ぐ。

取引先の偽装メールの見破り方

取引先になりすまして偽の請求書を送付する手口も一般的です。この手口では、取引先のメールアドレスを模倣し、振込先口座の変更を指示します。

偽の請求書: 取引先の名前やロゴを使い、正規の請求書と見分けがつかない偽の請求書を作成する。
振込先の変更理由を偽る: 振込先の変更理由として、監査や口座凍結などのもっともらしい理由を挙げる。

見破り方としては、以下の点に注意します。

振込先の確認: 振込先の変更があった場合、必ず取引先に直接確認する。
メールアドレスの確認: メールアドレスが微妙に異なる場合があるため、細部まで確認する。

以上が、ビジネスメール詐欺の主な手口と見破り方です。これらの知識を持つことで、企業はBECによる被害を未然に防ぐことができます。

実際の被害事例を紹介

ビジネスメール詐欺（BEC）の被害は、実際にどのような形で企業に影響を与えるのでしょうか。本章では、具体的な被害事例を紹介し、それぞれのケースから学ぶべき教訓について詳しく解説します。

大手新聞社の経営幹部なりすまし事例

2019年に発生した大手新聞社の事例では、アメリカ支社の社員が日本本社の経営幹部になりすました詐欺師の指示に従い、約32億円（2,900万ドル）を香港の口座に振り込んでしまいました。この事件は、経営幹部のメールアカウントがハッキングされ、巧妙に偽装された送金指示が出されたことにより発生しました。

この事例から学ぶべき教訓として、以下の点が挙げられます。

送金指示の確認: 特に大きな金額の送金指示があった場合は、必ず別の方法で送信者本人に確認する。
多要素認証の導入: 経営幹部など重要なアカウントには、多要素認証を導入し、ハッキングを防ぐ。

大手メーカーの欧州子会社における詐欺事例

同じく2019年には、大手自動車関連メーカーのベルギー法人の経理担当者が、外部の第三者による虚偽の指示に従って送金を行い、約40億円が流出する事件が発生しました。攻撃者は、経営幹部を装ったメールを送り、緊急性を装って送金を要求しました。

この事例では、以下の対策が有効であったと考えられます。

送金プロセスの強化: 送金指示には複数の承認を必要とするプロセスを設ける。
教育と訓練: 経理担当者に対して定期的なセキュリティ教育を行い、詐欺の手口に対する意識を高める。

航空会社への偽請求書詐欺未遂

2016年には、大手航空会社が取引先担当者になりすました攻撃者から約40万円の偽請求書を受け取りました。請求書には振込先口座の変更が記されており、担当者は何の疑いもなく送金しましたが、幸いにも口座が凍結されていたため未遂に終わりました。この事件を通じて、企業は請求書に記載されている変更に対して慎重になる必要があると認識しました。

この事例からの教訓は以下の通りです。

振込先の確認: 振込先の変更があった場合は、必ず取引先に直接確認する。
不審な請求書の精査: 請求書の内容に不自然な点がないかを細かく確認する。

中小企業におけるBECの影響

中小企業もBECの標的となることが増えており、被害額は数百万から数千万円に及ぶことがあります。ある中小企業では、経営者になりすました攻撃者からの送金指示に従い、約1,000万円を失う事件が発生しました。このケースでは、経営者のメールアカウントがハッキングされ、正規のメールとして送金指示が出されました。

この事例では、以下の対策が有効です。

メールアカウントの保護: 重要なメールアカウントには強力なパスワードと多要素認証を設定する。
定期的なセキュリティチェック: メールアカウントのログイン履歴や不審な活動を定期的にチェックする。

BEC被害からの教訓と対策

これらの事例から得られる教訓は、BEC対策の重要性を示しています。企業は以下の対策を講じることで、被害を未然に防ぐことができます。

従業員教育の強化: 定期的なセキュリティ教育を実施し、従業員に最新の詐欺手口と対策を理解させる。
技術的対策の強化: メールセキュリティ対策ソフトや多要素認証の導入を推進する。
内部プロセスの見直し: 送金プロセスや請求書処理に複数の承認を必要とするなどの対策を導入する。

実際の事例を通じて学んだ教訓を活かし、企業はBECに対する防御策を強化することが求められます。

ビジネスメール詐欺の影響とリスク評価

ビジネスメール詐欺（BEC）は、企業に甚大な影響を与えるサイバー犯罪です。被害が発生すると、企業の財務状況や信用に深刻なダメージを与えるだけでなく、法的な問題を引き起こすこともあります。本章では、BECの影響とリスクを評価し、企業が直面する可能性のある具体的なリスクについて解説します。

経済的損失の具体例

ビジネスメール詐欺は、直接的な経済的損失を企業に与えます。例えば、大手メーカーのベルギー法人では、BECによって約40億円の資金が流出しました。このような大規模な詐欺事件は、企業の財務状況に甚大な影響を及ぼします。

経済的損失の例として、以下のようなケースが挙げられます。

送金詐欺: 偽の送金指示に従って、大額の資金を詐欺師の口座に送金してしまう。
請求書詐欺: 偽の請求書に基づいて、正規の取引先とは異なる口座に資金を振り込んでしまう。

これらの損失は、企業の運営に直接的なダメージを与え、資金繰りにも影響を及ぼす可能性があります。

信用失墜や法的リスク

ビジネスメール詐欺による被害は、経済的損失に留まらず、企業の信用にも深刻な影響を与えます。企業がBECの被害を受けると、その情報は広く報道され、取引先や顧客からの信頼を失う可能性があります。

具体的には、以下のリスクが考えられます。

取引先との信頼関係の喪失: 詐欺によって取引先との信頼関係が損なわれ、新たな取引や契約が難しくなる。
顧客の信頼喪失: 顧客情報が詐欺によって漏洩した場合、顧客からの信頼を失い、売上に影響が出る。

さらに、BECの被害に対する法的対応が不十分な場合、企業は法的な問題に直面する可能性があります。例えば、被害に遭った企業が適切な対応を怠った場合、取引先からの訴訟リスクが発生することがあります。

被害総額と企業の対応コスト

ビジネスメール詐欺による被害総額は、企業規模や攻撃の内容によって異なりますが、被害が大きくなると、企業の対応コストも増加します。対応コストには、以下のような項目が含まれます。

被害調査費用: 専門の調査機関に依頼して、被害の詳細を調査するための費用。
法的対応費用: 法律事務所に依頼して、訴訟や法的手続きを進めるための費用。
セキュリティ強化費用: 再発防止のために、セキュリティ対策を強化するための費用。

これらの費用は、企業の財務状況に大きな負担をかけるため、事前に適切な対策を講じることが重要です。

BEC被害の長期的影響

ビジネスメール詐欺の被害は、短期的な経済的損失だけでなく、長期的な影響も考慮する必要があります。例えば、以下のような長期的な影響が考えられます。

ブランドイメージの低下: BECの被害が報道されることで、企業のブランドイメージが低下し、長期的な売上に影響を及ぼす。
従業員の士気低下: 詐欺の被害により、従業員の士気が低下し、生産性に悪影響を与える。

企業はこれらのリスクを総合的に評価し、BEC対策を強化することで、被害を未然に防ぐことが求められます。次章では、具体的な技術的対策について詳しく解説します。

ビジネスメール詐欺に対する技術的対策

ビジネスメール詐欺（BEC）の被害を防ぐためには、技術的な対策が不可欠です。高度なセキュリティ技術を導入することで、詐欺メールを未然に防ぎ、企業の安全を確保することができます。本章では、BECに対する具体的な技術的対策について詳しく解説します。

メールセキュリティ対策ソフトの導入方法

メールセキュリティ対策ソフトは、BECのリスクを大幅に軽減するための有効な手段です。これらのソフトは、不審なメールを検知し、フィルタリングする機能を備えています。導入方法としては、以下のポイントが重要です。

適切なソフトの選定: 自社のメール環境に適したソフトを選ぶことが重要です。例えば、クラウドベースのメールシステムにはクラウド対応のセキュリティソフトが必要です。
設定の最適化: ソフトのルールやフィルタリング設定を最適化し、最新のBECの手口に対応できるようにする。
定期的なアップデート: セキュリティソフトを定期的にアップデートし、最新の脅威に対応する。

以下に、代表的なメールセキュリティ対策ソフトを表にまとめました。

ソフト名	主な機能	特徴
Symantec Email Security	フィッシング対策、スパムフィルタリング	高度なフィルタリング機能
Trend Micro Email Security	マルウェア検出、スパム対策	クラウド対応
Mimecast Email Security	添付ファイルのスキャン、フィッシング防止	高い検出精度

SPF、DKIM、DMARCといった技術的対策

メール認証技術は、BECに対する強力な防御手段です。以下の技術を導入することで、不正なメールの送信を防ぐことができます。

SPF（Sender Policy Framework）: 送信者のIPアドレスを認証し、正規のドメインから送信されたメールかどうかを確認します。
DKIM（DomainKeys Identified Mail）: メールに暗号化された署名を付与し、受信者がその署名を検証することで、メールの真正性を確認します。
DMARC（Domain-based Message Authentication, Reporting & Conformance）: SPFとDKIMの検証結果に基づいてメールを処理するポリシーを設定し、不正メールの報告機能を提供します。

これらの技術を組み合わせることで、BECのリスクを大幅に軽減することができます。

多要素認証の重要性と設定方法

多要素認証（MFA）は、BECに対する重要な防御手段の一つです。MFAは、ユーザーがアカウントにアクセスする際に、複数の認証要素を要求することでセキュリティを強化します。

知識情報（パスワード）: ユーザーが知っている情報。
所持情報（スマートフォン）: ユーザーが持っているデバイス。
生体情報（指紋認証）: ユーザーの身体的特徴。

MFAの導入により、メールアカウントへの不正アクセスを防ぐことができます。設定方法としては、以下のステップがあります。

MFA対応のサービスを選定: 使用しているメールシステムがMFAに対応していることを確認します。
ユーザーの登録: 全てのユーザーをMFAシステムに登録し、必要な情報を提供します。
認証手段の設定: 各ユーザーに対して適切な認証手段を設定します（例：スマートフォンのアプリ、ハードウェアトークンなど）。
テストと運用: 導入後にテストを実施し、問題がないことを確認してから本格運用を開始します。

セキュリティチェックと監査の強化

定期的なセキュリティチェックと監査は、BEC対策の重要な要素です。これにより、企業のセキュリティ体制を常に最新の状態に保つことができます。

メールログの監視: メールログを定期的に監視し、不審なアクティビティを早期に発見する。
セキュリティ監査: 第三者機関によるセキュリティ監査を定期的に実施し、脆弱性を特定して対策を講じる。
従業員のセキュリティ意識向上: 定期的なセキュリティ教育を実施し、従業員の意識を高める。

以上が、ビジネスメール詐欺に対する具体的な技術的対策です。これらの対策を実施することで、企業はBECのリスクを大幅に軽減し、安全なメール環境を維持することができます。次章では、社内教育とガバナンスの強化について詳しく解説します。

社内教育とガバナンスの強化

ビジネスメール詐欺（BEC）を防ぐためには、技術的な対策だけでなく、社内教育とガバナンスの強化も欠かせません。従業員全体のセキュリティ意識を高め、組織全体で一貫した対策を講じることで、BECのリスクを大幅に減らすことができます。本章では、社内教育の重要性と具体的な実施方法、さらに効果的なガバナンス体制の構築について詳しく解説します。

セキュリティ教育の重要性と具体例

セキュリティ教育は、従業員がBECの手口や対策を理解し、日常業務で注意を払うための基盤となります。以下の点を重点的に教育することで、企業全体のセキュリティ意識を向上させることができます。

不審なメールの見分け方: BECの手口を具体的に示し、不審なメールを見分けるポイントを教育する。例えば、送信元アドレスの確認、リンク先のURLチェックなど。
添付ファイルのリスク: 知らない相手からの添付ファイルを開かないように指導し、ウイルス感染のリスクを説明する。
送金指示の確認: 送金指示があった場合、必ず別の方法で送信者本人に確認する手順を徹底する。

以下に、セキュリティ教育の具体例を示します。

定期的なセミナー: 社内で定期的にセミナーを開催し、最新のBECの手口や対策を従業員に共有する。
シミュレーション訓練: 実際にBECのシミュレーションを行い、従業員がどのように対応するかを訓練する。
オンライン学習プログラム: オンラインで学習できるプログラムを導入し、従業員が自主的に学べる環境を提供する。

定期的なトレーニングと注意喚起

セキュリティ教育は一度だけでは不十分であり、定期的にトレーニングと注意喚起を行うことが重要です。新しい手口や技術に対応するため、以下のような取り組みが必要です。

定期的なテストとフィードバック: 定期的にフィッシングメールのテストを行い、従業員の反応を確認し、フィードバックを提供する。
最新情報の共有: セキュリティ関連の最新情報や事例を社内で共有し、従業員が常に最新の情報を把握できるようにする。
社内報や掲示板の活用: 社内報や掲示板を活用して、セキュリティに関する情報を定期的に発信する。

ガバナンスが機能する業務フローの構築

効果的なガバナンス体制は、BEC対策の成功に不可欠です。組織全体で一貫した対策を講じるためには、以下のようなガバナンスが求められます。

セキュリティポリシーの策定と遵守: 明確なセキュリティポリシーを策定し、全従業員がそれを遵守するように指導する。
インシデント対応計画の整備: セキュリティインシデントが発生した際の対応計画を整備し、迅速かつ効果的に対処できるようにする。
定期的な監査と評価: 第三者による定期的なセキュリティ監査を実施し、脆弱性を評価して対策を講じる。

組織全体での意識向上

組織全体での意識向上を図るためには、トップダウンアプローチが有効です。経営層が積極的にセキュリティ対策を推進し、全従業員がその重要性を理解することが求められます。

経営層のリーダーシップ: 経営層がセキュリティ対策の重要性を強調し、全社的な取り組みをリードする。
全従業員の参加: セキュリティ対策に全従業員が参加し、自分たちの役割と責任を認識する。

これらの取り組みを通じて、企業はBECのリスクを大幅に軽減し、安全な業務環境を維持することができます。次章では、被害時の法的対応と手順について詳しく解説します。

被害時の法的対応と手順

ビジネスメール詐欺（BEC）による被害が発生した場合、迅速かつ適切な法的対応が求められます。被害を最小限に抑えるためには、事前に対応手順を整備し、迅速に行動することが重要です。本章では、被害発生時の具体的な法的対応と手順について詳しく解説します。

警察への通報方法と相談窓口

BEC被害に遭った場合、最初に行うべきは警察への通報です。被害を受けたメールや関連する証拠を持参し、最寄りの警察署またはサイバー犯罪相談窓口に相談します。

警察署への通報: 事前に電話で担当者と日時や持参する資料を調整すると、対応がスムーズに進みます。通報する際には、被害メールのコピーや送金記録など、可能な限り多くの証拠を提供します。
サイバー犯罪相談窓口: 専門の窓口に相談することで、より専門的なアドバイスや対応策を得ることができます。警察庁のウェブサイトには各都道府県の相談窓口が掲載されています。

法的措置とその手順

BECの被害を受けた場合、法的措置を取ることが必要です。以下の手順を踏むことで、適切な法的対応を進めることができます。

被害届の提出: 警察に被害届を提出し、正式な捜査を依頼します。被害届には、被害の詳細や詐欺メールの証拠を含めます。
弁護士への相談: 専門の弁護士に相談し、法的手続きを進めるためのアドバイスを受けます。特に、国際的な詐欺の場合は国際法に詳しい弁護士が必要です。
訴訟の準備: 必要に応じて、詐欺師に対して民事訴訟を起こす準備をします。訴訟には証拠が重要となるため、被害の記録を詳細に保管しておきます。

被害届の提出と証拠保全

被害届を提出する際には、証拠の保全が非常に重要です。以下のステップを踏むことで、証拠を適切に保全できます。

メールの保全: 詐欺メールの原本を保管し、メールヘッダ情報も含めて保存します。メールヘッダには送信元IPアドレスや経路情報が含まれており、捜査に役立ちます。
送金記録の保管: 銀行取引の明細や送金記録を保管し、被害の全容を明確にします。
通信履歴の記録: 詐欺メールに関連する通信履歴を記録し、詳細なタイムラインを作成します。

国際的な被害対応

BECの被害が国際的な場合、対応がさらに複雑になります。国際的な詐欺組織による被害の場合、以下の対応が求められます。

国際的な協力: 国際的な法執行機関との協力が必要です。InterpolやEuropolなど、国際的な捜査機関と連携し、捜査を進めます。
法的手続きの調整: 各国の法制度が異なるため、法的手続きを調整しながら進めます。国際法に精通した弁護士のサポートが不可欠です。

インシデント後のフォローアップ

BEC被害に遭った後も、継続的なフォローアップが重要です。以下のステップを通じて、被害の再発を防止します。

セキュリティ対策の強化: 被害の原因を特定し、再発防止のためにセキュリティ対策を強化します。
従業員教育の再実施: 従業員に対して再度セキュリティ教育を実施し、最新の対策と注意点を周知します。
定期的な監査: 定期的なセキュリティ監査を行い、システムの脆弱性をチェックします。

これらの対応を通じて、企業はBECの被害を最小限に抑え、再発を防ぐことができます。次章では、最新のビジネスメール詐欺対策のトレンドと新技術について解説します。

ツール名	主な機能	特徴
Proofpoint Email Protection	フィッシング防止、スパムフィルタリング	高い検出精度と使いやすさ
Cisco Secure Email	多要素認証、マルウェア防止	エンタープライズ向けの高機能ツール
Barracuda Email Security Gateway	スパム対策、ウイルス防止	中小企業向けの手頃な価格