ビジネスメール詐欺（BEC）とは？2023年の事例と併せて手口や対策を解説

ビジネスメール詐欺とは、海外の取引先や自社の経営者、また弁護士など外部の第三者等になりすました攻撃者が、企業の従業員へ偽のEメールを送って入金を促す詐欺のことです。本記事では、ビジネスメール詐欺の概要や5つのパターン、よく使われる手口、実際の被害状況や事例のほか、対策や偽メールの特徴などについて解説します。

1, ビジネスメール詐欺（BEC）とは？

ビジネスメール詐欺とは、組織の取引先や経営者などになりますましてメールを送り付けたり、組織間でのメールのやり取りを途中から乗っ取ったりすることによって標的組織を騙し、最終的に偽の銀行口座に送金させようとするサイバー攻撃のことです。攻撃者は「口座が変更になった」、「至急振り込みが必要」など、もっともらしい口実を使って送金させるように誘導してきます。もともとは「Business E-mail Compromise」という英語を訳したもので、頭文字を取って「BEC」、「BEC詐欺」などと呼ばれることもあります。

組織間の送金が口実として利用されるケースが多いため、騙されて送金してしまった際の被害額は高額となる傾向にあり、日本円に換算すると数千万～数億円単位の被害に遭った事案も報告されています。また、ビジネスメール詐欺は2018年以降毎年「情報セキュリティ10大脅威（組織編）※」にランクインしており、2023年度も7位に入るなど依然として懸念される脅威であることから、「自社は大丈夫」と油断することなく必要な予防措置や対策を講じることが重要です。

※「情報セキュリティ10大脅威」は、IPA（独立行政法人情報処理推進機構）が毎年発表しているランキングです。前年度に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案からIPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者など約200名のメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定されています。

ビジネスメール詐欺とメールボム攻撃の違い

同じ「メール」を使ったサイバー攻撃として混同されがちなものに「メールボム攻撃」というものがありますが、両者はまったくの別物です。メールボム攻撃とは、大量にメールを送りつけることでメールボックスをパンクさせようとする攻撃のことを言い、企業や組織のサービスを妨害する目的で実施されることが多く、金銭目的で行われるビジネスメール詐欺とは性質が異なります。

ビジネスメール詐欺と標的型メール攻撃の違い

ビジネスメール詐欺は、標的型メール攻撃とも混同されることがあります。標的型メール攻撃とは、不特定多数を対象にするのではなく、ある組織に狙いを定め、その組織の担当者が業務に関係するメールだと信じて開封してしまうように巧妙に作り込まれたウイルス付きのメールを送りつける攻撃のことです。標的組織の重要な情報を盗み出す目的で、つまり諜報活動が目的で実施されることが多く、この点が、金銭を騙し取るために行われるビジネスメール詐欺とは異なっています。ただ、受信者を騙すためにメールの件名や宛先、内容、添付ファイルの形式などにさまざまな細工が施される点はビジネスメール詐欺と似ています。

2, ビジネスメール詐欺の5つのパターン

米国連邦捜査局（FBI）のインターネット犯罪苦情センター（IC3）は、ビジネスメール詐欺を以下の5つのタイプに分類しています。

①取引先との請求書の偽装

②経営者等へのなりすまし

③窃取メールアカウントの悪用

④社外の権威ある第三者へのなりすまし

⑤詐欺の準備行為と思われる情報の詐取

※上記以外に、関係者しか知り得ない情報を使ってビジネスメール詐欺が試みられたケースも報告されていることから、内部不正が原因になるというパターンも考えられます。

①取引先との請求書の偽装

標的の企業に対し、取引先の従業員を装って偽の請求書などを送りつけ、攻撃者の用意した口座に送金させようとするタイプの詐欺攻撃です。主に海外との取引がある企業が被害に遭う傾向があり、「偽の請求書詐欺」、「サプライヤー詐欺」、「請求書偽装の手口」などとも呼ばれます。

＜振込先口座の変更理由として使われる口実の例＞

・年次監査を受けており、従来の口座が使用できない

・従来の口座が不正取引に使用され、凍結されてしまった

・技術的な問題が発生しており、従来の口座が使用できない

・銀行の吸収合併により、従来の口座が使用できなくなった　など。

②経営者等へのなりすまし

2つ目のタイプは、標的企業の財務担当者などに対し、同じ企業の経営者や幹部などになりすました攻撃者によって送金を依頼する内容の偽メールが送られるというものです。「CEO詐欺」や「企業幹部詐欺」、「なりすまし詐欺」、「金融業界送金詐欺」などと呼ばれることもあります。

＜送金が必要な理由として使われる口実の例＞

・極秘の買収案件で資金が至急必要になった　など。

③窃取メールアカウントの悪用

従業員などから窃取されたメールアカウント（※）が用いられるタイプのビジネスメール詐欺です。タイプ①と②は本物そっくりに見せかけた偽物のメールアドレスを使う攻撃でしたが、タイプ③では、盗まれて乗っ取られた本物のメールアドレスを使って詐欺メールが送られます。①と同様、振込先を攻撃者の口座に差し替えた偽の請求書を送りつけるなどの手口が使われます。

※アカウント窃取の原因としては、フィッシングやマルウェア感染により認証情報が盗み取られたり、ブルートフォース攻撃によってパスワードが破られたりすることなどが挙げられます。

④社外の権威ある第三者へのなりすまし

弁護士や法律事務所といった社外の権威ある第三者になりすました攻撃者によって、企業の財務担当者などに送金を依頼する偽メールが送られるというタイプのビジネスメール詐欺です。

⑤詐欺の準備行為と思われる情報の詐取

タイプ①〜④では金銭が目的で偽メールが送られていたのに対し、タイプ⑤は、送金要求の前段階として、なりすましや文書偽造に使えそうな従業員の個人情報などを詐取するというものです。攻撃者は、標的企業の経営者や幹部、人事担当などの従業員になりすまして、企業内の他の従業員の氏名やメールアドレスといった情報を騙し取ろうとします。詐取された情報は攻撃者のサーバーなどに送られ、別の攻撃などに悪用されることがあります。

3, ビジネスメール詐欺の手口とソーシャルエンジニアリング

ビジネスメール詐欺では、例えばまだ公表されていない企業の合併買収に絡めて「秘密の案件についての相談がある」というような内容のメールが送られることがあります。これには「秘密」という言葉を用いることで他の従業員に相談させないようにし、詐欺の発覚を遅らせるなどの目的がありますが、このような、人間の心理的な隙や行動のミスなどを突いて相手を騙そうとする手口は「ソーシャルエンジニアリング」と呼ばれます（※）。

※ビジネスメール詐欺自体が、一種の「ソーシャルエンジニアリング攻撃」と呼ばれることもあります。

ビジネスメール詐欺では、以下に挙げるようなソーシャルエンジニアリング手口がよく利用されます。

・急な対応を促す：焦らせて判断力を鈍らせる、他の従業員に相談させないようにする、といった目的で「至急振り込みが必要です」などの文言が使われることがあります。

・本物そっくりのメールアドレスを作成：攻撃者は、なりすまし対象の企業や組織のドメインに似せた詐称用のドメインを取得することで、本物にそっくりな偽メールアドレスを作成します。偽アドレスでは文字が1つだけ削除されていたり、「m」が「n」に変更されていたり、並び合う文字が入れ替えられていたりします。

・時節に合った内容を織り交ぜる：新型コロナウイルスの大流行時には、都市のロックダウンなどを口実として使った偽メールが確認されました。また、企業の賞与支給時期に合わせて送られてくる偽メールも観測されています。このような時節に合った話題を盛り込むことには、メールの内容の信憑性を高めようとする意図があると考えられます。

4, ビジネスメール詐欺の被害状況と2023年の事例

そうは言っても、全くの別人が取引先の従業員や自社の役員になりすましてメールを送ってくるような状況は想像しづらいかもしれません。しかし、実際にこのような詐欺行為は国内外で複数観測されており、中には偽物と見抜けずに送金手続きを実施してしまったというケースもあります。

日本国内の被害状況

2015年から2022年7月の期間にIPAへ寄せられたビジネスメール詐欺に関する情報提供は、292件だったとされています。このうち、実際に金銭的被害が発生したケースは27件あったそうです。また292件のうち、日本語で行われたビジネスメール詐欺は26件で、それ以外のメールでは主に英語が使われていたとのことです。（参考：IPA「ビジネスメール詐欺（BEC）の特徴と対策」）

世界の被害状況

ビジネスメール詐欺は、日本だけでなく世界中で問題となっている脅威です。FBI IC3の資料によれば、ビジネスメール詐欺は全米50州と177か国で報告されており、2013年10月から2022年12月までの間にFBI IC3や法執行機関に報告されたインシデントの件数は277,918件で、総被害額は508億7,124万9,501ドルに上っているそうです。

2023年のビジネスメール詐欺事例

2023年に日本企業やその関連企業および取引先を狙って行われたビジネスメール詐欺には、以下のようなものがありました。

（IPAの資料「サイバー情報共有イニシアティブ（J-CSIP） 運用状況 」を参考に作成）

5, ビジネスメール詐欺を見分けるには？偽メールの特徴

ビジネスメール詐欺に使われる偽メールは巧妙に作り込まれているため、本物と思い込んでしまう恐れもあります。偽物を見分けたり、不審な点に気づくことができるよう、以下に挙げるような特徴を把握しておくことが大切です。

ビジネスメール詐欺の特徴

・海外企業との取引に関するメールのやり取りの中で発生することが多い（使用言語は英語が大半）。

・メールの文面に普段のやり取りとは異なる言い回しが使われたり、表現に誤りがあったりする場合がある。

・フリーメールサービスで取得されたメールアドレスが使われることがある。

・本物のメールアドレスとはトップレベルドメインが微妙に異なる偽メールアドレスが使われる場合がある。

・正規でないメールアドレスからの送信であることを隠すため、差出人の「表示名」の部分に信憑性を高めるための細工が施されている可能性がある。

・正規のやり取りがいつの間にか乗っ取られ、相手が途中から攻撃者に入れ替わっている場合がある。

・攻撃者が偽造する請求書の形式はPDFがほとんどで、作成には無料の変換ソフトや変換サイトが使われていることが多い。

・PDFのプロパティに記録されている作成日時に、取引関係国と異なるタイムゾーンが設定されている場合がある。

・請求書の体裁が不自然だったり、見慣れない地域への送金が要求されたりする場合がある。

6, ビジネスメール詐欺被害を出さないための予防策

ビジネスメール詐欺被害に遭わないための対策としては、以下のようなものが推奨されています。

電話など、メール以外の方法での確認

振込先口座や決済手段の変更といった、通常とは異なる対応を求められた場合は、送金を実施する前に電話やFAXなどメール以外の手段を使って取引先に事実を確認するようにしましょう。その際、メールに記載されている連絡先は攻撃者によって偽装されている可能性があるため、名刺や自分のアドレス帳などに載っている連絡先を使うか、その他の信頼できる方法で入手した連絡先を使うことが重要です。

メールアドレスや本文をよく確認

送金先の変更や緊急の送金に関するメールを受信した場合は、送信元メールアドレスをよく確認し、本来のメールアドレスによく似た偽のメールアドレスでないかどうかを確かめるようにしましょう。またメール内容もよく吟味し、支持されている内容に不自然なところがないか、普段のやり取りとは異なる言い回しや表現の誤りがないか、といった点に注意することが大切です。

フリーメールに注意

攻撃者は偽メールを送信するにあたって、フリーメールサービスで取得したメールアドレスを使い、差出人の「表示名」の部分に本来の担当者の氏名やアドレスを設定するなどの細工をしていることがあります。表示名の確認を怠らないようにすることに加え、フリーメールサービスから着信したメールについて自動で受信者へ注意喚起できるようなシステムを採用するなどして、偽メールを見分けやすくしておくことが効果的です。

マルウェア・不正アクセス対策 

攻撃者は、ビジネスメール詐欺を実施する前に、従業員へのなりすましやメールアドレスの乗っ取りに使えるような情報（メールの内容やメールアカウントの情報など）を入手している場合があります。このような情報の窃取は、マルウェア感染やメールサーバーへの不正アクセスなどを介して行われることがあるため、以下に挙げるような基本的なマルウェア対策や不正アクセス対策（※）が重要になります。

※不正アクセス対策については、こちらの記事も併せてご覧ください：不正アクセスとは？事例や対策を関連法と併せて解説

連絡、報告、相談体制の整備（CSIRT、SOCなど）

こうした体制が整っていないと、不審なメールに気付いたとしても報告が遅れたり、送金手続きをしてしまった後の銀行へのキャンセル依頼を素早く行えなかったりする恐れがあります。

関連記事：CSIRTとは？役割やSOCとの違い、構築のプロセスについて解説

その他の対策

上記以外にも、以下のような対策が有効だとされています。

・従業員への教育や研修、訓練の実施：ビジネスメール詐欺についてだけでなく、詐欺の準備段階で実施され得るフィッシングや不正アクセスといった攻撃に関する知識も伝達することが大切です。

・DMARCの導入：DMARCとは送信ドメイン認証技術の一種であり、ドメインのなりすましを防ぐのに役立つことが期待されます。

・電子署名の付与：取引先との間で請求書などの重要情報をメールで送受信する際は電子署名を付けるようにすると、なりすましを見破ることができる場合があります。

・類似ドメインの調査：自社に似たドメイン名が取得されていないかを定期的に調査・確認することも有効です。

7, ビジネスメール詐欺被害が判明した場合の対応

攻撃者から送られてきた偽の口座へ送金してしまったことが発覚したら、まず第一にやるべきことは、送金で利用した銀行へ送金のキャンセルや組み戻し手続きを依頼することです。ただし、手続きが行われるよりも前に攻撃者が資金を引き出してしまった場合、資金は戻ってきません。このため必ずしも資金が回収できるとは限りませんが、送金後なるべくすぐに銀行に連絡することは有効な手段だとされています。なお、送金先の口座が海外のものだった場合は、当該地域の現地警察へ連絡し、偽の口座の凍結や資金の回収について相談する必要があります。

最後に

ビジネスメール詐欺は、「情報セキュリティ10大脅威2023（組織編）」の第7位に入っている懸念すべき脅威であり、被害額も高額になり得ることから、今回紹介したような攻撃の手法や手口を理解し、事前に被害を防止できるよう予防策を講じることが重要です。また、IPAの「ビジネスメール詐欺（BEC）対策特設ページ」やJPCERT/CCの「ビジネスメール詐欺の実態調査報告書」といった公開資料にも、対策を検討する上で参考になる情報が豊富に掲載されています。

とはいえ、自社だけで対策をするのは不安、どこから始めればいいのかわからない、前段階として行われるフィッシングや不正アクセスへの対策の仕方がわからない、そもそもセキュリティ体制が整備されていない、といったお悩みがある場合は、外部のセキュリティコンサルティングサービスに相談するのも1つの手かもしれません。

株式会社マキナレコードでも、セキュリティ体制の整備やCSIRTの構築を支援するサービスを提供しているほか、セキュリティ顧問としてセキュリティに関する相談を受けたりアドバイスを行ったりするサービスなどもご用意しています。詳しくは以下のボタンより資料をダウンロードしていただくか、弊社ホームページをご覧ください。