ビジネスメール詐欺とは？BECの危険性と対策方法を徹底解説

ビジネスメール詐欺とは何か

BEC は、正規の送金依頼に見せかけて金銭移転を起こす詐欺です

ビジネスメール詐欺は、BEC（Business Email Compromise）または Email Account Compromise とも呼ばれ、正当な送金依頼や請求変更に見えるメールを使って、不正な口座へ資金を移させる手口です。FBI のBusiness Email Compromise: The $55 Billion Scam↗では、正当な送金業務を行う企業や個人を狙う高度な詐欺として定義されています。

ここで重要なのは、攻撃者が必ずしも「いかにも怪しい文面」を送るわけではないことです。実際には、既存のメールスレッド、既知の取引先名、請求書の更新、役員からの急ぎ依頼、海外送金の例外承認など、普段の業務に見える文脈を使って判断を急がせます。そのため、メール対策だけではなく、送金と確認の運用全体が防御対象になります。

スピアフィッシングとの違いは、侵入口ではなく『お金を動かす判断』が主役な点です

broad hub としてのフィッシング対策や、スピアフィッシングは、攻撃の入口や標的型メールそのものを中心に整理しています。一方で BEC の主役は、誰が、どの根拠で、どの口座へ送金を確定するのかという業務判断です。

そのため、BEC を「標的型メールの一種」とだけ見ると、対策が受信箱の注意喚起で止まります。実務では、請求書差し替え、送金先変更、代表者なりすまし、業務委託先になりすました請求など、金銭移転に直結する承認フローとして切り分ける方が対策しやすくなります。

最近は認証済みメールボックスの悪用と組み合わさるため、財務部門だけの問題ではありません

Microsoft のFrom cookie theft to BEC↗は、AiTM 型のフィッシングで認証後のセッションが奪われると、攻撃者が Outlook on the web へ入り、メールスレッドを読み、送金詐欺へ進む流れを整理しています。観測では、認証情報やセッションを取られてから最短 5 分ほどで payment fraud が始まるケースもありました。

つまり、BEC は経理部門だけの注意事項ではなく、認証、メール運用、委任設定、メール転送ルール、共有ボックス管理、委託先アカウント管理までつながる課題です。ここを切り離すと、送金承認だけ厳しくしても別の入口から崩れます。

なぜ成立するのか、どこが盲点になるのか

人は『自然な文面』より『自然な業務文脈』で判断を省略します

BEC が成立しやすいのは、文法が自然だからではなく、その時その人に届いても不思議ではない依頼だからです。請求書の再送、振込先の変更、代表者からの緊急送金、法人口座の更新、ベンダー合併に伴う支払先変更など、実務で実際に起きる話題ほど確認が省略されます。

そのため、送金詐欺対策で最初に整えるべきなのは「怪しい単語一覧」よりも、どんな依頼でも支払先変更は別経路で確認するという業務ルールです。これはスピアフィッシングの入口対策より、さらに一段業務側へ寄ったテーマです。特に最近は、代表番号やヘルプデスクへ電話をかけさせて remote support や別口の確認を装うコールバックフィッシングも、送金判断や口座変更確認の流れに食い込みやすい手口として一緒に見ておく必要があります。

メールボックス侵害と組み合わさると、詐欺は本物のやり取りに見えやすくなります

Microsoft が整理した事例では、攻撃者は stolen session cookie を使って被害者のメールボックスへ入り、財務関連スレッドを探し、詐欺相手からの返信をInbox ルールでアーカイブへ移し、既存スレッド上で返信を続けました。この状態になると、受信者は「本当にその相手とやり取りしている」と思いやすくなります。

つまり BEC は、送金フローだけの問題ではなく、中間者フィッシングやMFA未適用アカウントのような認証課題ともつながっています。入口と承認フローを別々に守るのではなく、同じ事故チェーンとして扱う必要があります。

請求先変更を『取引先確認』ではなく『高リスク変更』として扱う必要があります

BEC で見落としやすいのは、口座変更や請求先変更が「取引先メンテナンス」のように見えることです。しかし実際には、資金流出へ直結する高リスク変更です。IC3 は 2024 年の PSA で、変更依頼にはsecondary channel と二要素確認を使うべきだと明記しています。

ここでいう secondary channel は、メール本文に書かれた番号へ電話することではありません。契約書や社内台帳に登録された代表番号、既知の担当者、既存ポータルなど、攻撃者が差し替えにくい別経路を使うことが重要です。

被害の広がり方と企業側のリスク

BEC はマルウェアがなくても大きな損害を起こせます

BEC の厄介な点は、ランサムウェアのような停止や、マルウェア検知アラートが出なくても大きな損害になることです。実際の被害は、不正送金そのものに加えて、支払遅延、サプライヤーとの関係悪化、決算・監査対応、法務対応、保険確認まで広がります。

だからこそ、BEC を「経理の注意不足」で終わらせるのは危険です。被害の本質は、メール、認証、承認、取引先管理、委託先管理が別々に運用されていて、誰も全体の責任を持っていないことにあります。

不正送金が疑われたら、最初の 15 分が勝負です

IC3 は、詐欺送金に気付いた時は直ちに金融機関へ連絡し、組戻し依頼と必要書類の案内を受けることを強調しています。金額の大小にかかわらず、IC3 への通報も可能な限り早く行うべきとされています。これは日本企業でも同様で、銀行連絡、社内エスカレーション、証跡保全、関係者通知を即時に進める必要があります。

事後に議論しても遅いため、平時から「誰が銀行へ連絡するか」「送金停止や組戻しの権限は誰が持つか」「どのログを保全するか」を決めておくべきです。訓練なしでは、時間との勝負に負けます。

社内の承認強化だけでは、外部委託先や購買先の境界で崩れます

BEC は、社内だけで閉じる事故ではありません。購買システム、外部委託先、会計 BPO、請求代行、海外子会社、共同調達など、組織の境界をまたぐほど確認責任が曖昧になります。ここで「相手が知っている会社だから」と確認を緩めると、金銭移転の前提が崩れます。

そのため、財務部門だけでなく、購買、情報システム、法務、委託先管理までを含めて、支払先変更や送金先変更を一つの高リスクイベントとして扱う必要があります。

最近の BEC パターンと海外事例から見える傾向

振込先変更だけでなく、給与・人事・税務情報の変更も狙われます

IC3 の BEC 解説を見ると、典型的な被害は請求書差し替えや送金先変更だけではありません。給与振込先の変更、W-2 や税務関連情報の送付、人事・法務の緊急依頼、ギフトカード購入依頼など、『正規の業務変更』に見えるもの全般が対象です。

つまり、BEC を財務部門だけの問題にすると抜け漏れが出ます。購買、人事、法務、秘書、海外子会社、委託先調整まで含めて、「メール経由で高リスク変更を確定させない」原則が必要です。

メールボックス侵害と組み合わさると、既存スレッドの中で詐欺が進みます

Microsoft の AiTM 事例が示すように、攻撃者が認証済みセッションを取った後は、既存の会話スレッドの中に紛れ込んで詐欺を進めることができます。この状態では、単なる送信元なりすましより見分けが難しく、請求書差し替えや口座変更も自然に見えやすくなります。

そのため、BEC 対策はメールの受信前ブロックだけでは足りません。受信箱ルール、委任設定、転送設定、認証後の mailbox 操作を監視し、侵害後に詐欺へ進む経路も止める必要があります。

被害が大きいのは『数通の自然なやり取りで送金が動く』からです

ランサムウェアのような大きな停止がなくても、BEC は数通のやり取りだけで送金を成立させます。しかも、そのやり取りは多くの場合、取引先や上司との普段の会話に見えるため、現場は詐欺だと認識しにくくなります。

だからこそ、BEC の防御はメール本文の不自然さ探しではなく、送金判断の途中で何を必ず確認させるかに重心を置くべきです。文面対策だけでは、自然な会話に見える詐欺に追い付きません。

海外送金、休日対応、秘書経由の依頼は特に慎重に扱うべきです

BEC が成立しやすい場面として、海外送金、四半期末の支払集中、休日や出張中の例外対応、役員秘書経由の至急依頼が挙げられます。これらは時間制約と権威付けが強く、確認を省略する言い訳が生まれやすいからです。

だから、例外フローこそ通常より確認を厚くする必要があります。普段と違う時間帯や経路での送金依頼は、正当な理由があるほど二重確認と別経路確認を厳しくすべきです。

購買と財務の分断があると、請求変更が『誰の責任か』曖昧になります

BEC が止まりにくい組織では、購買が契約を持ち、財務が送金を持ち、情報システムがメールを見ているのに、請求変更の最終責任者が曖昧 なことがよくあります。この状態だと、誰も全体の違和感を見ないまま処理が通ります。

だから、口座変更や請求書差し替えは、担当部門の境界をまたぐ高リスク変更として扱う必要があります。メール対策、送金承認、取引先台帳更新を別々の仕事にしない方が、BEC には強くなります。

実務では、購買が内容確認、財務が送金確認、情報システムがメール痕跡確認を行うように役割を分けつつ、最終責任者だけは一人に固定すると運用が安定します。責任者不在の高リスク変更 をなくすことが、BEC の抑止に直結します。

特に、海外送金や時間外対応の例外フローでは、最終責任者の固定が効きます。誰でも押せる状態をなくし、高リスク変更は必ず責任者へ戻る 流れを作ると、BEC の成功率は下げやすくなります。

例外時ほど責任者へ戻す原則を徹底すると、急ぎ案件を悪用した詐欺へ強くなります。

例外時の統制が強い企業ほど、BEC を止めやすくなります。ここが差になります。

送金実務で先に決めるべき統制

口座変更は『相手確認』ではなく『高リスク変更』として起票すべきです

BEC を減らしたいなら、口座変更や請求先変更を「取引先の連絡事項」として扱うのをやめ、高リスク変更として起票・承認・確認を分ける方が安全です。処理が別枠になるだけで、メール 1 通で流し込みにくくなります。

ここで使う確認先も、メール本文の署名や電話番号ではなく、契約書、社内台帳、既存ポータル、既知の代表番号のような差し替えにくい情報へ固定する必要があります。

送金前確認は『誰が確認するか』より『何を見て確認するか』を残すべきです

二重承認を入れても、2 人とも同じメールを見て同じ判断をすれば意味が薄くなります。実効性を高めるには、登録済み口座との照合、変更理由の確認、別経路確認の完了、時間外例外の妥当性など、承認者が確認すべき観点を明文化する必要があります。

これは監査や再発防止にも効きます。誰が押したかだけでなく、何を根拠に押したかが残っていれば、事故後に「どの確認が抜けたのか」を改善しやすくなります。

不正送金の疑いが出たら、最初の 15 分で銀行連絡と証跡保全を進めるべきです

IC3 が 2024 年 9 月 11 日の PSA で強調している通り、不正送金を疑ったら、直ちに金融機関へ連絡し、資金組戻しや凍結の可能性を確認することが重要です。内部調査を始めてから連絡するのでは遅くなります。

そのうえで、対象メール、送金記録、ログインログ、受信箱ルール、関係者の承認履歴を保全し、社内エスカレーションと外部通報を進めます。ここまでを runbook 化しておかないと、BEC は気付いた後の速度差で被害が変わります。

検知・防御・運用で押さえるべき対策

最優先は、送金や口座変更を『別経路確認必須』に固定することです

もっとも効果が大きいのは、口座変更、請求書差し替え、送金先変更をメールだけで確定しないことです。メールの中に書かれた電話番号や添付資料ではなく、あらかじめ登録した代表番号、契約書、社内台帳、既知のポータルで確認する運用に固定してください。

ここが曖昧だと、どれだけ教育しても「急ぎだから今回は例外」という判断が残ります。BEC 対策は注意喚起の量ではなく、確認を省略できない業務設計に寄せることが本質です。

メールと認証の運用を切り離さないことが重要です

Microsoft の事例が示す通り、BEC はメールのなりすましだけでなく、認証済みセッションの悪用と結び付くことがあります。だから、メールゲートウェイだけ強くしても不十分です。MFA 例外、条件付きアクセス、メール転送ルール、共有メールボックス、委任設定、セッション失効を同じ視点で見直す必要があります。

特に、財務担当、購買担当、役員秘書、外部委託先のアカウントは優先順位を上げるべきです。これらの役割は、攻撃者にとって金銭移転の最短経路になりやすいからです。

取引先マスターの鮮度と、時間外フローの設計が再発防止の差になります

実務では、メール対策よりも、取引先マスターと連絡先台帳の鮮度が効く場面が多くあります。代表番号、既知担当、契約書上の口座情報、既存ポータルが最新なら、メールだけで差し替えられにくくなるからです。

また、夜間・出張・海外対応の例外フローは別途点検が必要です。時間外の『今すぐ振り込みたい』という状況ほど、攻撃者の狙いと合致します。例外をなくせないなら、別経路確認をより厳しくするべきです。

加えて、メール転送ルール、委任設定、共有メールボックス運用を財務統制と切り離さないことも重要です。メール侵害の痕跡が送金判断にどうつながるか を同じ会議で見ると、入口と被害の間にある空白を埋めやすくなります。

指標としては、口座変更の別経路確認完了率、時間外送金の例外件数、転送ルール変更の検知件数、疑わしい送金依頼から銀行連絡までの時間を見る方が、単なる訓練回数よりも改善の手応えを追いやすくなります。

BECで悪用されやすい外部接点や委託先導線の棚卸しなら ASM診断 PRO

ASM診断 PRO は、ビジネスメール詐欺を直接検知するメール防御製品ではありません。ただし、攻撃者が信頼感を作る材料には、公開された請求窓口、ベンダー向け導線、古い問い合わせ先、ブランドに近い公開面、放置されたサブドメイン、社外向け資料の断片が関わります。

ASM診断 PRO なら、そうした外部接点を外から見える範囲で棚卸しし、どの導線を統一し、どの問い合わせ先を止め、どの委託先導線を整理すべきかを見つけやすくなります。送金判断そのものではなく、BEC の説得材料になりやすい公開面を減らす補助線として使えます。

たとえば、古い請求窓口、使われていない購買フォーム、放置された問い合わせ URL、ブランドに近い公開面が残っていると、攻撃者は「確かにありそうな請求変更」を組み立てやすくなります。公開面の整理は、メール本文だけでは防げない説得力を削る施策です。

財務・購買・委託先管理の会議に、外から見える導線の棚卸しを結び付けると、どの外部接点が本物らしい詐欺を支えているかを判断しやすくなります。BEC をメール部門だけの課題にしないための入口として使えます。

請求窓口や問い合わせ先を整理しておくと、取引先や社員が別経路確認を行う時の基準点も明確になります。公開面の統一は、詐欺の説得材料を減らすだけでなく、正しい確認先を残す意味もあります。

よくある質問（FAQ）

ビジネスメール詐欺とスピアフィッシングは同じですか

完全に同じではありません。スピアフィッシングは標的型メール全般を指し、認証情報窃取や添付開封誘導も含みます。ビジネスメール詐欺は、その中でも送金先変更、請求書差し替え、不正送金の承認誘導を主役にした手口として切り分ける方が実務では分かりやすいです。

BEC はメールセキュリティ製品を入れれば防げますか

いいえ。メール防御は重要ですが、BEC の本体は送金や口座変更の業務判断です。別経路確認、二重承認、登録済み連絡先、メールボックス侵害対策、時間外フローの見直しまで含めて整えないと防ぎ切れません。

口座変更依頼は何で確認するのがよいですか

メール本文に書かれた番号ではなく、契約書、社内台帳、既存ポータル、以前から使っている代表番号など、攻撃者が差し替えにくい別経路で確認するのが基本です。確認先の鮮度も重要です。

不正送金に気付いたら最初に何をすべきですか

まず金融機関へ連絡し、組戻しや資金凍結の可能性をすぐ確認します。そのうえで、社内エスカレーション、メール・認証ログ保全、関係アカウントの確認、必要に応じた通報を進めます。時間が経つほど回収は難しくなります。

ASM診断 PRO は BEC を直接検知しますか

いいえ。ASM診断 PRO は BEC の検知製品ではありません。役割は、攻撃者が『本物らしい請求変更』を組み立てるのに使いやすい公開導線や外部接点を外から見える範囲で棚卸しし、整理の優先順位を付けることです。

まとめ

ビジネスメール詐欺は、正規の取引や承認に見えるやり取りを悪用し、送金先変更や不正送金を成立させる手口です。危険なのは、メールが自然に見えることそのものより、送金や請求変更を確認なしで通せる業務設計が残っていることです。

企業が優先すべきなのは、口座変更や請求変更を必ず別経路で確認すること、メールと認証の運用を一緒に強くすること、財務・購買・委託先の責任分界を明確にすること、そして外から見える公開導線を減らして『本物らしい話題』を作られにくくすることです。BEC を経理部門だけの注意喚起で終わらせず、送金判断を含む横断運用として整えてください。

とくに最近の BEC は、単発の怪しいメールというより、既存スレッド、認証済みメールボックス、自然な請求変更、時間外例外を組み合わせて成立します。だから、防御もメール・認証・送金統制を別々にせず、一つの送金詐欺チェーンとして設計する必要があります。

さらに、請求窓口や委託先導線のような外部公開面を整理すると、攻撃者が『本物らしい依頼』を組み立てる材料も減らせます。社内承認を強くするだけでなく、社外に見えている材料まで減らすところを含めて対策してください。

海外送金、休日対応、役員秘書経由の依頼のような例外フローほど、攻撃者にとっては好都合です。平時から例外時の別経路確認、銀行連絡、証跡保全まで決めておくと、BEC はかなり止めやすくなります。