コラム
ビジネスメール詐欺(BEC攻撃)完全ガイド
~BEC攻撃の手口・被害事例・対策を解説~
BEC攻撃の仕組みや種類、被害事例、そして組織が取るべき具体的な対策について解説します
※本ページは、Valimail公式サイトのBlog に掲載された記事を翻訳・編集し、日本向けに作成されています。
-https://www.valimail.com/blog/essential-guide-to-bec-attacks/
1.はじめに:巧妙化する「ビジネスメール詐欺」とは?
あなたのもとに、CEOから突然
「至急、送金してほしい」というメールが届いたとします。
送信元は本物のメールアドレスに見え、文面も自然で、社内でしか知り得ない情報まで書かれています。
一見すると正規の依頼のようですが──実はこれが「ビジネスメール詐欺(BEC攻撃)」の典型的な手口です。
このBEC攻撃は「CEO詐欺」「ホエーリング攻撃(捕鯨攻撃・ホエーリングフィッシング)」とも呼ばれ、近年サイバー犯罪者にとって最も有効な攻撃手法のひとつとなっています。
なぜなら、「効果がある」からです。実際、2024年の調査ではBEC攻撃の成功率は前年から33%も増加していました。
被害額も深刻です。2024年だけで全世界の企業が失った金額は 166億ドル(約2.4兆円)以上。
その件数は25万件を超え、ランサムウェアやデータ侵害など、他の主要サイバー脅威をすべて合算した額よりも高い損失となっています。
1件あたりの平均被害額は12.9万ドル(約19百万円)にのぼります。
なぜここまで被害が拡大しているのでしょうか。BEC攻撃の危険性は以下の点にあります:
- 典型的な「怪しいリンク付きメール」とは異なり、不審なURLやマルウェアが含まれないため、従来のセキュリティツールでは検知が難しい
- 攻撃者は数週間から数か月にわたってターゲット企業を調査し、組織の業務フローや言葉遣いを学習したうえで攻撃を仕掛ける
- 多忙な時期を狙い、細かい不自然さに気づかれにくい状況を作り出す
- 攻撃対象は大企業に限らず、送金や仕入れ取引を行うあらゆる規模の組織を狙う
攻撃者にとって、メールは依然として「最も簡単で強力な侵入口」です。もし防御策が不十分であれば、彼らは必ずそこを突いてきます。
言い換えれば、BEC攻撃は「いつか必ず起きるもの」と考えるべきです。
しかし同時に、適切な対策を取れば、被害を未然に防ぐことは可能です。
このコラムでは、BEC攻撃の仕組みや種類、実際の被害事例、そして組織が取るべき具体的な対策について分かりやすく解説していきます。
2. BECとは何か?フィッシングメールとの違い
BEC攻撃とは?
BECとは、Business Email Compromiseの略で、企業の経営者や取引先を装い、従業員をだまして金銭や機密情報をだまし取るサイバー攻撃です。
攻撃者はCEOや経理担当者、取引先企業の担当者など、信頼されやすい人物になりすましてメールを送信します。
狙いは「送金の指示」や「機密情報の引き渡し」を受け手に信じ込ませることです。
BEC攻撃は主に以下のような組織を標的にします:
- 金銭のやり取りが多い企業
- 政府機関や自治体
- 大量の個人情報を扱う組織(人事部門、教育機関など)
その巧妙さから、BEC攻撃は「ただの怪しいメール」ではなく、信頼関係を悪用する高度な詐欺といえます。
フィッシングメールとの違い
一見するとBEC攻撃はフィッシングメールの一種に思えますが、両者には明確な違いがあります。
<フィッシングメール>
- 「クレジットカードの情報を入力してください」といった内容で、不特定多数に一斉配信される
- 怪しいリンクや添付ファイルが含まれることが多く、セキュリティソフトに検知されやすい
- 網を広くかける「投網漁」のような攻撃
<BEC攻撃>
- 特定の企業や人物を狙った標的型攻撃
- 経営陣や取引先を装い、自然な文章・実在する案件に言及して信頼させる
- リンクやマルウェアはほとんど含まれないため、セキュリティでの検知が難しい
- 「魚を一本釣りする」ような攻撃
FBIも「BECは最も金銭的被害が大きいサイバー犯罪」と警告しています。
一般的なフィッシング詐欺では数十万円~数百万円の被害にとどまることが多いですが、BEC攻撃が成功すると数千万円から数億円規模の被害が生じるケースが少なくありません。
あなたの会社も狙われる?
「うちは中小企業だから狙われないから大丈夫」と思うのは危険です。
BEC攻撃者は、大企業だけでなく、以下のような特徴を持つ組織も積極的に狙います:
- 海外との送金や取引がある
- 取引先や顧客情報を管理している
- 経営陣や社員のメールアドレスが公開されている
つまり、多くの企業がBEC攻撃の射程圏内にあると考えるべきです。
3.攻撃者の手口と狙い
攻撃の基本戦術
BEC攻撃者は、ただメールを送るだけではなく、「いかに相手を信じ込ませるか」に多くの時間と労力を費やします。
典型的な手口は次の通りです。
- なりすまし(メールアドレスの偽装/スプーフィング)
送信者の表示名やメールアドレスを偽装し、CEOや取引先になりすます。正規のメールに見せかけるため、気付きにくい。 - アカウント乗っ取り(EAC: Email Account Compromise)
実際の社内アカウントや取引先アカウントを盗み取り、そのアカウントから詐欺メールを送る。送信元が本物なので、受信者の警戒心は大きく下がる。 - ソーシャルエンジニアリング(心理的な操作)
「緊急」「至急」「秘密にしてほしい」といった心理的プレッシャーを使い、相手が冷静に確認する前に行動を取らせる。 - ドメインの類似利用(Look-alike domain)
example.com を examp1e.com や example-co.com のように似た文字列に差し替えて登録し、正規のドメインと見分けにくくする。
攻撃の狙い
攻撃者の最終目的は「利益を得ること」です。
大きく分けて以下の2つがあります。
- 金銭の窃取
最も多いのが「送金詐欺」。
CEOや取引先になりすまし、経理担当者に「至急この口座へ振り込んでほしい」と依頼し、数千万円〜数億円をだまし取るケースです。 - 情報の窃取
金銭だけではなく、顧客データや社員の個人情報を狙うケースもあります。
これらの情報は、将来のサイバー攻撃に利用されたり、ダークウェブで売却されることがあります。
なぜBEC攻撃が選ばれるのか?
攻撃者がBEC攻撃を好む理由はシンプルです。
- マルウェアの開発やゼロデイ攻撃のような高度な技術は不要
- 電子メールという誰もが使う手段を悪用できる
- 送金や情報引き渡しに成功すれば、一度で巨額の利益が得られる
つまり、BEC攻撃は「少ない労力で大きなリターンが得られる詐欺」であり、サイバー犯罪者にとって非常に魅力的な攻撃手法なのです
4.BEC攻撃の主な5つの手法
BEC攻撃は、単純な「なりすましメール」ではなく、いくつかのパターンに分類されます。ここでは代表的な5つの手法を紹介します。
①CEO詐欺(CEO Fraud)
最も有名な手口です。攻撃者はCEOや役員になりすまし、部下や経理担当者に「至急、送金を依頼する」などの緊急メールを送ります。
特に次のような特徴があります。
- 突然で緊急性の高い依頼(送金、ギフトカード購入など)
- 他の人に確認できない状況をつくり、個人にプレッシャーをかける
例:
CEOを装った攻撃者が「取引先への支払いが漏れている。すぐにこの口座へ送金してほしい」と依頼。
受け取った担当者は確認できず、慌てて送金してしまう。
② アカウント乗っ取り(Account Compromise)
攻撃者が実際のメールアカウントを不正に入手し、そのアカウントを利用して詐欺メールを送る手口です。
送信元が本物の社内メールアドレスであるため、受信者は安心してしまい、被害につながりやすくなります。
例:
取引先のアカウントが乗っ取られ、そこから「支払い口座が変更になったので、次回以降はこちらへ振り込んでください」というメールが送られる。
③ 弁護士・法務担当のなりすまし(Attorney Impersonation)
「法的対応が必要」「至急対応しないと訴訟になる」といった内容を、弁護士や法務担当を装って送りつける手口です。
人は「法律問題」と聞くと冷静さを失いやすいため、心理的なプレッシャーを利用しています。
例:
「至急対応が必要な案件です。本日中に書類を提出してください」などと迫り、確認する暇を与えない。
④ 個人情報の窃取(Data Theft)
金銭ではなく、社員や顧客の個人情報を狙う手口です。特に人事部や経理部を標的にします。
社会保障番号、給与情報、税務情報などが狙われ、盗まれた情報は他の攻撃や闇市場で悪用されます。
例:
人事部に「社長からの依頼で、社員全員の税務情報を送ってほしい」と依頼。
偽の請求書詐欺(False Invoice)
実際の取引先やサプライヤーを装い、偽の請求書や口座情報の変更依頼を送る手口です。
特に海外取引を行う企業で多く見られます。
例:
「今後はこちらの新しい口座へ送金してください」と請求書を添付して送信。
マルウェアは含まれず、正規の取引に見えるため、確認を怠ると被害が発生します。
ポイント
これら5つのパターンはいずれも、「信頼できる人物を装い、緊急性を持たせて確認を取らせない」という点に共通しています。
そして、巧妙なBEC攻撃はマルウェアや怪しいリンクを使わないため、従来のセキュリティ製品では検知が難しいのです。
5.BEC攻撃のステップ(被害に至るまでの流れ)
BEC攻撃にはいくつかの種類がありますが、基本的な流れは共通しています。
攻撃者は一気に詐欺を仕掛けるのではなく、段階を踏んで「だましやすい状況」を作り出していきます。
① 情報収集(リサーチ)
まず攻撃者は、ターゲットとなる企業や人物について徹底的に調査します。
- 公式Webサイト、プレスリリース、SNSから公開情報を収集
- 社員の役職や業務内容、人間関係を把握
- 支払いのタイミングや取引先の情報も調べる
この「下調べ」に数週間から数か月をかけるケースもあります。
② 攻撃準備
十分な情報を得た後、攻撃者はシナリオを作ります。
- CEOになりすますのか、取引先を装うのかを決定
- ドメインを偽装したメールアドレスを用意
- あるいは実際にアカウントを乗っ取って利用する
- ターゲットに合わせたメール文面を作成
ここでのメールは一見すると自然で、実際の業務に即した内容に仕上げられます。
③ 社会的操作(ソーシャルエンジニアリング)
攻撃者は心理的なテクニックを駆使して、相手に行動を起こさせます。
- 「至急」「本日中に対応」といった緊急性の演出
- 「この件は内密に」といった秘密保持の依頼
- 上司や権威者を装ったプレッシャー
これにより、受信者は冷静に確認できず、指示に従いやすくなります。
④ 被害成立(送金・情報流出)
最後に、ターゲットが実際に行動してしまう段階です。
- 攻撃者の口座に送金される
- 顧客データや社員情報が送られる
- 機密情報が外部に流出する
この時点で初めて「だまされた」と気づくケースが多く、被害はすでに発生しています。
ポイント
BEC攻撃の恐ろしさは、システムの脆弱性ではなく「人の心理」を突いてくる点にあります。
どれだけセキュリティ製品を導入していても、社員がだまされてしまえば被害は発生してしまいます。
6.実際のBEC被害事例
「うちの会社は大丈夫だろう」と考えるのは危険です。
実際には世界中の企業・団体がBEC攻撃により巨額の被害を受けています。
ここでは、実際に公表された事例をいくつか紹介します。
Orion社:6,000万ドル(約90億円)の損失
2024年8月、化学素材メーカーの Orion S.A. の社員が、攻撃者の指示メールを本物と誤解して送金を実行。
複数回にわたって送金が行われ、被害総額は 6,000万ドル(約90億円) にのぼりました。
SEC(米国証券取引委員会)への報告によると、一部は回収できたものの、多額の損失が確定しています。
教育機関:340万ドル(約5億円)の流出
2024年、米国テネシー州の Johnson County Schools は、教科書会社を装ったBEC攻撃を受けました。
「銀行口座情報が変更になった」との依頼を信じて、教育資金から 336万ドル(約5億円) を送金。
最終的に取り戻せたのは 75万ドル未満 にとどまり、教育予算に大きな打撃を与えました。
労働組合:640万ドル(約9.6億円)の送金ミス
2023年1月、米国マサチューセッツ州の労働組合が、投資マネージャーになりすましたBEC攻撃を受けました。
「次回の送金先口座を変更してほしい」という依頼を信じ、640万ドル(約9.6億円) を送金。
当局の介入により530万ドルは差し押さえられましたが、残りはすでに暗号資産や海外口座を経由して流出していました。
自治体:建設費用の請求書を偽装され50万ドルを喪失
2024年6月、米国マサチューセッツ州 アーリントン市 が被害を受けました。
建設業者とのメールスレッドが乗っ取られ、請求書の口座情報が差し替えられました。
その結果、自治体は 約50万ドル(約7.5億円) を攻撃者の口座に送金してしまいました。
豪州政府機関:210万豪ドル(約2.1億円)の被害
同じく2024年、オーストラリアの政府部門が取引先ベンダーを装ったメールを受信。
担当者は通常の支払い手続きと思い込み、210万豪ドル(約2.1億円) を送金しました。
ポイント
これらの事例に共通するのは、次のポイントです。
- 正規の取引や日常業務を装っている
- 信頼できる送信元から来たように見える
- 緊急性を演出し、冷静な確認を妨げている
- 忙しい時期や確認が難しい場面を狙っている
つまり、BEC攻撃に成功するのに特別なマルウェアや高度なハッキング技術は必要ありません。
「巧妙なメール」と「人の不注意」だけで、巨額の被害が発生してしまうのです。
7.BEC攻撃から会社を守る6つの対策
BEC攻撃は巧妙で、従来のセキュリティ製品では検知が難しい攻撃です。
しかし、技術的な対策と従業員の意識向上を組み合わせることで、多くの攻撃を未然に防ぐことができます。
ここでは、企業が取り組むべき6つの具体的な対策を紹介します。
① メール認証技術の導入(SPF/DKIM/DMARC)
BEC対策の基本は、メールの正当性を確認する仕組みを導入することです。
- SPF:送信元サーバーが正しいかどうかを確認
- DKIM:メールが改ざんされていないかを検証
- DMARC:SPFとDKIMをもとに判定し、不正なメールを拒否・隔離
特にDMARCは「なりすましメールを受信側で拒否できる」仕組みとして有効であり、最もROI(投資対効果)が高い対策とされています。
② 社員教育とセキュリティ意識の向上
BEC攻撃は「人」を狙います。
そのため、従業員一人ひとりがBECの手口を理解し、冷静に対処できることが重要です。
- 「至急送金」「秘密にしてほしい」といった依頼は要注意
- 少しでも不審に感じたら、必ず上長や別の担当者に確認する
- 定期的なセキュリティ研修や模擬演習を実施する
③ 強力な認証(MFA/二要素認証)
メールアカウントの乗っ取りを防ぐためには、多要素認証(MFA)が効果的です。
パスワードだけでなく、ワンタイムコードや認証アプリを併用することで、不正ログインのリスクを大幅に下げられます。
④ 業務プロセスの見直し(特に送金関連)
BEC攻撃は「送金依頼」や「口座変更依頼」を装うケースが多いため、業務フローの中で二重チェックを組み込むことが有効です。
- 高額送金は必ず複数人の承認を必要とする
- 口座変更依頼は、必ず電話や別ルートで再確認する
⑤ メールセキュリティソリューションの活用
従来型のセキュリティ製品では検知できないケースがあるため、BEC攻撃や標的型攻撃に特化したメールセキュリティソリューションを導入することも重要です。
これにより、疑わしい送信元やドメインを自動的に検出できます。
⑥ インシデント対応体制の構築
万が一BEC攻撃が成功してしまった場合でも、迅速な初動対応が被害を最小限に抑えます。
- 社内での通報ルートを明確化
- 銀行・警察など外部機関への連絡手順を整備
- 定期的にインシデント対応訓練を実施
ポイント
BEC攻撃は「巧妙ななりすましメール」というシンプルな仕組みですが、その被害額は甚大です。
技術(メール認証+セキュリティ製品)と人(社員教育+業務ルール)の両面で備えることで、攻撃を防ぐ力が高まります。
8. Valimailが提供するBEC対策:DMARCエンフォースメントの重要性
DMARCで「偽装メールを届かせない」
BEC攻撃は、見た目が正規のメールにそっくりであるため、受信者の目視チェックや従来のセキュリティ製品では検知が難しいという特徴があります。
しかし、もしそのメールが受信箱に届く前にブロックできればどうでしょうか?
ここで鍵となるのが DMARCです。
DMARCは、SPFやDKIMによる認証結果をもとに、なりすましメールを「受信側で拒否する」仕組みを提供します。
つまり、攻撃者がどれだけ巧妙なメールを作っても、そもそも従業員の受信箱に届かない状態を実現できるのです。
エンフォースメント(強制適用)の重要性
ただし、DMARCを導入するだけでは不十分です。
多くの企業は「p=none(検知のみ)」の状態で止まっており、この場合は認証に失敗したメールもそのまま届いてしまいます。
BECを本当に防ぐには、DMARCポリシーを 「p=quarantine(隔離)」または「p=reject(拒否)」 に設定し、エンフォースメントする必要があります。
Valimailが選ばれる理由
しかし、DMARCを正しく設定・維持するのは容易ではありません。
送信元のメールサーバーやクラウドサービスが複数存在する企業では、設定の管理が複雑化しやすいからです。
Valimailは、この課題を解決するために次の特徴を備えています。
- 自動化されたDMARC導入・運用
複雑な設定作業をシンプルにし、短期間でエンフォースメントまで到達可能。 - 可視化レポート
どの送信元が認証に成功・失敗しているかをグラフや一覧で表示。問題箇所をすぐに把握できる。 - グローバルでの豊富な実績
世界中の大手企業で導入されています。