メール一本で送金が動く今、BEC攻撃(ビジネスメール詐欺)はマルウェアなしで“いつもの業務”を狙います。
昨日の請求、上司の至急指示、取引先の口座変更――どれも現場のリアルです。
本記事では高額被害例と見抜き方、初動60分の動き方、MFAやSPF/DKIM/DMARC、二経路確認まで、今日から使える対策をわかりやすく解説します。
この記事は以下のような人におすすめ!
- BEC攻撃(ビジネスメール詐欺)とは何か知りたい人
- 具体的な攻撃手法を知った上で、対策を取りたい人
- どのような被害の事例があるのか知りたい
スポンサーリンク
目次
はじめに:BEC攻撃とは何か
メールはビジネスの“血流”です。だからこそ、巧妙なだましで送金先をすり替えたり、偽の請求書を信じ込ませたりする「BEC攻撃(ビジネスメール詐欺)」が世界中で被害を拡大させています。
本稿では、まずBEC攻撃の定義と特徴を整理し、続いて「なぜここまで広がっているのか」を最新データとトレンドで読み解きます。
なお、本文ではSEOキーワードとして「BEC攻撃」を要所に配しています。
1-1. BEC(ビジネスメール詐欺)の定義と特徴
1-1-1. BEC攻撃の定義(やさしく一言で)
BEC攻撃とは、取引先や経営者になりすまして「急ぎの振込」「口座変更」「ギフトカード手配」などをメールやチャットで指示し、金銭や機密情報を詐取する手口です。
多くはメールアカウントの乗っ取り(EAC)やドメイン偽装、電話・オンライン会議の併用で“本物らしさ”を作り出します。
FBIの定義でも、サプライヤー取引や送金業務に携わる個人・企業を狙い、ソーシャルエンジニアリングや侵害アカウントを用いて実行される詐欺とされています。
1-1-2. 典型的な手口(実務で遭遇しやすい順)
- 経営者・役員なりすまし(いわゆるCEO詐欺):秘書や経理担当に「今すぐ送金して」と依頼。
- 請求書・口座情報の差し替え:取引先スレッドへ割り込み、「今後はこの口座へ」と偽の案内。
- 取引先アカウント乗っ取り(VEC):本物の相手メールから偽請求が届くため見抜きにくい。
- ギフトカード/経費立替の依頼:小口を積み上げ、短時間で多数をだまし取る。
- 不正な会議招待・電話の追撃:メールだけで疑われたら、電話やビデオ会議で“声・顔”まで偽装し信頼を補強。
1-1-3. なぜ見抜きにくいのか(従来対策が効きにくい理由)
- 文面が短く自然で、添付ファイルや露骨なマルウェアを伴わないため、従来の“添付検査”中心のゲートでは検知されにくい。
- URLリンク中心の誘導やQRコードの利用、SMS/チャット併用など、検査の“すき間”を突く設計が増加。Proofpointの最新レポートでも、2025年上半期だけで数十億件のURL型攻撃や数百万件規模のQRフィッシングが観測されています。
- 生成AIにより日本語の不自然さが減り、個別事情(役職・決裁フロー)を織り込んだ“本物らしい”文面を大量生成できる。
1-1-4. 用語の整理(BEC/EAC/VEC)
- BEC攻撃:メール等で金銭詐取を狙う総称。
- EAC(Email Account Compromise):メールアカウント自体が侵害される状態。BECの下位概念として扱われることもある。
- VEC(Vendor Email Compromise):取引先(ベンダー)アカウントが乗っ取られ、請求・支払連絡に割り込まれる手口。被害企業側には“本物の差出人”に見えるのが難点。
1-2. なぜここまで広がっているのか?被害規模とトレンド
1-2-1. 被害規模:最新データの要点
まず押さえたいのは、BEC攻撃が“最も金銭被害が大きい”カテゴリの一つだという事実です。
FBI IC3の2024年年次報告によると、
- BEC攻撃の被害額は約27.7億ドル(約2,770億円)。
- BECの通報件数は21,442件。
- インターネット犯罪全体の損失は166億ドル(前年比33%増)。
また、APWG統計では2024年第1四半期のBEC攻撃で要求された平均送金額が84,059ドルに達しており、1件あたりが高額化する傾向も見られます。
主要指標(抜粋)
| 指標 | 最新値・期間 | ポイント |
|---|---|---|
| BEC攻撃の被害額 | 27.7億ドル(2024年) | 犯罪類型別で最大級の損失。 |
| BEC通報件数 | 21,442件(2024年) | 件数は横ばいでも被害額は高止まり。 |
| 全ネット犯罪の損失 | 166億ドル(2024年) | 2023年比33%増で過去最大。 |
| 平均要求送金額 | 84,059ドル(2024年Q1) | 前期比で約5割増。 |
一方、日本でもIPAが具体的な事例集を公開しており、国内でも同様の被害が報告されています。
1-2-2. トレンド1:メール“以外”も巻き込む多チャネル化
最近のBEC攻撃は、
- URL中心の誘導(リンク短縮・リダイレクト・カレンダー招待)
- QRコード経由(“社内Wi-Fi更新”などの名目)
- SMS/チャット(TeamsやWhatsAppでの追撃)
といった形で多チャネル化しています。つまり、従来のメール検査だけでは取りこぼしやすい構造にシフトしているのです。
1-2-3. トレンド2:生成AI・ディープフェイクによる“信ぴょう性”の強化
2024年には香港で、幹部の“顔と声”を偽装したオンライン会議により約2,500万ドルが送金された高額BEC事件が報告されました。
音声や映像まで似せられる時代となり、メールだけを疑っても防ぎ切れない現実が浮き彫りになっています。
1-2-4. トレンド3:サプライチェーン(VEC)の比重増
直接の取引相手のメールアカウントが侵害されるVECは、「本物の差出人」からの依頼として届くため検出が難しく、世界的に増加傾向にあります。
だからこそ、送金先変更や高額振込の“二経路確認”は、自社・相手先の双方で標準化すべき運用です。
1-2-5. なぜ広がるのか:攻撃者にとって“割が良い”から
- 低コスト・高回収:マルウェア開発よりも、既存の漏えい認証情報やフィッシングでのID収集の方が安上がり。
- 人と業務プロセスの“盲点”狙い:決裁の“急ぎ”や“上司の指示”に弱い心理を突き、社内の二重承認や休暇中の代理決済など、業務の隙を利用してくる。
- 検知回避に強い:リンク・QR・音声/映像なりすましでセキュリティの境界を跨ぎ、従来の検知をすり抜けやすい。
BEC攻撃の進化した手口と仕組み
「メールでだまされるなんて古い」と思われがちですが、現実は逆です。
BEC攻撃はマルウェアを使わず、“人と業務プロセス”の隙を突くため、年々巧妙化しています。
ここでは、なりすまし、アカウント乗っ取り、そして“マルウェアが無いからこそ”検知しづらい特徴を、実務に直結する観点で整理します。
2‑1. なりすましメールの巧妙な手法(ドメインスプーフィング/類似ドメイン)
2‑1‑1. ドメインスプーフィングの基本
攻撃者は送信元を偽装し、あたかも本物のドメインから来たように見せます。
具体的には、送信プロトコルやメールヘッダーの仕様を突き、「From」表示名やドメインの“見た目”を本物に寄せます。
つまり、受信者の画面では“正しく”見えていても、実際の送信元は別物というわけです。
したがって、SPF・DKIM・DMARCが未整備または運用が甘い組織は、なりすましを受け入れやすくなります。
2‑1‑2. 類似ドメインの作り方と見破り方
攻撃者は本物そっくりのドメインを取得し、役員や取引先になりすまします。代表的なのは次のとおりです。
- 置換型(typosquatting):
example.com→examp1e.com(数字の1をLに見せかける) - 追加・削除型:
example.com→example-co.comやexmple.com - 国際化ドメイン(IDN)での見た目の置換:文字の“似た形”を悪用
- サブドメインでの錯覚誘導:
billing.example.com.attacker.comのように左側に本物を置いて信頼させる
見破り方の要点は、表示名ではなく実際の送信ドメインとReply‑To、さらにメッセージヘッダーのドメイン整合(なりすまし防止設定が正しく機能しているか)を確認することです。
従って、経理や購買など送金に関わる部門では、メールクライアントの“差出人の完全表示”を標準にしましょう。
2‑1‑3. 手口と対策の対応表
| 手口 | よくある見え方 | ねらい | 速攻の対策観点 |
|---|---|---|---|
| ドメインスプーフィング | 役員名+正規表示名 | 権威付けで即時送金を迫る | DMARCの強制、なりすまし警告表示 |
| 類似ドメイン | 1文字違い・IDN | 取引先装いで口座変更を通知 | 重要連絡の二経路確認(電話・チャット) |
| Display Name詐称 | 差出人名だけ本物 | モバイル画面での誤認 | モバイルでもドメイン常時表示 |
2‑2. アカウント乗っ取りとメール内容の細工(SMTP偽装/EAC)
2‑2‑1. 侵入経路の定番
BEC攻撃の“強力版”がEAC(Email Account Compromise:メールアカウント乗っ取り)です。
攻撃者は次のような経路でログイン権限を得ます。
- フィッシングで認証情報を入力させる
- 既漏えいパスワードの使い回し(クレデンシャルスタッフィング)
- MFA疲労を誘う連続プッシュ通知
- 古いIMAP/POPや“アプリパスワード”の悪用
- 不審なOAuth同意(外部アプリにメール読み取り権限を付与)
だから、技術対策だけでなく運用で古いプロトコルを止める、MFAをフィッシング耐性の高い方式に切り替えるなど、入り口を絞ることが重要です。
2‑2‑2. 乗っ取り後の“細工”定石
アカウントを奪った攻撃者は、長く気づかれないよう周到に準備します。
- ルール細工:特定のキーワード(請求、口座、送金)を自動でアーカイブやゴミ箱へ。受信者に見せないためです。
- メール転送:外部アドレスへサイレント転送し、社内の会話や請求タイミングを観察。
- スレッド乗っ取り:既存のやり取りに割り込み、本物の文脈と署名で偽の振込指示を送信。
- 請求書の再発行:PDFの口座情報だけ差し替え、他は本物そっくりに維持。
- カレンダー招待・チャット併用:メールで疑われた際に、会議招待やメッセージで“正当性”を補強。
したがって、新規の自動転送や受信ルール作成を検知・承認制にする、役員アカウントの行動異常を常時監視といった運用が効きます。
2‑2‑3. SMTP偽装の実際
SMTP偽装とは、攻撃者が自前の送信サーバから“見た目は正規”の差出人を名乗って送る方法です。
SPF/DKIM/DMARCが未整備、もしくは運用が“ゆるい”と受信側で通過しやすくなります。
つまり、技術設定を固めるだけでなく、第三者サービス経由の正規送信(請求システムやマーケツール)も含めて整合をとることが重要です。
従って、送信元の棚卸しとポリシー適用範囲の見直しは定期タスクにしましょう.
2‑3. マルウェアがないゆえに検知困難なメールの特徴
2‑3‑1. 止まりにくい理由(技術的観点)
BEC攻撃は“何も持ってこない”のが特徴です。
なぜなら、検知対象となりやすい添付ファイルや悪性リンクを避け、短いテキストと既存の会話スレッドで用件を完結させるからです。
さらに、EACで本物の社内アカウントから送られる場合、DMARCなどの技術検証も“合格”してしまいます。
その結果、従来型のスパム・マルウェア対策だけでは取りこぼしが発生します。
2‑3‑2. 文面に現れるサイン(人が気づけるポイント)
次の“違和感”は、マルウェアが無くても気づけるヒントです。
- 急ぎ/内密の強調:「今日中に、誰にも共有せず」
- 金額や口座の変更:長年変わらなかった振込先を“今回だけ”変更
- 連絡経路の切り替え:メールからSMSや外部チャットへ誘導
- 言い回しのズレ:普段の上司が使わない敬語・略語・署名
- 営業時間外の指示:深夜・早朝に短文で即応を要求
- Reply‑Toの差異:差出人と返信先が微妙に異なる
つまり、形式的な“安全マーク”よりも、業務の常識から外れていないかを重視して読むことが、最速の防御になります。
2‑3‑3. ツールで拾えるシグナル(運用・検知の観点)
人の注意だけに頼らず、ツールで次の変化を見張ると効果的です。
- 受信ルールの新規作成・変更、外部転送の開始
- ベンダーの銀行口座変更に関する初回連絡の自動フラグ
- 役員→経理の“初回直接連絡”や、通常と異なる時間帯・送信元IP
- スレッド内の請求書差し替え(添付の指紋・ハッシュの変化)
- 初見ドメイン・類似ドメインからの、高額・即時の依頼
実際の被害事例とリスク評価
BEC攻撃は「一度の判断ミス」が億単位の損失に直結します。
ここでは、海外の具体例、各国の最新統計、そして金銭以外の重大リスクを、実務視点で整理します。
つまり、単なる“注意喚起”ではなく、経営判断と内部統制に活かせる情報に落とし込みます。
3‑1. 海外の大手企業での被害例(例:4,000万ドル)
3‑1‑1. 4,000万ドル級の大型インシデント
- Ubiquiti Networks(米・ネットワーク機器)
取締役になりすましたメールにより送金が実行され、4,670万ドルが海外口座に振り込まれた事案。公式開示文書(8‑K)に詳細が残っています。 - Leoni AG(独・ワイヤーハーネス)
幹部メールを装う指示で4,000万ユーロ(約4,400万ドル)を送金。意思決定ルートや社内規程を精査した“本物らしい”指示が使われました。 - トヨタ紡織(欧州子会社)
取引先装いの支払い指示で約3,700万ドルを送金。公表資料と各種報道で事実関係が確認されています。
3‑1‑2. AI偽装が絡む最新型
- ARUP(英・エンジニアリング)
幹部のディープフェイク映像会議で複数回の送金が実行され、2,500万ドル規模の損失が報告されました(2024年・香港)。従って、メール以外のチャネルも“確認ルート”としてはもう安全ではありません。
3‑1‑3. 事例から学ぶ「手口と盲点」対応表
| 盲点 | 具体例 | 何が効くか |
|---|---|---|
| 権限のなりすまし | 役員名義の即時送金指示 | 二経路確認(電話・既知チャット)、金額しきい値で承認者を追加 |
| スレッド乗っ取り | 既存スレッドで口座差替え | 受信ルール・転送の新規作成検知、請求書ハッシュ照合 |
| 会議で正当化 | ビデオ会議や電話で追撃 | 会議IDと主催者を社内ディレクトリで再認証 |
3‑2. 日本や他国の被害状況(最新の統計や加害総額)
3‑2‑1. 世界全体・米国の最新統計(2024年)
- 米FBI IC3(2024年)
BEC攻撃の通報件数 21,442件、損失額 27.7億ドル。全ネット犯罪の損失は166億ドルで、前年比33%増。つまり、件数は横ばいでも1件あたりの被害高額化が続いています。 - APWG四半期報告(2024年Q1–Q2)
送金型BECで平均要求額が8.4万〜8.95万ドルに上昇。すなわち、少数精鋭の“大口狙い”が鮮明です。
主要指標(抜粋)
| 指標 | 最新値・期間 | ひと言メモ |
|---|---|---|
| BEC損失額(米) | 27.7億ドル(2024年) | 類型別で最大級の金銭被害。 |
| BEC通報件数(米) | 21,442件(2024年) | 件数は横ばい、額は高止まり。 |
| 平均要求額(グローバル) | 84,059〜89,520ドル(24年Q1–Q2) | 少数・高額化のトレンド。 |
3‑2‑2. アジア・日本の状況
- シンガポール:国際連携で4,100万ドル超のBEC資金を回収した事例が公表。回収の裏返しは、それだけ大型被害が発生しているという事実です。
- 日本:BEC攻撃は「情報セキュリティ10大脅威(組織向け)」に継続選出。公的統計の網羅は限定的ながら、IPA・JPCERT/CCの事例集や注意喚起から国内でも同様の傾向が確認できます。
3‑3. 経済的損失以外のリスク(信用毀損・法的影響など)
3‑3‑1. 信用・ブランドの毀損
- 株価・評判への影響:Leoniの事案では発覚直後に株価が数%下落したと報じられています。つまり、送金損失だけでなく資本市場での評価低下も避けられません。
- 取引先との関係悪化:口座差替えで相手先に損害が及ぶと、弁済や取引条件の見直しに発展することがあります。
3‑3‑2. 法的・規制面のリスク
- 内部統制(J‑SOX/SOX):送金承認や権限管理の不備は、重要な不備として監査指摘の対象に。反復発生なら開示や是正報告の検討が必要です。
- 個人情報保護/GDPR等:EAC(メールアカウント乗っ取り)で個人データが閲覧・流出すれば、報告義務や制裁金のリスク。
- AML/CFT:不正送金は犯罪収益移転の経路に組み込まれるため、調査協力や口座凍結対応などコンプライアンス負荷が一気に増します(各国当局もBECをサイバー起因詐欺の主要類型として警鐘)。
3‑3‑3. オペレーショナル・リスク(見えにくい二次被害)
- 資金回収の長期化:国際送金・多段口座を経由すると回収まで数週間〜数か月。その間の資金繰り逼迫は実害です。
- 法務・広報コスト:被害告知、取引先説明、規制当局対応で人件費・外部費用がかさみます。
- 業務停滞:調査のためのメール封鎖・アカウント再発行で、営業・調達・会計処理に遅延が生じます。
BEC攻撃の予防と見破るための対策ポイント
BEC攻撃は、技術だけでなく人と業務フローを狙います。
したがって、対策も「メールの見極め」「技術的な防御」「社内ガバナンス」の三点セットで設計することが重要です。
ここでは、明日から現場で使える具体策に落とし込みます。
4‑1. メールの真正性を確認する基本ルール(送信元確認/内容検証)
4‑1‑1. 三段階チェックで“まず止める”
- 差出人の正体を見る
表示名ではなく送信ドメインと返信先(Reply‑To)を確認。社内ならアドレス帳から選ぶ運用に統一します。 - 文脈の一貫性を確認
いつもの言い回し、署名、依頼手順、金額感が合っているか。過去スレッドとの整合も見ます。 - 依頼内容の妥当性を検証
口座変更や高額・至急・内密の組み合わせは要注意。別経路でコールバック確認へ進みます。
4‑1‑2. 文面に出る“違和感”の見つけ方
- いつもは使わない敬語・略語、または不自然に直訳調な日本語
- 返信先だけ異なる、または外部チャットに誘導
- 営業時間外の短文指示、金額や口座の“今回限定”の変更
- 添付の差し替え(請求書の口座欄だけ更新、ファイル名やハッシュが微妙に違う など)
4‑1‑3. コールバック検証の標準手順
- 依頼メールの連絡先は使わず、既知の電話番号・社内名簿から連絡。
- 件名・金額・口座名義を口頭で復唱し、担当者本人が認知しているか確認。
- 変更が妥当なら、承認ワークフローにのせ直してから処理。
- 不審ならセキュリティ窓口へ転送し、アカウント侵害や類似ドメインの可能性を調査。
4‑1‑4. 返信テンプレートで“時間を稼ぐ”
- 「社内規程により、口座変更は別経路での確認が必要です。担当者から折り返します。」
- 「承認フロー登録のため、正式な発注番号と担当者名を提示してください。」
4‑2. 多要素認証やSPF/DKIM/DMARCなど技術的対策
4‑2‑1. アカウント防御の優先順位
- 多要素認証は“フィッシング耐性”の高い方式に:FIDO2、認証アプリの番号一致など。
- 古いプロトコルを停止:IMAP/POP、アプリパスワードの利用を原則禁止。
- OAuth承認の健全化:外部アプリへのメール読み取り権限は最小化し、定期棚卸し。
- 転送・受信ルールの監視:新規作成や外部転送をアラート。役員アカウントは強化監視。
4‑2‑2. メール認証技術の実装ポイント(SPF/DKIM/DMARC)
| 項目 | 最低ライン | 改善の勘所 |
|---|---|---|
| SPF | 公式送信元を登録 | includeの過多を整理、レコード長の最適化 |
| DKIM | 2048bit鍵で署名 | ベンダーごとに選別し、鍵を定期ローテーション |
| DMARC | p=quarantine 以上 | 本番は p=reject、アラインメントを strict、rua/rufで可視化 |
| 外部送信 | 請求・マーケのSaaSも対象 | 送信元の棚卸しを四半期ごとに実施 |
4‑2‑3. ゲートウェイと検知の使い分け
- 外部送信者バナーや類似ドメイン警告でユーザーに注意喚起。
- スレッド改ざん検出やベンダーの口座変更フラグなど、BEC特化の検知ロジックを活用。
- URLや添付のサンドボックスは補助的効果。BEC攻撃はマルウェア非依存のため、振る舞い・文脈の異常を重視。
4‑2‑4. ログ監査のKPI(見えていれば止められる)
- 新規の自動転送・受信ルール作成数
- 異常サインイン(地理的にあり得ない移動、短時間の多数試行)
- 役員から経理への初回直接連絡の検知件数
- 取引先ドメインの初見・類似からの高額依頼件数
- ベンダーの銀行口座変更関連チケットの二経路確認率
4‑3. 社内ガバナンスとフローの見直し(多段承認/振込確認)
4‑3‑1. 多段承認は“金額×リスク”で設計
- 金額しきい値ごとに承認者を追加し、例外運用はログと事後レビューを必須化。
- 役員名義の至急指示でも、しきい値を超える場合は必ず二段階以上の承認へ。
4‑3‑2. 口座変更プロセスを固定化
- 口座変更は事前登録制とし、依頼メールだけでは受け付けない。
- 別経路のコールバックで、口座名義・支店名・担当者を確認。
- 変更完了は改めて通知し、そのメールをもって初回送金を実施。
4‑3‑3. 緊急対応・時差を悪用させない
- 営業時間外の高額依頼は翌営業日の承認が原則。どうしても必要なら、臨時の三者確認(依頼者・承認者・経理責任者)を必須化。
- 海外拠点とのやり取りはタイムゾーン表と在席者リストを共有し、なりすましの“空白時間”を作らない。
4‑3‑4. 教育と演習は“BEC特化”で
- フィッシング演習に口座変更・ギフトカード・外部チャット誘導のシナリオを追加。
- 経理・購買・営業向けに、短文・内密・至急の組み合わせを“赤信号”として定着させる。
4‑3‑5. インシデント対応と資金回収の初動
- 送金直後は支払停止・組戻しを即時依頼。時間との勝負です。
- 関係口座の凍結要請と、証跡(メール原文・ヘッダー・ログ)を保全。
- 同時にアカウントのパスワードリセット/MFA再登録/転送ルールの無効化を実施。
- 取引先には事実と暫定対策を迅速に共有し、追加被害の連鎖を防止。
社内教育と組織体制の強化
BEC攻撃は“メールの読み方”だけでなく、“送金や承認の進め方”までを狙います。
したがって、教育と体制は経営・財務・現場が一枚岩で取り組む必要があります。
ここでは、明日から動かせる研修設計と監査・訓練の型を提示します。
5‑1. 経営層から従業員まで意識向上する研修プログラム
5‑1‑1. 役割別カリキュラム(誰に何を教えるかを明確化)
| 対象 | ねらい | 必須テーマ | 期待行動 |
|---|---|---|---|
| 経営層・役員 | 経営リスクとしてのBEC攻撃を理解 | 損失インパクト、開示・法的影響、二経路確認の指示徹底 | 例外承認の抑制、訓練参加、メッセージ発信 |
| 管理職(部門長) | 現場の“ブレーキ役” | 高額/至急/内密の三点セット、承認しきい値、夜間対応方針 | 部門フロー明文化、緊急時の三者確認 |
| 経理・購買 | 最優先の防御ライン | 口座変更の検証手順、請求書改ざんの見分け方、通話での本人確認 | コールバックでの復唱、承認ワークフロー徹底 |
| 営業・調達 | 取引先との実務接点 | 類似ドメイン・スレッド乗っ取りの兆候、契約・発注番号の再確認 | 初見ドメインの保留、別経路確認の実施 |
| IT/SOC | 技術と運用の橋渡し | 転送・受信ルール監視、SSO/MFA強化、DMARC運用 | 異常検知の通知、改善サイクルの主導 |
5‑1‑2. 90日定着ロードマップ(導入→運用→高度化)
- 0〜30日:導入
全社向けキックオフ、役割別ミニ動画、テンプレ返信の配布(口座変更は別経路で確認します 等)。 - 31〜60日:運用
疑似BECメールの小テスト、経理・購買でコールバック訓練、転送ルールの監査開始。 - 61〜90日:高度化
取引先を巻き込んだ二経路確認の相互合意、役員アカウントの強化監視、夜間・時差シナリオの演習。
5‑1‑3. 研修コンテンツの作り方(“実務の言葉”で伝える)
- 現場のメールを題材に:実際の過去スレッドを匿名化し、“言い回しのズレ”を比較。
- シナリオ重視:請求書差し替え、海外子会社からの至急依頼、会議招待での追撃など。
- マルチチャネル:メールに加え、チャット・カレンダー・電話の“合わせ技”を再現。
- テンプレ運用:保留・照会・拒否の定型文を部門共通で配布し、迷い時間を減らす。
5‑1‑4. 学習効果を測るKPI(数字で前進を可視化)
- 口座変更依頼の二経路確認率
- 疑似メール訓練の報告率・誤クリック率
- 高額依頼に対する平均コールバック時間
- 外部転送・新規受信ルールの検知から是正までの時間
- BEC攻撃に関するインシデント初動のSLA遵守率
5‑2. 定期的な監査と訓練(疑似メール訓練など)
5‑2‑1. 四半期監査チェックリスト(技術・運用・人の三位一体)
| 観点 | 主要チェック | 合格の目安 |
|---|---|---|
| 技術 | SPF/DKIM/DMARCの適用範囲、2048bit鍵、外部SaaS送信の整合 | すべての送信経路で整合、DMARCはp=reject |
| アカウント | MFAの方式、古いプロトコル停止、OAuth承認の棚卸し | フィッシング耐性MFA、IMAP/POP無効、不要権限撤廃 |
| 運用 | 口座変更の受付基準、コールバック記録、承認ログ | 二経路確認の記録100%、承認の完全ログ化 |
| 人 | 役割別受講率、訓練参加率、KPIの改善 | 受講率95%以上、誤クリック率の継続低下 |
5‑2‑2. 疑似メール(BECシミュレーション)の設計と実行
- ゴール設定:報告率向上か、コールバックの徹底かを明確化。
- シナリオ作成:類似ドメイン、スレッド乗っ取り、ギフトカード依頼、会議招待の追撃など複数パターン。
- 実施:突然の高額依頼は金曜夕方・月初・月末など実務の繁忙タイミングで実施。
- フィードバック:個人を責めず、なぜ信じたかを分析し、テンプレ返信と手順を再配布。
- 改善:次回はチャネルを変える(メール→チャット→電話)ことで“合わせ技耐性”を育てる。
5‑2‑3. レッドチーム/ブルーチーム演習(小さく始めて回す)
- レッド:取引先装いの口座変更依頼、会議招待で正当化、夜間の至急指示。
- ブルー:ヘッダー確認、二経路確認、承認しきい値の再適用、転送ルール検査。
- 採点基準:検知時間、コールバックの実施有無、承認逸脱の有無、記録の完全性。
5‑2‑4. インシデント・ドリル(資金回収までを含める)
- 初動:送金停止・組戻しの即時依頼、関係口座の凍結要請。
- 技術:パスワードリセット、MFA再登録、転送ルール無効化、異常ログの保全。
- 連絡:取引先・金融機関・社内経営層へのエスカレーション手順を台本化。
- 事後:原因分析と再発防止(承認しきい値や教育の改訂)を期限付きで実施。
5‑2‑5. 組織体制(RACIで“誰が決めるか”を明確に)
- 責任(R):情報セキュリティ部門/SOCが検知と初動。
- 最終決定(A):CFOまたは財務責任者が送金停止・回収判断。
- 協力(C):法務・広報・人事・IT・各事業部。
- 情報提供(I):監査部門・IR・取引先担当。
加えて、時差や不在を想定し、代理承認ラインと緊急連絡網を文書化しておきます。
被害発生時の対応と最新対策の紹介
BEC攻撃は「時間との勝負」です。
つまり、最初の数時間で資金を止め、証拠を残し、関係者を正しく動かせるかが分岐点になります。
ここでは、初動から法的手続き、さらに最新の技術トレンドと導入優先順位までを、現場でそのまま使える形に落とし込みます。
6‑1. インシデント発生時の初期対応と法的手続き
6‑1‑1. 最初の60分:資金保全のための即時行動
- 送金停止・組戻し依頼:取引金融機関へ至急連絡し、送金停止・組戻し・相手方口座の凍結要請を実施。送金明細(日時・金額・口座名義・支店)を手元に準備します。
- 経路の遮断:影響アカウントのパスワードリセット、MFA再登録、外部転送と受信ルールの無効化、OAuth連携の取り消し。
- 証拠保全:メール原文(完全ヘッダー付き)、サーバ・クラウドの監査ログ、チャットや会議招待の記録を保存。上書き防止のため、コピーを隔離保管します。
- 社内エスカレーション:CFO、情報セキュリティ、法務、広報、経理責任者に即時報告。意思決定ラインを一本化します。
6‑1‑2. 24時間以内:通知・調査体制の立て直し
- インシデント司令塔の設置:CFOまたはセキュリティ責任者をトップに、財務・IT・法務・広報のワーキングを編成。
- 影響範囲の特定:送金関連のみか、EAC(メールアカウント乗っ取り)に伴う情報閲覧・流出があるかを棚卸し。
- 関係者への連絡:取引先へ事実と暫定対策を共有し、二次被害(追加請求や口座変更の再依頼)を抑止。
- 対外連携の検討:警察・関係機関への相談、サイバー保険の事故報告、必要に応じた第三者調査の発注。
6‑1‑3. 72時間以内:法的手続きと開示の要否判断
- 法的評価:個人データや機密情報へのアクセスが疑われる場合、各法域の報告・通知要件(例:GDPRの72時間、国内の個人情報保護関連の指針等)に照らして対応を検討。
- 被害届・刑事告訴の準備:送金記録・通信記録・内部ログを整理し、証拠の連続性(チェーン・オブ・カストディ)を確保。
- 対外説明文案の整備:取引先向け通知、FAQ、メディア対応方針を法務・広報と合意します。根拠のない推測は避け、事実・範囲・再発防止策を明確に。
6‑1‑4. 1〜2週間:恒久対策と再発防止
- 根本原因の特定:アカウント侵害なのか、手続きの盲点なのかを切り分け、技術・運用・教育の三方向で再発防止計画を策定。
- 財務統制の改訂:金額しきい値、二経路確認、休日・時差運用、代理承認の見直し。
- ベンダー連携:取引先の口座変更プロセスと“相互コールバック”の合意を文書化。
6‑1‑5. 証拠保全チェックリスト(抜粋)
- メール原文(.eml/.msg)と完全ヘッダー、メール・ゲートウェイの判定ログ
- クラウドメールの監査ログ(サインイン、ルール変更、外部転送、OAuth承認)
- 銀行への依頼書・回答、送金明細、社内承認のフロー記録
- チャット・会議招待・通話記録、端末・ブラウザのイベントログ
6‑2. 最新の技術トレンドと導入すべきセキュリティツール
6‑2‑1. 2025年時点の潮流(BEC攻撃に直結するもの)
- フィッシング耐性の高いMFA:FIDO2やパスキーなど、ワンタイムコードの“だまし取り”に強い方式が主流。
- メール認証の“強制モード”運用:SPF/DKIM/DMARCの整合を全送信経路で達成し、DMARCは最終的に p=reject へ。BIMIで受信者の視認性も向上。
- API連携型クラウドメール防御:Microsoft 365/Google WorkspaceにAPIで接続し、内部メールや受信ルール改ざん、スレッド乗っ取りを可視化・隔離。
- サプライヤー検証の自動化:請求先・口座変更に対し、ワークフローでコールバックと書類照合を強制。名義照合や不正口座データベースとの突合を自動化。
- SaaSセキュリティ姿勢管理(SSPM):OAuth権限、外部転送、古いプロトコルの利用を継続監視して逸脱を是正。
- 行動分析(UEBA):役員や経理アカウントの“いつもと違う”送信・ログイン・時間帯を学習して検知。
- 決裁システム連携:ERP/会計と連動し、金額しきい値で承認者を自動追加、口座変更は別経路確認完了まで支払不可に。
6‑2‑2. ツール選定の観点(要件を言語化して比べる)
- カバレッジ:メール・チャット・カレンダー・ストレージまで横断監視できるか。
- 導入形態:ゲートウェイ型かAPI連携型か。誤検知時の影響と復旧の速さを比較。
- 運用のしやすさ:受信ルール・外部転送・OAuthの変更検知、アラートの重複排除、チケット化の自動化。
- 財務フロー連携:口座変更時にワークフローを強制し、二経路確認・証跡保全を自動化できるか。
- 可視化とKPI:DMARC整合率、MFA適用率、誤クリック率、二経路確認率などがダッシュボードで追えるか。
6‑2‑3. 導入優先順位マップ(即効/中期/戦略)
| フェーズ | 期間の目安 | 重点施策 | 期待効果 |
|---|---|---|---|
| 即効 | 0〜30日 | フィッシング耐性MFA、外部転送・受信ルール監視、DMARC p=quarantine、口座変更のコールバック標準化 | アカウント侵害と即時送金の“最短経路”を遮断 |
| 中期 | 31〜90日 | API型クラウドメール防御、SSPM、ERP連携の二経路確認ワークフロー、ベンダー名義照合の自動化 | スレッド乗っ取りとVECに強い体制へ |
| 戦略 | 90日以降 | DMARC p=reject、UEBA本格運用、BIMI展開、海外拠点・グループ会社への横展開 | グループ全体で“破られにくい標準”を確立 |
6‑2‑4. 成果を測るKPI(経営に報告できる指標)
- MFA適用率(対象アカウントに対する実適用の割合)
- DMARC整合率/p=reject到達率
- 外部転送・新規受信ルールの是正までの平均時間
- 口座変更の二経路確認率・平均コールバック時間
- 疑似BEC訓練の誤クリック率・報告率
- 資金回収成功率(送金後の停止・組戻しの達成割合)
スポンサーリンク
