セキュリティ

BECとは?手口・事例・対策を初心者にもわかりやすく解説します!

 

突然の「振込先変更」メール…それは BEC(Business Email Compromise)かもしれません。

本記事では、手口の見分け方からDMARC/SPF/DKIM、二経路確認・多重承認の実務対策、万一の初動フローまでを要点だけに絞って解説します。

外資系エンジニア

この記事は以下のような人におすすめ!

  • BEC(Business Email Compromise)とは何か知りたい人
  • 具体的にBECをどうやって対策すればよいか知りたい人
  • BECの正体と見分け方がわからない人

BEC(Business Email Compromise)とは何か

BEC(Business Email Compromise)は、取引先や経営層、経理担当者など「業務上の信頼関係」を悪用し、メールを使って送金先や請求書情報を不正に変更させる詐欺です。

つまり、派手なウイルスや添付ファイルがなくても、巧妙な“なりすまし”と心理操作だけで成立します。

したがって、セキュリティソフトのアラートが出にくく、業務プロセスの隙を突かれる点が大きな特徴です。

よくある例としては、経営者を装って「至急、支払いを実行してほしい」と指示したり、取引先になりすまして「振込先口座が変わった」と連絡するケースが挙げられます。

ポイント

  • キーワードは「なりすまし」「緊急性の演出」「業務プロセスの盲点」
  • BEC(Business Email Compromise)は、技術よりも人とプロセスを狙う“社会工学攻撃”
  • だからこそ、メール認証や多重承認など“手続きの強化”が防御のカギになります

1-1. 他のメール詐欺や標的型攻撃との違い

BEC(Business Email Compromise)は、フィッシングやマルウェア攻撃と混同されがちです。

しかし、狙いと決着点(最終的に何を奪うか)、そして攻撃の進め方が異なります。以下で整理します。

1-1-1. フィッシング/スピアフィッシングとの違い

フィッシングは、不特定多数に偽サイトへ誘導して資格情報(ID・パスワード)を盗むのが主眼です。

これに対し、BECは特定組織の「お金の流れ」に直接介入します。なぜなら、最終目的が“送金の変更”や“請求の改ざん”にあるからです。

スピアフィッシング(特定個人向けの精密なフィッシング)と比べても、BECは経理や購買など業務担当者の意思決定をピンポイントで変えさせる点が決定的に異なります。

1-1-2. マルウェア型攻撃との違い(添付・リンク不要でも成立)

ランサムウェアなどのマルウェア攻撃は、添付やリンクを踏ませて端末を感染させるのが一般的です。

一方、BEC(Business Email Compromise)は感染がなくても成立します。

だから、セキュリティソフトの検知をすり抜けやすく、「おかしい」と気づいたときには既に送金が完了している、という事態になりがちです。

1-1-3. なりすまし対象と狙いの違い(送金・請求の変更)

BECの“主役”は、CEO、CFO、経理担当、購買担当、法務、そして外部の取引先です。

攻撃者は、これらの関係者になりすまして正規の業務フローの一部を装います。

その結果、通常の承認や確認をすり抜け、送金先の変更や架空請求の支払いへと誘導します。

比較表:BECと他攻撃の違い(要点)

項目BEC(Business Email Compromise)フィッシングマルウェア攻撃(例:ランサムウェア)
主な狙い送金・請求の変更、資金詐取資格情報の収集端末侵害・データ暗号化・恐喝
成立条件なりすまし+心理操作。感染不要偽サイト誘導と入力添付/リンク経由の感染
標的経営層、経理・購買、取引先社員や一般ユーザー組織全体の端末/サーバー
兆候緊急依頼、口座変更、外部アドレス類似ログイン警告・偽通知端末異常、ファイル暗号化
対策の主軸手続き(多重承認・コールバック)+メール認証URL/サイト確認・2段階認証パッチ/MFA/EDR/バックアップ

1-2. なぜ成立する?BECの基本構造と背景

BEC(Business Email Compromise)は、「信頼できる業務メール」の体裁を取りながら、人とプロセスの隙を突きます。

つまり、人間の判断社内手続きを標的にするため、技術的な防御だけでは十分ではありません。

1-2-1. 三つの要素:偽装・瞬発性・プロセスの隙

  • 偽装(インパーソネーション)
    似たドメイン名、過去メールの文体模倣、署名や肩書きのコピーで“本物らしさ”を演出します。だから、受信者は「いつもの相手だ」と思い込みやすくなります。
  • 瞬発性(緊急性の演出)
    「今日中」「監査対応で至急」「機密案件」など、時間プレッシャーをかけます。その結果、確認不足や単独判断が起こりやすくなります。
  • プロセスの隙(確認手続きの不備)
    送金や口座変更に二重チェックがない、または“メールだけ”で完結できてしまう――こうした運用が、BEC(Business Email Compromise)を成功させる土台になります。

1-2-2. 攻撃のライフサイクル(典型パターン)

  1. 偵察・情報収集
    公式サイトやSNS、漏えい情報から部門構成・担当者・取引先・決裁フローを把握。
  2. 踏み台の確保(任意)
    スピアフィッシング等で誰かのメールにログインし、実在アカウントを乗っ取る。あるいは類似ドメインを取得して“外側”から偽装する。
  3. 関係性の乗っ取り
    過去スレッドを引き継ぐ、あるいは正規っぽい新規スレッドを立て、自然な依頼を段階的にエスカレート。
  4. 決裁・送金フローへの介入
    「請求書の振込先が変わった」「至急の海外送金が必要」など、手続きの変更をメールで確定させる。
  5. 証跡の隠滅
    転送ルールや削除ルールを設定し、気づきを遅らせる。だから、発覚時には資金回収が難しくなることが多いのです。

1-2-3. 組織側の脆弱性(“メール依存”が生む弱点)

  • メール過信:正式な依頼はメールで十分、という文化が定着している。
  • 単独承認の習慣:特に少額や例外対応で、複数人確認が省略されがち。
  • MFA未導入・弱い認証:乗っ取りを許すと“本物の差出人”から来たメールになってしまう。
  • ベンダー/請求の管理不足:取引先情報の更新プロセスが曖昧だと、口座変更の偽依頼に弱い。

BEC(Business Email Compromise)の手口・仕組みを知る

※ご指定の「EC」は「BEC(Business Email Compromise)」の誤記と解釈し、以下ではBECの手口と仕組みを解説します。

BEC(Business Email Compromise)は、メールという日常業務のやり取りに紛れ込み、なりすましやアカウント乗っ取りで送金指示や請求書の差し替えを行う詐欺です。

つまり、マルウェアを使わずとも「本物らしさ」と「緊急性」を演出するだけで、正規の決裁フローに介入できます。

したがって、防御は“技術対策だけ”では不十分で、業務プロセスと人の判断を固めることが不可欠です。

2-1. なりすまし・メールアカウント乗っ取りの手口

2-1-1. 表示名・差出人のなりすまし(Display Name/類似ドメイン)

攻撃者は、表示名を社長名や取引先担当者に設定し、差出人アドレスを本物そっくりの類似ドメインで偽装します。

たとえば「example.co.jp」を「exampIe.co.jp(大文字のI)」にするなど、視認では気づきにくい手口が典型です。

だから、受信者は「いつもの相手からの依頼」と誤認しやすくなります。

2-1-2. メールアカウントの乗っ取り(実在アカウントの悪用)

スピアフィッシングや漏えいパスワードを用いて、経理・購買・役員などのメールにログインし、実在アカウントから“本物の文脈”で指示を送ります。

過去スレッドを引用し、文体や署名も一致するため、なりすましより一段と見破りにくいのが特徴です。

2-1-3. 自動転送・削除ルールの悪用(証跡隠し)

乗っ取り後、受信トレイに転送/削除ルールを設定して、警戒されそうな返信や通知を隠します。その結果、被害発覚が遅れ、送金後に判明するケースが目立ちます。

よくある兆候(見抜きポイント)

  • いつもと異なる送信ドメイン/微妙に違うスペル
  • 「今日中」「極秘」「監査対応」などの強い時間・機密プレッシャー
  • 送金先口座や受取人名の突然の変更依頼
  • 返信先(Reply-To)が不自然、Bcc多用、署名に不一致がある
  • 過去にない金額・通貨・海外口座の指定

基本対策(技術+運用)

  • メール認証(SPF/DKIM/DMARC)整備、なりすまし検出ルールの強化
  • メール・IDの多要素認証(MFA)、旧式プロトコル(IMAP/POPの基本認証)無効化
  • 送金・口座変更はメールのみで完結させない“コールバック(既存連絡先へ電話確認)”
  • 転送・削除ルールや海外/深夜のログインなど“異常サイン”の常時監視
  • 最低二名承認や金額しきい値による多重承認ワークフロー

2-2. 権威を利用した詐欺手法(CEO詐欺、法務代理人装い等)

2-2-1. CEO詐欺(上位者の威光と緊急性)

「至急対応」「取締役会前に決裁が必要」など、上位者の権威と締切を武器に判断を急がせます。

なぜなら、人は上司命令と時間圧に弱く、通常の確認を省略しがちだからです。金額が段階的に大きくなる、例外処理を装う、といった“加速”が見られます。

2-2-2. 法務・監査・M&A代理人の装い(機密性の盾)

「監査対応で非公開」「機密のM&A案件で情報を限る必要がある」など、確認プロセスを封じる口実を併用します。だから、経理・総務が孤立し、単独判断に追い込まれやすくなります。

2-2-3. 取引先・ベンダー乗っ取り(VEC:Vendor Email Compromise)

取引先側のメールが乗っ取られ、正規の請求書スレッド中で振込先だけを差し替えます。

件名・ファイル・会話が“いつもの相手”と一致するため、最も気づきにくいタイプです。

心理トリガー(使われやすい圧力の種類)

  • 権威性:「社長命令」「弁護士指示」
  • 緊急性:「本日締切」「海外子会社の時差対応」
  • 希少性・機密性:「極秘案件」「開示禁止」
  • 互恵性:「あなたにだけ共有」「助かる」

対処の会話テンプレ(メール以外の経路で再確認)

  • 「承知しました。社内規程により送金前の口頭確認が必須です。登録済みの電話番号に今からおかけします。」
  • 「**請求先マスタの変更は書面(社判)**が必要です。既存窓口へ折り返し確認します。」

2-3. ドメイン類似・請求書・ワイヤ変更など精巧な偽装

2-3-1. 類似ドメインの種類(見た目・構造で欺く)

  • タイポスクワッティング:exmaple.co.jp のような単純ミス綴り
  • 同形文字置換(ホモグリフ):l(エル)と I(アイ)、o と 0 のすり替え
  • サブドメイン悪用:example.co.jp.evil.com のように“左側”で本物らしさを装う
  • TLD差し替え:.co.jp → .co や .com へ置換して紛らわしくする

2-3-2. 請求書・見積書の偽装(ロゴ・押印・品目は本物級)

PDFのレイアウトやロゴ、担当者名をコピーし、支払先口座だけ差し替えます。

見積・稟議・発注の“連続性”を維持するため、過去メールから型を学習してくる点が厄介です。だから、帳票だけでの判断は危険です。

2-3-3. 送金指示(ワイヤ変更)で多用される表現と初動

  • 多用される表現:
    「新しい受取口座へ更新」「監査の都合で海外口座に変更」「為替レート都合で今日中」
  • 初動の原則:
    既存台帳の正規連絡先へ電話確認/少額テスト送金→着金確認→本送金/二名承認で例外処理を禁止

偽装タイプ別・見抜くポイントと対応

偽装タイプ具体例見抜くポイント初動対応
類似ドメインexampIe.co.jp(I/ l 置換)送信ドメインを裸で確認、WHOISの新規取得日既存連絡先に電話、セキュリティへ報告
表示名偽装表示名=社長、実アドレスは外部アドレス全表示・Reply-To差異メールゲートウェイで警告付与、受信者教育
アカウント乗っ取り取引先実アカウントからの依頼文面は自然でも“口座変更のみ”に偏るコールバック、二名承認、取引先にも連絡
請求書差替ロゴ・書式は正規、口座のみ新規口座名義・国・通貨の変化、ファイルプロパティ少額テスト送金、社内承認の再取得
送金催促「本日締切」「監査」突然の例外処理、時間圧期限に依存しない確認手順を適用

支払い前チェックリスト(印刷して運用に)

  • 支払先の名義・国・通貨は変わっていないか
  • 口座変更は既存の電話番号でコールバック済みか
  • 二名以上が承認し、例外処理を使っていないか
  • 請求書の版数・発行者・ファイル情報に不自然はないか
  • メールヘッダの送信ドメイン・Reply-Toに差異はないか

BEC被害の実態と傾向

3-1. 世界・日本での被害規模と増加状況

3-1-1. グローバル動向

まず、世界規模の被害額は年々高止まりしています。

FBIのIC3(Internet Crime Complaint Center)が公表した「2024 Internet Crime Report」によると、2024年のBEC(Business Email Compromise)は21,442件の届出で損失は27.7億ドルに達しました。

前年2023年は29.5億ドル、2022年は27.4億ドルで、依然として最上位クラスの金銭的被害を生むサイバー犯罪です。

つまり、件数は横ばいでも1件あたりの被害が極めて高額であることが読み取れます。

Internet Crime Complaint Center

さらにIC3は、2013年以降に報告されたBEC関連の累計損失が550億ドル規模に上ると注意喚起を出しています。

加えて、資金の経由先として英国や香港の銀行が中継点になりやすい実態も示されており、送金経路の早期トレースと差止めの難しさが浮き彫りです。

したがって、被害発覚からの初動対応スピードが回収成否を左右します。

3-1-2. 日本の傾向

日本国内でもBEC(Business Email Compromise)は継続的な脅威として位置づけられています。IPAの「情報セキュリティ10大脅威」では、組織向け脅威として「ビジネスメール詐欺」が毎年ランクイン

2024年は組織編8位、2025年も組織編9位に挙げられ、認知・対策の重要性が示されています。

つまり、日本でも“常在脅威”として扱うべき段階にあります。

さらに、JPCERT/CCが国内組織を対象に実施した実態調査では、被害有無を問わず請求額の合計が約24億円に達したと報告されています。

これは少数の事例でも高額化しやすいことを意味します。また、国内向け事例も英語だけでなく自然な日本語で届くケースが増えたという指摘もあり、見破りを難しくしています。

3-2. 企業での具体的な被害事例(JALなど)

3-2-1. 日本航空(JAL)のケース

日本を代表する大企業も例外ではありません。2017年、日本航空(JAL)はBECで約3.8億円の被害を公表しました。

取引先を装った振込口座変更メール偽の請求書(PDF)が使われ、貨物委託料やリース料の送金が誘導された形です。

メールアドレスや本文、書式が本物そっくりで、背景にはやり取りの盗み見(メール監視)やアカウント乗っ取りが疑われました。だからこそ、メール以外のチャネルでの“声紐づけ確認”が重要になります。

ポイント整理(JAL)

  • 手口:取引先なりすまし、訂正版を装う偽請求書、口座変更要求
  • 背景:メール監視やアカウント乗っ取りが示唆
  • 教訓:送金系はメール以外のチャネルでダブルチェック(事前合意の電話番号で確認)

nec-solutioninnovators.co.jp

3-2-2. トヨタ紡織(Toyota Boshoku)のケース

2019年、トヨタ紡織の欧州子会社が約40億円(3,700万ドル)をだまし取られる事案が発生しました。

取引先や幹部指示を装い緊急性を強調して送金を急がせる、典型的なBECのパターンです。

送金後の即時差止めは難しく、初動の遅れが回収率を下げる結果につながります。

toyota-boshoku.comForbesTripwire

ポイント整理(トヨタ紡織)

  • 手口:緊急・機密を装い、送金先変更を至急依頼
  • 影響:一度の誤送金で数十億円規模
  • 教訓:緊急性の強調=赤信号としてプロセスで自動的に“ブレーキ”が掛かるしくみを

3-2-3. 日経アメリカのケース

2019年、日経の米国子会社で約2,900万ドル(約32億円)が不正送金される事案が発生しています。

経営幹部を装った上意下達型の指示が使われ、従業員が信じて送金してしまった典型例です。つまり、肩書の権威性が思考停止を招くリスクがあるということです。

CyberScoopTripwire

ポイント整理(日経)

  • 手口:経営幹部のなりすましによる“至急指示”
  • 影響:海外口座への大口送金
  • 教訓:役員案件ほど二経路確認(電話・既知連絡先)と複数承認を必須に

3-2-4. 事例から見える“共通因子”とチェックリスト

被害事例は異なっても、BEC(Business Email Compromise)の共通因子は似通っています。

したがって、以下の観点を「標準業務フロー」に組み込むのが効果的です。

  • 緊急性の強調(今日中、至急、機密)
  • 支払先口座の変更、国際送金の新規依頼
  • メール以外の確認禁止など、会話をメールに限定させる誘導
  • ドメインの微妙な違い、差出人表示名の偽装、返信ルートのすり替え
  • 添付の“訂正版請求書”や“法務代理人”を称する第三者の登場

そして、“二経路確認+複数承認+既知の連絡先のみ使用”という原則を、金銭関連の全プロセスに適用してください。

行政や国内大手の注意喚起や解説資料も、こうした多層対策の重要性を強調しています。

参考:すぐ使えるミニ表(把握と説明に便利)

観点最新・代表的な数字参考
世界の年間損失(2024)27.7億ドルIC3 2024年報告
世界の年間届出件数(2024)21,442件IC3 2024年報告
累計損失(2013–2023頃)約550億ドルIC3 PSA(2024年9月)
日本の位置づけIPA「10大脅威」組織編に連続ランクイン2024=8位、2025=9位
国内の実態調査不正請求総額 約24億円(対象12組織、2019調査)JPCERT/CC調査
代表事例(日本)JAL 約3.8億円(2017)公的・専門各報道・解説

なぜ今BECが増えているのか?狙われる背景

BEC(Business Email Compromise)は、ここ数年で手口が洗練され、被害額が大きくなっています。

なぜなら、クラウド移行とリモートワークの定着で「境界型の守り」が効きにくくなり、同時に組織の業務フローがメール中心に依存しているからです。

つまり、攻撃者から見ると「人・プロセス・メール」を組み合わせれば、感染させなくても資金移動に介入できる状況が整ってしまったのです。

4-1. リモートワーク・テレワーク環境の脅威増加

リモートワークは生産性を高める一方で、BEC(Business Email Compromise)にとっては攻撃面の拡大を意味します。

したがって、技術対策に加えて“運用のすき間”を塞ぐことが欠かせません。

4-1-1. クラウドメールの常時外部化で「境界」が薄くなる

オンプレミス中心の時代は社内ネットワークが一種の“堀”でした。

しかし、クラウドメールとSaaSの普及により、社員は自宅や出張先から直接アクセスします。

だから、IDとメール自体の信頼性(送信ドメイン、返信先、転送設定など)が狙われやすくなります。

4-1-2. 分散した承認フローと非同期コミュニケーション

テレワークでは、承認者が物理的に隣にいません。結果として、メールやチャットの「文章だけの合意」で送金や口座変更が進むケースが増えます。

つまり、対面の“ひと言確認”が消えたことが、BEC成功率を押し上げます。

4-1-3. 個人デバイス・旧来プロトコル・MFA疲労

自宅PCやスマホの利用、IMAP/POPの基本認証、そして頻繁な多要素認証要求による“確認疲れ”は、アカウント乗っ取りや転送ルールの悪用を許しやすくします。

だから、デバイス基準・認証方法・ログ監視の三点セットで見直す必要があります。

4-1-4. タイムゾーンと時間圧で「確認抜け」が起こる

海外子会社やベンダーとやり取りする組織では、深夜・早朝に「至急送金」が届きがちです。

なぜなら、時差を理由に“いま決めないと間に合わない”と感じさせやすいからです。したがって、時間帯に依存しない承認ルールを決めておくことが重要です。

在宅体制で増えたリスクと実務対処(要約)

シチュエーション典型的なリスク実務上の対処
自宅からクラウドメール利用ドメイン偽装・返信先すり替えDMARC整備、返信先の自動警告、メールヘッダ確認の教育
非同期の承認メールだけで口座変更が確定既存台帳の電話番号でコールバック、二名承認での例外禁止
私物端末・旧認証乗っ取り後の転送/削除ルール設定MFA必須、旧式プロトコル停止、サインイン異常アラート
時差・深夜依頼時間圧で確認省略金額しきい値+営業時間外は“原則保留”の運用

4-2. 内部信頼とメールへの依存構造の弱点

BEC(Business Email Compromise)の本質は、人間の信頼メール中心の業務に潜む“当たり前”を逆手に取る点にあります。

だから、ツール導入だけでなく、プロセス設計を変えることが不可欠です。

4-2-1. 「メール=準公式文書」という思い込み

多くの組織で、メールは“証跡が残る正式な依頼”として扱われます。

しかし、表示名偽装・類似ドメイン・乗っ取りによって、“本物のように見える偽物”が紛れ込みます。

つまり、「メールに書いてあるから正しい」は前提として危険です。

4-2-2. 例外処理が抜け道になる(急ぎ・機密の大義名分)

「監査対応で特例」「M&Aで極秘」など、例外を正当化する言い回しはBECの常套句です。

したがって、“例外は責任者が単独で許可”という運用はやめ、例外こそ承認者を増やすという逆転ルールを設けます。

4-2-3. ベンダー依存とサプライチェーンの連鎖(VEC)

取引先のメールが乗っ取られるVendor Email Compromiseでは、過去スレッド内で自然に請求書が差し替えられます。

だから、取引先のセキュリティ水準請求情報の更新手順も自社ルールに組み込み、連鎖リスクを断ち切る必要があります。

4-2-4. メール認証の未整備・運用の盲点

SPF/DKIM/DMARCが未整備、あるいはポリシーが緩いと、なりすましや“似せメール”がすり抜けます。

また、Reply-Toのすり替え、外部からの「同姓同名」表示名など、運用で防げる盲点も多いのが実情です。

弱点を埋めるための“運用ファースト”チェックリスト

  • 口座変更・送金指示はメールのみで確定しない(登録済み番号への電話確認を標準化)
  • 金額しきい値ごとに二名以上の承認を必須化。例外処理は承認者を増やす
  • 返信先(Reply-To)・送信ドメイン・表示名の差異を自動で強調表示
  • 転送/削除ルールの新規作成を常時監査し、異常通知をSOC/管理者へ
  • 取引先マスタの更新は書面+既存連絡先でコールバック、少額テスト送金を標準化
  • SPF/DKIM/DMARCをポリシーまで設定(p=reject等)し、レポートで継続監視
  • 営業時間外・時差起因の“至急依頼”は原則翌稼働日に再確認する運用

移行の順番(スモールステップで定着させる)

  1. まず、コールバック+二名承認を「送金・口座変更」に限定して即日ルール化
  2. 次に、DMARCの導入とポリシー強化、および旧式プロトコル停止
  3. その後、転送/削除ルール監査時間外リクエストの自動保留を仕組み化
  4. 最後に、教育と模擬演習で“緊急・機密”の合言葉に反射的ブレーキをかけられる組織文化へ

具体的なBEC対策と予防策

BEC(Business Email Compromise)は、人とプロセスの“隙”を突く攻撃です。

したがって、技術対策だけでなく、社内手続きと教育を一体で整えることが重要です。

以下では、実務でそのまま使える順番と粒度で解説します。

5-1. メール認証・DMARC/SPF/DKIMの導入

5-1-1. それぞれの役割(まず全体像)

  • SPF:送信元サーバーの「送ってよいIP」を宣言
  • DKIM:メール本文に電子署名を付け改ざん検知
  • DMARC:SPF/DKIMの整合性が崩れたときの“受信側の処理方針”とレポート
    つまり、SPFとDKIMで“技術的に本物らしさ”を証明し、DMARCで“本物以外をどう扱うか”を決めます。

5-1-2. 導入手順(安全に段階を踏む)

  1. 現状棚卸し:ドメインと送信元(自社MTA、SaaS、委託ベンダー)をリスト化
  2. SPF整備:includeの数は10ルックアップ以内、古い送信元は削除
  3. DKIM有効化:鍵長2048bit、ベンダーごとにセレクタを分ける
  4. DMARCをp=noneで開始ruaへ集計レポートを受け取り可視化
  5. 誤検知の是正:アライメント不一致や委託SaaSの設定漏れを潰す
  6. p=quarantine → p=rejectへ引き上げ:サブドメイン用sp=も忘れず設定

5-1-3. 運用と監視(やりっぱなしにしない)

  • レポート可視化:DMARCレポートをダッシュボード化して新規送信源を早期把握
  • 鍵ローテーション:DKIMキーを定期更新、不要セレクタを撤去
  • 委託先統制:新しいSaaS/ベンダー採用時は“メール認証チェックリスト”を必須化

5-1-4. よくあるつまずき

  • SPFの平坦化不足:includeの連鎖で10回超え、結果的に認証失敗
  • 転送・メーリングリスト問題:DKIM破損に備え、ARC対応や受信側の緩和策も検討
  • 海外拠点の野良送信:現地が独自にSaaSを使い始め、DMARCで弾かれる

5-1-5. 追加強化(効果が高い順)

  • MTA-STS/TLS-RPT:SMTPの暗号化強制と配送失敗の可視化
  • BIMI(Verified Mark):DMARC強制が前提。受信者に“本物感”を視覚で付与

最短チェックリスト

  • SPF/DKIMは全送信源で有効か
  • DMARCはp=reject(またはquarantine)まで到達しているか
  • DMARCレポートの週次レビューが定着しているか

5-2. 社内プロセス改善:振込・変更確認の多重承認

5-2-1. 多重承認の設計(例外を自動で止める)

  • 金額しきい値:例えば、50万円以上は二名、1,000万円以上は三名
  • 職務分離:起案者=支払指示者=送金実行者を分離
  • 時間帯ルール:営業時間外の送金は“翌稼働日”に自動持ち越し
    したがって、「緊急」「機密」を理由にしても自動的にブレーキが掛かります。

5-2-2. コールバックと少額テスト送金(メールだけで完結させない)

  • 既存台帳の電話番号へ発信(メールで指示された番号は使わない)
  • 少額テスト送金→着金確認→本送金を標準フロー化
  • 変更依頼の書面化:社判や契約書の付帯変更申請で裏取り

5-2-3. ベンダーマスタ管理(VEC対策の核心)

  • 口座・請求先の変更は購買・経理・情報システムの共同承認
  • 変更履歴の監査証跡を残し、四半期に一度棚卸し
  • 取引先側のセキュリティ責任者連絡先を事前に交換しておく

5-2-4. 例外処理の統制

  • 「監査で至急」「M&Aで極秘」など例外は承認者を増やすルールへ反転
  • 例外実施時は経営層へ自動通知し、事後レビューを必須化

プロセス対策とリスクの対応関係

リスク主な対策補助策
口座変更の偽依頼コールバック、二名承認テスト送金、書面化
CEO詐欺(緊急圧)営業時間外保留、金額しきい値役員案件の強制二経路確認
取引先乗っ取りベンダーマスタ共同承認連絡先の事前交換、棚卸し

5-3. 教育と注意喚起:緊急性メールへの対応ルール

5-3-1. 一目で分かる「赤信号」リスト

  • いつもと違う送信ドメインReply-To
  • 今日中・極秘など強い時間圧と機密強調
  • 口座変更海外送金の新規依頼
  • 返信はメール限定に誘導、電話確認を嫌がる記述

5-3-2. 反射で取れる“最小アクション”

  • 「了承しました。登録済み番号に折り返し確認します。」と即返信し、電話へ移行
  • 社内チャットに疑わしいメール報告テンプレを貼り付け
  • 送金・変更は一旦保留し、承認フローに戻す

5-3-3. 研修の型(短時間で効く構成)

  • 10分のマイクロラーニング:BEC(Business Email Compromise)の概要と三大兆候
  • ロールプレイ:CFO・経理・購買の三役で疑似メール対応
  • 月次ミニ演習:実メール風の訓練配信とランキングで可視化

5-3-4. デスク常備カード(貼って使う)

  • 送金・口座変更はメールだけで決めない
  • 緊急・機密をうたう依頼は例外ではなく警告
  • 電話確認は台帳の番号で。メール内の番号は使わない

教育KPIの例

  • 研修受講率、疑わしいメールの早期報告件数、誤送金ゼロ継続日数
  • 訓練メールの開封・クリック率低下、報告までの平均時間

5-4. 技術的防御:AIによる文章スタイル分析やMFA

5-4-1. AI/MLで“らしさの違和感”を検知

  • 文章スタイル分析:役員の平時の語彙・丁寧度・依頼パターンから逸脱を検出
  • 関係性グラフ:普段のやり取りにない相手・時間・金額の組み合わせを異常値化
  • インパーソネーション検知:表示名なりすまし、似ドメイン、外部転送の自動警告
    その結果、ユーザーが読む前に“危ないメール”へ注意喚起できます。

5-4-2. アカウント防御の基本を強化(MFAは“突破されにくい方式”へ)

  • フィッシング耐性MFA:FIDO2/WebAuthnやプッシュ+番号一致
  • レガシープロトコル停止:IMAP/POP/SMTP Authの基本認証を廃止
  • 条件付きアクセス:国・端末健全性・リスクスコアでブロック
  • 外部転送禁止:既定は無効、例外は期限付き申請

5-4-3. 監視と自動是正

  • サインイン異常:不可能移動、深夜連続失敗、匿名ネットワーク
  • メールボックス監査:転送/削除ルールの新規作成を即アラート
  • SOAR連携:高リスク検知でパスワードリセット・セッション強制無効化を自動化

5-4-4. 低コストで始める優先順位

  1. 既存メール製品のなりすまし警告表示を有効化
  2. 外部転送禁止レガシー認証停止
  3. 条件付きアクセスの基本ポリシー(国外サインイン制限)
  4. 余力でAIベースのBEC検知を追加

技術対策とBECリスクの対応関係

技術対策ねらいBECへの効き所
DMARC/SPF/DKIMなりすまし遮断類似ドメイン・差出人偽装を抑止
AIスタイル分析文面の逸脱検知CEO詐欺、取引先乗っ取りの文体異常
条件付きアクセスリスクベース認証乗っ取りログインのブロック
監視とSOAR早期封じ込め転送ルールや不正セッションの即時無効化
フィッシング耐性MFA認証強化パスワード漏えいを無効化
RELATED POST