BEC - Business Email Compromise
About 2 min read
ビジネスメール詐欺 (BEC: Business Email Compromise) とは、企業の経営者や取引先、 弁護士などの信頼できる人物になりすまし、メールを通じて不正な送金や機密情報の提供を 指示するサイバー犯罪です。技術的な脆弱性ではなく人間の信頼関係を悪用する点で、ソーシャルエンジニアリングの 最も洗練された形態の一つといえます。 FBI の IC3 (Internet Crime Complaint Center) によれば、 BEC の累計被害額は 2013 年から 2023 年の間に 500 億ドルを超え、 サイバー犯罪の中で最大の金銭的被害をもたらしています。
5 つの攻撃パターン
経営者を装い、経理担当者に緊急の送金を指示する。「極秘案件のため他言無用」と口止めするのが典型的な手口。
取引先の請求書を偽造し、振込先口座を攻撃者の口座に差し替える。正規の取引に紛れるため発覚が遅れやすい。
顧問弁護士や法務担当を装い、M&A や訴訟対応を口実に緊急送金を要求する。
従業員のメールアカウントを実際に乗っ取り、そのアカウントから取引先に偽の請求書を送付する。
人事部門を装い、従業員の W-2 (源泉徴収票) や個人情報を要求する。金銭ではなく情報が標的。
これらのパターンに共通するのは、攻撃者が事前に標的組織を徹底的に調査している点です。 組織図、取引先情報、経営者の出張スケジュールなどを SNS や企業サイトから収集し、 最も効果的なタイミングで攻撃を仕掛けます。スピアフィッシングやホエーリングと 手法が重なる部分も多く、これらの攻撃手法を包括的に理解することが防御の第一歩です。
BEC 攻撃のフロー
AI ディープフェイクとの融合
近年、BEC は AI 技術との融合により新たな段階に入っています。 2024 年には香港の多国籍企業で、 ディープフェイクによるビデオ会議を用いた BEC 攻撃が発生し、約 2,560 万ドルが詐取されました。 攻撃者は CFO を含む複数の幹部の映像と音声を AI で生成し、リアルタイムのビデオ会議で 経理担当者に送金を指示しました。メールだけでなく音声や映像まで偽造される時代において、 「声を聞いたから本人だ」「顔を見たから間違いない」という従来の確認方法は もはや信頼できません。ディープフェイク技術の 進化は BEC の脅威を飛躍的に高めています。
DMARC によるなりすまし防止
BEC 対策の技術的な柱がDMARC (Domain-based Message Authentication, Reporting and Conformance) です。 DMARC は SPF と DKIM の認証結果に基づいて、 自社ドメインを詐称したメールの処理方法 (拒否・隔離・許可) を送信先に指示できます。 ただし、 DMARC は自社ドメインの詐称を防ぐものであり、類似ドメイン (例: examp1e.com) からの 攻撃には対応できません。また、取引先が DMARC を導入していなければ、取引先を装った 攻撃メールは素通りします。技術的対策だけでは不十分であり、人的対策との両輪が不可欠です。email security books on Amazonで DMARC の導入手順を学ぶことを推奨します。
最も効果的な対策 - 送金前の電話確認
BEC に対する最も効果的かつ低コストな対策は、送金指示を受けた際に「事前に登録された電話番号」で 依頼者本人に直接確認するプロセスを組織内に定着させることです。ここで重要なのは、 メールに記載された電話番号ではなく、社内の連絡先リストに登録済みの番号に架電する点です。 攻撃者はメール内に自分の電話番号を記載していることがあるためです。 加えて、一定金額以上の送金には複数人の承認を必須とするデュアルコントロールの導入も有効です。フィッシング対策ガイドやソーシャルエンジニアリング防御も あわせて参照してください。
BEC はフィッシングの 一形態ですが、不特定多数を狙うばらまき型とは異なり、特定の個人を精密に狙い撃ちする点で 被害額が桁違いに大きくなります。AI を活用したフィッシングの最新動向も 確認し、進化する脅威に備えてください。
Was this article helpful?