経理担当者のもとに、長く取引のある仕入先から一通のメールが届きました。「振込先の銀行を変更しました。今月分から新しい口座へお願いします」。過去のやり取りの引用も添えられ、担当者名も署名もいつもどおり。担当者は当然のように振込先を書き換え、支払いを実行しました。数週間後、本物の仕入先から「入金が確認できない」と連絡が来て、初めてすり替えに気づきます。
これがBEC(Business Email Compromise、ビジネスメール詐欺)です。ウイルスも不正アクセスも使わず、正規の業務メールに紛れ込んで、送金や情報提供を「正しい手続き」として通させる。FBIの2024年の集計では、BECの被害額は年間約27.7億ドル。サイバー犯罪の中で投資詐欺に次ぐ2番目の規模です。その入口になるのが、狙い撃ちの標的型メール、スピアフィッシングです。
スピアフィッシング/BECは、派手に驚かせてくるわけではありません。日常の業務フローにそっと溶け込んできます。文面がおかしいから気づく、では守れません。守りの軸は「振込先の変更や高額送金は、メールだけで完結させない」という業務ルールと、それを崩さずに回す訓練にあります。
実際に起きたビジネスメール詐欺の事例
国内では、企業名と被害額まで公表された事例がいくつもあります。どれも特別に脇の甘い会社ではありません。むしろ名前を見れば分かるとおり、監査も統制も効いているはずの大企業です。
日本航空(JAL・2017年)
被害 計約3.8億円航空機リース料の支払いを前に、取引先の金融会社担当者になりすましたメールが届き、「支払口座を香港の銀行に変更してほしい」と依頼。過去のやり取りを踏まえた自然な内容で、担当者は指示どおり約3.6億円を送金しました。翌月、本物の金融会社からの督促で発覚。別のなりすましと合わせ、被害は計約3.8億円にのぼりました。
出典:日経クロステック(2017年12月)/piyolog(2017年12月20日)トヨタ紡織 欧州子会社(2019年)
被害 最大約40億円ベルギーの子会社で、取引先を装った第三者からの虚偽の送金指示に応じ、最大約40億円が流出しました。国内企業のBECとして最大級の被害です。同社は弁護士チームを組成して現地の捜査機関に届け出、資金の保全と回収を進めると発表しました。
出典:Security NEXT(2019年9月)スリー・ディー・マトリックス(2024年)
被害 約2億円東証グロース上場の医療製品メーカー。取引先を装う偽メールで支払口座の変更に応じ、2023年12月と2024年1月の2回で計約136万米ドルを偽口座へ送金しました。同社の開示によれば、犯人は取引先とのやり取りを一定期間観察し、商取引の条件だけでなく担当者どうしの関係性まで把握したうえでなりすましていました。
出典:同社IR開示(2024年1月25日)/ScanNetSecurity(2024年2月2日)この先の型:ビデオ会議まで偽装するBEC
海外で被害 約38億円2024年に香港で起きたArupの事件では、メールを疑った担当者を信用させるために、CFOと同僚全員をディープフェイクで合成したビデオ会議が使われました。メールだけ疑えばよい時代は終わりつつあります。詳しくはディープフェイク詐欺の事例と対策で解説しています。
出典:CNN(2024年5月16日)ビジネスメール詐欺の手口
攻撃者はまず、標的の企業と取引関係を調べます。誰が経理で、誰が承認者で、どんな取引先とやり取りしているか。企業サイト、プレスリリース、SNS、名刺情報の流出。ここから「本物らしいメール」を作るための材料を集めます。スリー・ディー・マトリックスの事例では、担当者どうしの個人的な関係性まで観察されていました。
次に、なりすまし方を選びます。取引先を装う型、自社の役員を装う型、あるいは実際にどこかのメールアカウントを乗っ取って本物のスレッドに割り込む型。いちばん厄介なのは最後で、本物の過去メールを引用しながら「口座だけ変更してほしい」と自然に頼んできます。受け手からは、いつもの相手との普通の連絡にしか見えません。
そして仕上げが、送金や情報提供の依頼です。「振込先の変更」「至急の支払い」「機密だから内密に」。どれも業務のなかでは起こりうる依頼なので、疑う理由が生まれにくいのです。
流れを分解すると、次の5段階になります。
下調べ
標的企業の取引関係・決裁者・経理担当を、公開情報や流出データから特定します。誰に、誰の名前で送れば通るかを設計します。
侵入または偽装
取引先や自社のメールアカウントを乗っ取るか、本物そっくりのアドレス(一文字違いなど)を用意します。本物のスレッドに割り込めれば、成功率は跳ね上がります。
信頼の横取り
過去のやり取りを引用し、署名も文体も本物に寄せます。関係性そのものを乗っ取り、「いつもの相手」として振る舞います。
すり替えの依頼
「振込先を変更した」「至急この口座へ」と、送金や機密提供を自然に頼みます。月末や決算期など、確認が甘くなる時期を狙ってきます。
回収
着金後、資金は速やかに引き出されます。気づくのは、本物の相手から「入金がない」と言われたときで、たいてい手遅れです。
なぜ見抜けなくなったのか
従来の詐欺メールは、不自然な日本語や、あからさまに怪しい件名で見分けられました。その手がかりが、AIによって消えつつあります。攻撃者は生成AIを使い、取引の文脈に合った自然な日本語のメールを、いくらでも量産できます。敬語も業界用語もこなれていて、「文面がおかしいから偽物」という判断は、もう通用しません。
下調べも効率化されました。公開情報を集めて要約し、「この担当者に、この取引先の名前で、こういう口実で送ると通りやすい」という当たりを、以前よりずっと速くつけられます。かつては攻撃者が手間をかけて一件ずつ仕込んでいた標的型が、半自動で数を撃てるようになりました。
BECが恐ろしいのは、技術的な「侵入」の痕跡が残らないことです。ウイルス対策ソフトも、不正アクセス検知も、正規のメールと正規の送金には反応しません。すべてが「正しい手続き」として実行される。だから、システムの防御をどれだけ固めても、この手口はすり抜けてしまいます。
BECは、正規の操作の組み合わせで成立します。防御の主戦場はシステムではなく、業務プロセスです。「振込先の変更や高額の送金を、メール一通の指示だけで実行できてしまう」という業務の隙こそが、狙われている本当の穴です。
被害の規模と、見過ごされがちな兆候
数字を並べます。FBIのIC3に報告されたBEC被害は2024年で約27.7億ドル・21,442件。IPAの「情報セキュリティ10大脅威 2026」でもBECは10位に入り、2018年以降ほぼ毎年ランクインしています。トレンドマイクロの調査では、国内BECの平均被害額は5,000万円以上。JALやトヨタ紡織のような大企業だけの話ではありません。
そして被害は直接の金銭だけにとどまりません。だまし取られた資金は取り戻せないことが多く、取引先との信頼関係にも傷がつきます。「あの会社は詐欺に振り込んだ」という話は、経理や与信の現場で長く尾を引きます。さらに、乗っ取られたのが自社アカウントだった場合、今度は自社が取引先を狙う踏み台にされてしまいます。
それでも、振り返ってみれば違和感のサインは出ていることが多いのです。
- 「振込先の口座を変更したい」という、金銭に直結する依頼がメールで来た
- 送信元アドレスが本物と一文字違いで、ドメインが微妙に異なっていた
- 「至急」「今日中」「内密に」と、確認や相談を避けさせる圧があった
- いつもの担当者なのに、返信すると別のアドレスに飛ぶ設定になっていた
- 金額・タイミング・依頼の経路が、普段の取引とどこか噛み合わなかった
ここでも、一つひとつは決定打になりません。ただ「お金の宛先が変わる」依頼が来たら、それだけで確認に回す。この一線を全員が持てれば、多くは止まります。逆に言えば、忙しさや相手への遠慮でその一線を越えてしまう瞬間が、狙われています。
企業がとるべきビジネスメール詐欺の対策
1. 「口座変更・高額送金はメールで完結させない」を鉄則にする
振込先の変更や一定額以上の送金は、メール以外の経路――電話、対面、あらかじめ登録した窓口――で必ず裏を取ります。しかも、届いたメールに書かれた連絡先ではなく、こちらが元から持っている連絡先にかけ直す。この一手を例外なく回すことが、いちばん効きます。
2. なりすましを見抜く仕組みを技術側でも用意する
送信ドメイン認証(SPF・DKIM・DMARC)を整え、社外からのなりすましメールに警告を出します。似たドメインの検知や、外部メールの明示表示も助けになります。人の注意力だけに頼らず、機械が拾えるものは機械に拾わせておきます。
3. 承認と相談が「遅れず・責められず」回る空気をつくる
確認のために送金を止めたら怒られる、という空気があると、担当者は忖度して流してしまいます。「お金の宛先が変わったら確認するのが正しい行動だ」と、組織として明言しておく。止めて確認することが評価される状態が、最後の砦になります。
「自然すぎて疑えないメール」を、業務のなかで一度受けておく
サイバー訓練AIは、取引先や役員になりすました標的型メールの訓練シナリオを配信します。実際の業務メールに紛れた形で送り、誰が開いたか、誰が確認に回さず処理しようとしたかがデータに残ります。うっかり進めてしまった人には、その場で「なぜ確認が必要だったか」を短く学び直してもらう。頭で分かっていても崩れるからこそ、業務の流れのなかで一度通しておく意味があります。
- 取引先・役員なりすまし、口座変更依頼など、実際の型に沿った標的型メールを配信します
- 開封だけでなく「確認に回したか/そのまま処理したか」まで部署・役割ごとに可視化します
- 引っかかった人へ、別経路確認の習慣を身につける教材を自動で配信し、経営層への報告まで一気通貫でまかなえます
スピアフィッシングとBECは、システムの穴ではなく、業務の流れの隙を突いてきます。だから守りも、業務の側で組みます。お金の宛先が変わる依頼は必ず別経路で確かめる。なりすましは機械にも見張らせる。そして、止めて確認する人が損をしない空気をつくる。そのうえで、疑えないほど自然なメールを訓練で一度受けておけば、本番で手が止まります。ここが分かれ目になります。
ビジネスメール詐欺についてよくある質問
ビジネスメール詐欺(BEC)と標的型攻撃メールの違いは何ですか?
標的型攻撃メールは、添付ファイルやリンクでウイルスに感染させたり認証情報を盗んだりする攻撃です。BECは技術的な侵入をほとんど使わず、なりすましの文面だけで送金そのものを実行させます。ウイルス対策ソフトが反応しないぶん、BECのほうが業務ルールでしか止められません。
送金してしまったお金は取り戻せますか?
難しいことが多いです。着金した資金は短時間で複数の口座へ転送されます。気づいたら直ちに送金元の銀行へ組戻しを依頼し、警察とIPAに届け出てください。IPAの事例集には、発覚が早かったことで一部を回収できたケースも載っています。時間との勝負です。
中小企業も狙われますか?
狙われます。トレンドマイクロの調査では国内BECの平均被害額は5,000万円以上。経理担当が少なく、送金を一人で実行できる会社ほど一撃で通りやすい構造です。振込先変更時の別経路確認は、規模が小さい会社ほど効きます。
どんなメールが来たら疑うべきですか?
「振込先の口座を変更したい」という依頼が来たら、内容の自然さに関係なく全件確認に回してください。ほかに、送信元ドメインの一文字違い、返信先が別アドレスになっている設定、至急や内密といった確認を避けさせる言葉が重なったら黒に近いサインです。