スピアフィッシング / BEC

取引先を名乗るメール一通で、振込先が書き換わる。ビジネスメール詐欺(BEC)の事例と対策

不特定多数にばらまく詐欺ではありません。相手を調べ上げ、本物のやり取りに割り込み、請求書の口座だけをすり替える。JALは約3.8億円、トヨタ紡織の子会社は最大約40億円をこの手口で失いました。実名で公表された国内の事例から、狙い撃ちの標的型メール(スピアフィッシング)とBECの手口、企業の対策までを解説します。

解説 読了 約9分 2026年7月2日 更新
役員を装う標的型メールが、企業の組織図を背景に狙い撃ちされる情景

経理担当者のもとに、長く取引のある仕入先から一通のメールが届きました。「振込先の銀行を変更しました。今月分から新しい口座へお願いします」。過去のやり取りの引用も添えられ、担当者名も署名もいつもどおり。担当者は当然のように振込先を書き換え、支払いを実行しました。数週間後、本物の仕入先から「入金が確認できない」と連絡が来て、初めてすり替えに気づきます。

これがBEC(Business Email Compromise、ビジネスメール詐欺)です。ウイルスも不正アクセスも使わず、正規の業務メールに紛れ込んで、送金や情報提供を「正しい手続き」として通させる。FBIの2024年の集計では、BECの被害額は年間約27.7億ドル。サイバー犯罪の中で投資詐欺に次ぐ2番目の規模です。その入口になるのが、狙い撃ちの標的型メール、スピアフィッシングです。

この記事の要点

スピアフィッシング/BECは、派手に驚かせてくるわけではありません。日常の業務フローにそっと溶け込んできます。文面がおかしいから気づく、では守れません。守りの軸は「振込先の変更や高額送金は、メールだけで完結させない」という業務ルールと、それを崩さずに回す訓練にあります。

実際に起きたビジネスメール詐欺の事例

国内では、企業名と被害額まで公表された事例がいくつもあります。どれも特別に脇の甘い会社ではありません。むしろ名前を見れば分かるとおり、監査も統制も効いているはずの大企業です。

日本航空(JAL・2017年)

被害 計約3.8億円

航空機リース料の支払いを前に、取引先の金融会社担当者になりすましたメールが届き、「支払口座を香港の銀行に変更してほしい」と依頼。過去のやり取りを踏まえた自然な内容で、担当者は指示どおり約3.6億円を送金しました。翌月、本物の金融会社からの督促で発覚。別のなりすましと合わせ、被害は計約3.8億円にのぼりました。

出典:日経クロステック(2017年12月)piyolog(2017年12月20日)

トヨタ紡織 欧州子会社(2019年)

被害 最大約40億円

ベルギーの子会社で、取引先を装った第三者からの虚偽の送金指示に応じ、最大約40億円が流出しました。国内企業のBECとして最大級の被害です。同社は弁護士チームを組成して現地の捜査機関に届け出、資金の保全と回収を進めると発表しました。

出典:Security NEXT(2019年9月)

スリー・ディー・マトリックス(2024年)

被害 約2億円

東証グロース上場の医療製品メーカー。取引先を装う偽メールで支払口座の変更に応じ、2023年12月と2024年1月の2回で計約136万米ドルを偽口座へ送金しました。同社の開示によれば、犯人は取引先とのやり取りを一定期間観察し、商取引の条件だけでなく担当者どうしの関係性まで把握したうえでなりすましていました。

出典:同社IR開示(2024年1月25日)ScanNetSecurity(2024年2月2日)

この先の型:ビデオ会議まで偽装するBEC

海外で被害 約38億円

2024年に香港で起きたArupの事件では、メールを疑った担当者を信用させるために、CFOと同僚全員をディープフェイクで合成したビデオ会議が使われました。メールだけ疑えばよい時代は終わりつつあります。詳しくはディープフェイク詐欺の事例と対策で解説しています。

出典:CNN(2024年5月16日)

ビジネスメール詐欺の手口

攻撃者はまず、標的の企業と取引関係を調べます。誰が経理で、誰が承認者で、どんな取引先とやり取りしているか。企業サイト、プレスリリース、SNS、名刺情報の流出。ここから「本物らしいメール」を作るための材料を集めます。スリー・ディー・マトリックスの事例では、担当者どうしの個人的な関係性まで観察されていました。

次に、なりすまし方を選びます。取引先を装う型、自社の役員を装う型、あるいは実際にどこかのメールアカウントを乗っ取って本物のスレッドに割り込む型。いちばん厄介なのは最後で、本物の過去メールを引用しながら「口座だけ変更してほしい」と自然に頼んできます。受け手からは、いつもの相手との普通の連絡にしか見えません。

そして仕上げが、送金や情報提供の依頼です。「振込先の変更」「至急の支払い」「機密だから内密に」。どれも業務のなかでは起こりうる依頼なので、疑う理由が生まれにくいのです。

企業間のメールの流れに割り込み、一通だけを別の宛先へすり替えて送金を横取りする様子を抽象化した図
正規のやり取りの流れに割り込み、請求書の口座だけをすり替える。送金は、書き換わった先へそのまま流れていきます。

流れを分解すると、次の5段階になります。

下調べ

標的企業の取引関係・決裁者・経理担当を、公開情報や流出データから特定します。誰に、誰の名前で送れば通るかを設計します。

侵入または偽装

取引先や自社のメールアカウントを乗っ取るか、本物そっくりのアドレス(一文字違いなど)を用意します。本物のスレッドに割り込めれば、成功率は跳ね上がります。

信頼の横取り

過去のやり取りを引用し、署名も文体も本物に寄せます。関係性そのものを乗っ取り、「いつもの相手」として振る舞います。

すり替えの依頼

「振込先を変更した」「至急この口座へ」と、送金や機密提供を自然に頼みます。月末や決算期など、確認が甘くなる時期を狙ってきます。

回収

着金後、資金は速やかに引き出されます。気づくのは、本物の相手から「入金がない」と言われたときで、たいてい手遅れです。

なぜ見抜けなくなったのか

従来の詐欺メールは、不自然な日本語や、あからさまに怪しい件名で見分けられました。その手がかりが、AIによって消えつつあります。攻撃者は生成AIを使い、取引の文脈に合った自然な日本語のメールを、いくらでも量産できます。敬語も業界用語もこなれていて、「文面がおかしいから偽物」という判断は、もう通用しません。

下調べも効率化されました。公開情報を集めて要約し、「この担当者に、この取引先の名前で、こういう口実で送ると通りやすい」という当たりを、以前よりずっと速くつけられます。かつては攻撃者が手間をかけて一件ずつ仕込んでいた標的型が、半自動で数を撃てるようになりました。

標的企業の組織図やメールのやり取り、担当者のプロフィールを集めて攻撃計画を組み立てる情景
公開情報から決裁者・担当・取引関係を割り出し、「誰の名前で、誰に、どう頼めば通るか」を組み立てます。この下調べもAIで速くなりました。

BECが恐ろしいのは、技術的な「侵入」の痕跡が残らないことです。ウイルス対策ソフトも、不正アクセス検知も、正規のメールと正規の送金には反応しません。すべてが「正しい手続き」として実行される。だから、システムの防御をどれだけ固めても、この手口はすり抜けてしまいます。

技術の壁より、業務の壁で止める

BECは、正規の操作の組み合わせで成立します。防御の主戦場はシステムではなく、業務プロセスです。「振込先の変更や高額の送金を、メール一通の指示だけで実行できてしまう」という業務の隙こそが、狙われている本当の穴です。

被害の規模と、見過ごされがちな兆候

数字を並べます。FBIのIC3に報告されたBEC被害は2024年で約27.7億ドル・21,442件。IPAの「情報セキュリティ10大脅威 2026」でもBECは10位に入り、2018年以降ほぼ毎年ランクインしています。トレンドマイクロの調査では、国内BECの平均被害額は5,000万円以上。JALやトヨタ紡織のような大企業だけの話ではありません。

そして被害は直接の金銭だけにとどまりません。だまし取られた資金は取り戻せないことが多く、取引先との信頼関係にも傷がつきます。「あの会社は詐欺に振り込んだ」という話は、経理や与信の現場で長く尾を引きます。さらに、乗っ取られたのが自社アカウントだった場合、今度は自社が取引先を狙う踏み台にされてしまいます。

それでも、振り返ってみれば違和感のサインは出ていることが多いのです。

ここでも、一つひとつは決定打になりません。ただ「お金の宛先が変わる」依頼が来たら、それだけで確認に回す。この一線を全員が持てれば、多くは止まります。逆に言えば、忙しさや相手への遠慮でその一線を越えてしまう瞬間が、狙われています。

企業がとるべきビジネスメール詐欺の対策

口座変更を求めるメールを、送金前に別経路(電話のかけ直し)で確認して止める仕組みの図
お金の宛先が変わる依頼は、メールで完結させない。届いた連絡先ではなく、元から持っている連絡先へかけ直して裏を取ります。

1. 「口座変更・高額送金はメールで完結させない」を鉄則にする

振込先の変更や一定額以上の送金は、メール以外の経路――電話、対面、あらかじめ登録した窓口――で必ず裏を取ります。しかも、届いたメールに書かれた連絡先ではなく、こちらが元から持っている連絡先にかけ直す。この一手を例外なく回すことが、いちばん効きます。

2. なりすましを見抜く仕組みを技術側でも用意する

送信ドメイン認証(SPF・DKIM・DMARC)を整え、社外からのなりすましメールに警告を出します。似たドメインの検知や、外部メールの明示表示も助けになります。人の注意力だけに頼らず、機械が拾えるものは機械に拾わせておきます。

3. 承認と相談が「遅れず・責められず」回る空気をつくる

確認のために送金を止めたら怒られる、という空気があると、担当者は忖度して流してしまいます。「お金の宛先が変わったら確認するのが正しい行動だ」と、組織として明言しておく。止めて確認することが評価される状態が、最後の砦になります。

サイバー訓練AIでどう訓練するか

「自然すぎて疑えないメール」を、業務のなかで一度受けておく

サイバー訓練AIは、取引先や役員になりすました標的型メールの訓練シナリオを配信します。実際の業務メールに紛れた形で送り、誰が開いたか、誰が確認に回さず処理しようとしたかがデータに残ります。うっかり進めてしまった人には、その場で「なぜ確認が必要だったか」を短く学び直してもらう。頭で分かっていても崩れるからこそ、業務の流れのなかで一度通しておく意味があります。

  • 取引先・役員なりすまし、口座変更依頼など、実際の型に沿った標的型メールを配信します
  • 開封だけでなく「確認に回したか/そのまま処理したか」まで部署・役割ごとに可視化します
  • 引っかかった人へ、別経路確認の習慣を身につける教材を自動で配信し、経営層への報告まで一気通貫でまかなえます
訓練メニューの資料を見る

スピアフィッシングとBECは、システムの穴ではなく、業務の流れの隙を突いてきます。だから守りも、業務の側で組みます。お金の宛先が変わる依頼は必ず別経路で確かめる。なりすましは機械にも見張らせる。そして、止めて確認する人が損をしない空気をつくる。そのうえで、疑えないほど自然なメールを訓練で一度受けておけば、本番で手が止まります。ここが分かれ目になります。

ビジネスメール詐欺についてよくある質問

ビジネスメール詐欺(BEC)と標的型攻撃メールの違いは何ですか?

標的型攻撃メールは、添付ファイルやリンクでウイルスに感染させたり認証情報を盗んだりする攻撃です。BECは技術的な侵入をほとんど使わず、なりすましの文面だけで送金そのものを実行させます。ウイルス対策ソフトが反応しないぶん、BECのほうが業務ルールでしか止められません。

送金してしまったお金は取り戻せますか?

難しいことが多いです。着金した資金は短時間で複数の口座へ転送されます。気づいたら直ちに送金元の銀行へ組戻しを依頼し、警察とIPAに届け出てください。IPAの事例集には、発覚が早かったことで一部を回収できたケースも載っています。時間との勝負です。

中小企業も狙われますか?

狙われます。トレンドマイクロの調査では国内BECの平均被害額は5,000万円以上。経理担当が少なく、送金を一人で実行できる会社ほど一撃で通りやすい構造です。振込先変更時の別経路確認は、規模が小さい会社ほど効きます。

どんなメールが来たら疑うべきですか?

「振込先の口座を変更したい」という依頼が来たら、内容の自然さに関係なく全件確認に回してください。ほかに、送信元ドメインの一文字違い、返信先が別アドレスになっている設定、至急や内密といった確認を避けさせる言葉が重なったら黒に近いサインです。

出典・参考資料

まずは資料から

「正しい手続きに見える詐欺」に、備えを

サイバー訓練AIのサービス概要と、標的型メール訓練を含むメニュー・料金表をまとめてお送りします。