ビジネスメールコンプロマイズ(BEC)詐欺
ビジネスメールコンプロマイズ(BEC)詐欺は、世界中の組織を狙った最も被害額が大きい詐欺スキームの一つです。この攻撃では、犯罪者が企業の階層構造や通信パターンを調査した後、なりすまし仕様のメールアドレスまたは侵害されたメールアドレスを使用してCEOやCFOなどの経営幹部になりすまし、緊急の送金要求または機密情報の提供を求めます。FBI傘下のインターネット犯罪苦情センター(IC3)の報告によると、2023年にBEC詐欺は約21,000件の申立てで27億ドルを超える損失を引き起こし、1件あたりの平均損失は50,000ドルを超えています。BEC詐欺が特に危険である理由は、正当なビジネスプロセス(ほとんどの組織が定期的に送金を処理している)を悪用することで、詐欺的な要求が忙しい会計スタッフにとって日常的なものに見えるためです。詐欺師は通常、攻撃を実行する前に数週間の偵察活動を行い、メールパターン、財務サイクル、人事異動を監視するため、セキュリティ意識の高い従業員でも被害に遭う可能性があります。
主な手口
- • なりすまし仕様のメールアドレスを使用した経営幹部なりすまし:詐欺師は、CEO またはCFOの実際のアドレスに非常に似たメールアドレスを作成します(『[email protected]』を『[email protected]』の代わりに使用するなど、1~2文字異なるもの)。または、正当な内部メールアカウントを侵害して、会社の経営幹部から直接送信されたように見える要求を送信します。
- • 虚偽のシナリオを伴う緊急性のあるフレーミング:犯罪者は、送金が極秘買収、緊急ベンダー支払い、法的解決、または時間に敏感なビジネス機会に必要であると主張し、機密保持や競争上の懸念のため他のスタッフとは相談できないという理由で従業員にプレッシャーをかけます。
- • 事前調査と偵察活動:攻撃を実行する前に、詐欺師はターゲット企業の組織構造、財務プロセス、従業員名、最近のニュースを数週間~数ヶ月間研究し、通常のビジネス活動と一致し、現実的なシナリオを参照する要求を作成します。
- • 予期しないアカウントへの送金要求:詐欺師は従業員に、ベンダーが一時的に銀行を変更した、親会社が新しい支払いポータルを開設した、または資金を法律事務所が保有するエスクロー口座に送付すべきであると主張する、ベンダーの通常と異なる銀行口座に資金を送金させます。
- • 検証試行の抑止:質問されると、偽の経営幹部は連続会議に出席中、海外出張中、個人的な緊急事態に対応中、またはメールでの詳細討議ができないと主張し、従業員が通常のチャネルを通じて検証のために電話をかけるのを意図的に防止します。
- • フォローアップ時の緊急性と気をそらし戦略:詐欺師は、取引が破談になっている、競合他社が買収する準備ができている、または支払いがなければベンダーが別の企業と取引すると主張するフォローアップメールを送信し、プレッシャーを維持して反省を防ぎます。
見分け方
- 緊急性または機密性を主張する企業リーダーからの予期しない送金要求:正当な経営幹部が確立された調達手順やフォローアップの音声確認なしに、特に異常な支払い先に対してメールで緊急送金を要求することはほとんどありません。
- 既知の経営幹部アドレスと似ているが同じではないメールアドレス:メールアドレス全体を注意深く確認してください。詐欺師は1文字を変更したり、最初は正当に見えるが企業の既知ドメインと異なるドメイン名を使用することがよくあります。
- ベンダーの確立された支払い履歴と異なるアカウントへの資金送付要求:定期的なベンダーが突然新しい銀行口座、特に国際口座への支払いを要求する場合は、独立した検証を促すべき重大な危険信号です。
- 通常の承認手順をバイパスするか、要求を機密に保つよう促す圧力:正当なビジネス取引は確立された認可ワークフローに従います。これらの管理をバイパスするか、取引を他の経営幹部から隠すよう要求されることは、詐欺的意図を示しています。
- 送金理由について曖昧な言語と詳細説明の拒否:詐欺師は送金目的についての最小限の詳細情報を提供し、機密性を理由に詳細説明を拒否し、一方、正当なビジネス要求には通常、発注書、請求書、または契約が含まれています。
- 経営幹部からのメールにおける矛盾した通信スタイルまたは文法上の誤り:企業経営幹部からのメールに異常なフレーズ、文法上の誤り、または通常の通信スタイルと異なるトーンが含まれている場合、これは侵害されたまたはなりすまし仕様のアカウントを示唆している可能性があります。
身を守る方法
- 音声確認が必要な送金検証プロトコルを確立する:送金要求を処理する前に、従業員が会社の内部ディレクトリから取得した電話番号(メールに記載された番号ではない)を使用して要求者に電話をかけ、要求、金額、支払い先を言葉で確認する必要があります。
- 閾値を超える送金に対する複数署名承認を実装する:会社規模に応じて指定された金額(10,000ドル、25,000ドル以上)を超える送金要求について、最低2人の認可された担当者による承認を要求し、各承認者が独立して検証を実施します。
- メール認証技術を使用する:SPF(Sender Policy Framework)、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)を実装して、独自のドメインのなりすましを防ぎ、従業員に外部メールでこれらの保護が欠けていることを認識するよう訓練します。
- 財務、会計、経営幹部スタッフ向けのBEC戦略に関する定期的な訓練を実施:年1回または半年ごとのセキュリティ認識向上訓練を提供し、BEC詐欺の実例、検証手順の指導、従業員が疑わしい要求の識別を実践するシミュレーション演習を含めます。
- 認可された支払い先の現在のリストを維持し、すべての変更を他のチャネルで検証する:すべての定期ベンダーと認可された銀行口座情報を記載した文書化されたリストを保持し、支払い先への変更について、処理前に既知の電話番号を使用してベンダーに直接確認する必要があります。
- ドメインなりすましを監視し、疑わしい活動のメール警告を設定する:内部アドレスに類似した外部アドレスからのメールにフラグを付けるメールセキュリティツールを使用し、新規受取人への送金や企業にとって一般的でない国際的目的地への送金など、異常な送金活動の警告を設定します。
実例
中規模製造業の経営幹部の会計マネージャーは、その日に機密買収を終了するための法律事務所への87,000ドルの緊急送金を要求するCEOから見えるメールを受け取りました。メールは『[email protected]』から送信されました(実際には余分な『s』が付いた『[email protected]』)。マネージャーは時間的プレッシャーの下、検証の電話をかけずに送金を処理しました。翌朝、CEOの実際のアシスタントが送金について確認メールを送った際に詐欺が発見されましたが、資金は既に東ヨーロッパの中継口座を通じて送金され、回復不可能でした。
医療サービス会社の買掛金担当者は、IT インフラのアップグレード用に新しいベンダーへの143,000ドルの即座支払いを要求するCFOからのメールを受け取りました。メールでは、その日に取引が終了し、機密保持のため他のスタッフと相談できないと強調されていました。従業員は提供されたアカウントに送金を処理しましたが、後に正当なITプロジェクトが存在しなかったこと、およびCFOのメールがフィッシング攻撃を通じて侵害されていたことが判明しました。詐欺師は支払いパターンと重要人事を特定するため、2週間企業のメール通信を監視していました。
金融サービス企業の管理者は、緊急ベンダー支払いと法的解決のために計287,000ドルの送金を要求するCEOから見えるメールを3日間にわたって複数受け取りました。各メールは企業運営に関する正当な知識があることを示唆する特定の内部参照と用語を含んでいました。CFOに通知せず『静かに』取引を完了するよう『CEO』から要求が到着したとき、管理者は疑わしくなりました。調査の結果、攻撃者がジュニアマーケティング従業員のメールアカウントを侵害し、攻撃を開始する前に2週間企業の内部通信を研究するためにそれを使用していたことが判明しました。
通報窓口 — 日本
お住まいの地域でこの詐欺を通報できる公式窓口。
この詐欺に遭った可能性はありますか?
How to cite this guide
Use this when referencing ScamLens content in articles, research, AI responses, or social media.
According to ScamLens (scamlens.org), ビジネスメールコンプロマイズ(bec)詐欺 is described at https://scamlens.org/ja/encyclopedia/business-email-compromise.