How do scammers get so much detail about my company's vendors and invoicing?

Scammers obtain this information through multiple sources: data breaches of vendor databases that include customer lists and transaction details, compromised employee emails shared on dark web marketplaces, LinkedIn research on your finance staff and company structure, publicly available information from regulatory filings or company websites, and social engineering calls to vendors posing as your employees. Many successful scammers conduct 2-4 weeks of reconnaissance before launching the attack.

What should I do if I've already paid a vendor impersonation invoice?

Contact your bank or wire transfer service immediately and report the fraud—many banks can halt outgoing transfers if reported within 24 hours. Simultaneously notify your actual vendor, your IT security team, law enforcement (FBI at ic3.gov), and your cybersecurity insurance provider if you have a policy. Preserve all email evidence, including headers and metadata, to support recovery efforts and help law enforcement investigations. Recovery is difficult after funds clear, but reporting within hours significantly improves the chance of intercepting the transfer.

How can I verify a vendor's payment information without offending them?

Use a standardized verification process that applies to all vendors equally, so no single vendor feels targeted. Call vendors using the phone number from your previous invoices or their official website, never numbers provided in the suspicious email. You can simply say: 'We received an invoice requesting a payment method change. Before processing, I'm verifying this through our standard security procedure. Can you confirm your current banking information matches [the details from the email]?' Legitimate vendors expect and respect this verification.

What's the difference between vendor impersonation and business email compromise (BEC)?

Vendor impersonation is a specific type of BEC scam where the fraudster impersonates an external vendor rather than pretending to be an executive within your own company. BEC encompasses a broader category of business email fraud, including CEO fraud (impersonating executives), lawyer scams (impersonating legal counsel), and government impersonation. However, the protection strategies are similar: verify through independent channels, require multi-approval for payment changes, and implement email authentication.

If my company falls victim to a vendor impersonation scam, what are my legal obligations?

You should report the fraud to the FBI's Internet Crime Complaint Center (ic3.gov) and potentially local law enforcement, as this supports broader fraud investigations. You may be required to notify customers if the fraud involves their data (depending on state breach notification laws). Inform your bank, cybersecurity insurance carrier, and auditors immediately. While the company that fell victim typically bears the loss unless the bank was negligent in processing a clearly fraudulent transfer, early reporting and documentation improve the chance of recovery and may support insurance claims. Consult with your legal counsel regarding notification obligations specific to your state and industry.

高リスク平均被害額: $20,000 標準的な期間: 1-14 days

ベンダー詐称詐欺：企業を守る方法

ベンダー詐称詐欺は、詐欺師が企業の正規サプライヤーを調査した後、それらのベンダーからのように見える架空の請求書、メール、または通信を作成することで発生します。詐欺師は通常、経理部門や財務チームをターゲットにし、ベンダー支払いの日常的な性質とビジネス運営の緊急性を悪用します。FBIの2023年インターネット犯罪苦情センター（IC3）レポートによると、ベンダー詐称をしばしば含むビジネスメール詐欺（BEC）詐欺は、その年に27億ドル以上の損失をもたらしており、大規模企業の個別インシデントは平均2万ドルから15万ドルです。中小企業は、大規模企業が導入しているような高度なメール認証システムや支払い検証プロトコルがないため、特に脆弱です。これらの詐欺は2010年代半ばに登場して以来、大幅に進化しました。初期バージョンは粗悪なメールスプーフィングに依存していましたが、現代のベンダー詐称攻撃は企業運営の詳細な知識、正規ベンダー名、正確な支払い条件、さらには企業の公式レターヘッドとロゴの複製を組み込んでいます。詐欺師は攻撃を開始する前に数週間の調査を実施し、データ侵害、ソーシャルエンジニアリング、またはLinkedIn調査を通じて企業のメール通信とベンダー関係を監視することがよくあります。初期接触から架空の支払いまでの平均時間はわずか1～14日であり、資金が事実上追跡不可能な海外口座に送金される前に検出する狭い時間枠を作ります。危険は直接的な経済損失を超えています。ベンダー詐称詐欺は正規サプライヤーとのビジネス関係にダメージを与え、監査をトリガーする会計上の矛盾を生み出し、詐欺の検出に失敗した場合、企業に法的責任を負わせ、財務部門内での信頼を低下させることができます。繰り返しのターゲティングは一般的です。詐欺師はしばしば被害を受けた企業に新しいスキームで戻ってきており、一度被害に遭った企業は、その後12ヶ月以内に繰り返される攻撃のリスクが20～30%高くなります。

主な手口見分け方身を守る方法実例通報窓口

主な手口

• わずかに変更されたメールアドレス（例：正規の企業ドメインの代わりに[email protected]）またはベンダーの実際のURLに密接に模倣するドメイン名（例：「supplier.com」を「suppIier.com」または「supplier-inc.com」に変更）でメール送信します。
• 「銀行口座の変更」「システムアップデート」「税務コンプライアンス」または「M&A活動」による緊急支払いリダイレクトを要求し、時間的プレッシャーを作成して通常の検証手順をバイパスします。
• メール侵害またはソーシャルエンジニアリングで発見された以前のトランザクションから実際の請求書形式、支払い条件、発注書番号、価格をコピーして、正規のベンダー通信を複製します。
• 実在するプロジェクト、期限、または経営者の名前に言及したスピアフィッシングメールを通じて特定の従業員をターゲットにし、通信を本物で時間的に敏感なものにします。
• ACH送金またはネット送金などの正規の支払い方法を使用してベンダー名義の銀行口座に送金しますが、資金が清算された後の回収を極めて困難にするために異なる国に所在する口座に送金します。
• 架空のベンダーサポートラインから複数のリマインダーメールまたは電話でフォローアップし、架空の請求書に関する質問に企業運営についての驚くほど正確な詳細で回答しながら、プレッシャーと緊急性を高めます。

見分け方

通常のベンダー支払いより大幅に大きい金額の請求書リクエスト、またはベンダーの通常の請求パターンまたは頻度と異なる複数の請求書を同時に支払うリクエスト。
正規ベンダーに非常に近いがわずかなスペルミスを含む、異なる拡張子（.comではなく.net）を使用する、または企業ドメインではなく無料メールサービスを使用するメールアドレスまたはドメイン名。
支払い方法の変更、承認ベンダーリストへの新しい給与支給者の追加、または公式レターヘッド、発注書、またはベンダーからの複数当事者承認なしに新しい銀行口座への支払いリダイレクトの突然のリクエスト。
確立された調達ワークフローをバイパスしながら、特に詳細な期限、システムメンテナンスウィンドウ、または一度限りの支払い機会を引用して、人工的な緊急性を作成する通信。
そのベンダーとの履歴上のトランザクション金額と一致しない請求書金額、異常な品目を含む、またはそのベンダーの正規請求書に通常見られる詳細な説明と品目化がない請求書。
メールをIT セキュリティチームに転送するときに無効に見えるメールヘッダー、メタデータ、またはデジタル署名、またはベンダー通信を通常受け取る特定の経理部門の連絡先者ではなく汎用企業メールアドレスに送信されたリクエスト。

身を守る方法

SPF（Sender Policy Framework）、DKIM（DomainKeys Identified Mail）、DMARC（Domain-based Message Authentication, Reporting and Conformance）を含むメール認証プロトコルを実装して、ベンダーまたは内部アドレスからのなりすましメールを検出・フラグ立てします。
支払い変更リクエスト、新しいベンダーのオンボーディング、または口座リダイレクトの処理前に、公式企業ウェブサイトまたは以前の請求書から得られた電話番号を使用して直接ベンダーに連絡する必須検証プロトコルを確立します。
承認されたベンダーリスト、支払い口座、連絡先情報を安全なシステムで一元化し、変更が記録される前に複数レベルの認可が必要なベンダー管理ソフトウェアを使用します。
経理部門と財務スタッフに四半期ごとにベンダー詐称戦術についてトレーニングします。フィッシング認識、メール検証技術、疑わしい通信をフラグ立てするための手順を含め、最初に支払いを処理することなく対応します。
新しいベンダー、閾値金額を超える送金（通常、企業規模に応じて5,000ドルから50,000ドル）、または支払い方法変更には二重承認要件を実装し、別の部門またはマネージャーからセカンドオピニオンを得ます。
銀行口座と会計ソフトウェアで異常な活動（新しい口座への支払い、国際銀行への送金、通常範囲を大幅に超える請求書金額を含む）を監視し、処理から24時間以内にフラグ立てられたトランザクションを確認します。

実例

製造企業が、年間約30万ドルの契約を処理する主要な電子部品サプライヤーから来たように見えるメールを受け取りました。経理担当者に送信されたメールは、正規プロジェクトに関連する47,500ドルの緊急請求書を参照し、最近の銀行統合に「新しい口座」への支払いをリクエストしていました。メールには実際の企業ロゴと以前の正規トランザクションからコピーされた請求書形式が含まれていました。36時間以内に、シンガポール銀行の銀行口座への送金で支払いが処理されました。実際のベンダーは14日後に請求書を送信したことがないことを確認しました。その時までに、資金は引き出されており、元の口座は閉鎖されていました。

150人の従業員を持つプロフェッショナルサービス企業は、IT インフラストラクチャプロバイダーから、企業が経験した既知のアウトージ中に緊急サーバーメンテナンスについてのものを含む、合計89,000ドルの複数の請求書を受け取りました。メールは「[email protected]」から来ました（実際の企業は「[email protected]」を使用しています）。3つの個別請求書が8日間で処理されました。その後、実際のベンダーは、彼らが最近完成した正規サービスに対して支払いを受けていない理由で問い合わせました。詐欺師は3週間企業のメールセキュリティ問題を監視しており、正確なアウタージタイミングを知っていました。

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。

警察庁サイバー犯罪相談窓口

サイバー犯罪

都道府県警察のサイバー犯罪相談窓口（電話番号は地域別）。

訪問 →

消費者庁消費者ホットライン

消費者保護

消費者ホットライン「188（いやや！）」。最寄りの消費生活センターへ。

188 訪問 →

IPA 情報セキュリティ安心相談窓口

通報

独立行政法人情報処理推進機構による情報セキュリティ全般の相談。

03-5978-7509 訪問 →

金融庁金融サービス利用者相談室

金融監督

投資詐欺・金融商品トラブルに関する相談窓口。

0570-016811 訪問 →

この詐欺に遭った可能性はありますか？

How to cite this guide

Use this when referencing ScamLens content in articles, research, AI responses, or social media.

According to ScamLens (scamlens.org), ベンダー詐称詐欺：企業を守る方法 is described at https://scamlens.org/ja/encyclopedia/vendor-impersonation.

https://scamlens.org/ja/encyclopedia/vendor-impersonation

まずはここから

安全チェック

インテリジェンス

ツール・レポート

プレミアムサービス

拡張機能・API

ベンダー詐称詐欺：企業を守る方法

主な手口

見分け方

身を守る方法

実例

通報窓口 — 日本

警察庁サイバー犯罪相談窓口

消費者庁消費者ホットライン

IPA 情報セキュリティ安心相談窓口

金融庁金融サービス利用者相談室

この詐欺に遭った可能性はありますか？

How to cite this guide

ベンダー詐称詐欺：企業を守る方法

主な手口

見分け方

身を守る方法

実例

通報窓口 — 日本

警察庁サイバー犯罪相談窓口

消費者庁 消費者ホットライン

IPA 情報セキュリティ安心相談窓口

金融庁 金融サービス利用者相談室

この詐欺に遭った可能性はありますか？

How to cite this guide

消費者庁消費者ホットライン

金融庁金融サービス利用者相談室