そもそもBECとは何か
BEC(Business Email Compromise:ビジネスメール詐欺)とは、取引先・経営幹部・役員などを装った偽の指示によって、企業の従業員を騙し攻撃者の口座へ送金させる詐欺です。
「メール詐欺」と聞くと「怪しいメールを開かなければいい」と思うかもしれませんが、それは誤解です。BECの恐ろしさは以下の点にあります。
- 事前に業務メールを盗み見て、本物そっくりの指示を送ってくる
- 取引先の名前・担当者名・過去のメール文面・支払いタイミングまで把握している
- 送信元アドレスが正規のものと1文字しか違わない、あるいは正規アカウント自体が乗っ取られている
- 近年はメールだけでなく、SNSやビジネスチャット経由の攻撃も急増している
IPAの「情報セキュリティ10大脅威」では2018年以降9年連続で10位以内にランクインし続けている脅威です。
2022年以降の国内上場企業10社の被害
| # | 社名 | 発生時期 | 被害額 | 手口 | 開示資料 |
|---|---|---|---|---|---|
| 1 | リケンテクノス(米国子会社) | 2022年3月 | 約1億8,700万円 | 虚偽送金指示(詳細非公表) | |
| 2 | 東芝(米国子会社) | 2022年7月 | 約5億円 | 経営幹部なりすまし・BEC | リリース |
| 3 | NHKプロモーション | 2023年8月公表 | 非公表 | 取引先なりすまし・偽請求書BEC | |
| 4 | スリー・ディー・マトリックス | 2023年末〜2024年初 | 約2億円 | 取引先なりすまし・口座変更BEC | |
| 5 | モダリス(米国子会社) | 2023年11月発生 | 約1,400万円(最終損失) | 取引先メールアカウント乗っ取り | |
| 6 | 三信電気(香港子会社) | 2025年7月 | 約2億5,600万円 | 虚偽送金指示(詳細非公表) | |
| 7 | 信和(子会社) | 2025年11月 | 約2億5,000万円 | サポート詐欺+遠隔操作型 | |
| 8 | ベルトラ(子会社) | 2026年1月 | 約5,000万円 | SNS誘導型CEO詐欺 | |
| 9 | ZUU | 2026年3月 | 約9,600万円 | ビジネスチャットなりすまし | IR |
| 10 | はてな | 2026年4月 | 最大約11億円 | 虚偽送金指示(調査中) | IR |
10社の被害総額(判明分):約35億円超
これはあくまで「公表された」事案だけです。IPAへの報告によれば、2015〜2022年の7年間で金銭的被害が発生した事案は27件のみ報告されていますが、実際には報告されていないケースが大多数とされています。
各事例の詳細
事例1:リケンテクノス(2022年3月・約1.9億円)
東証プライム上場の化学メーカーです。3月28〜30日の3日間にわたり、米国子会社から不正送金が行われました。3日間という期間は複数回の送金が実行されたことを示唆しています。手口の詳細は捜査機密として非公表。被害額は2022年3月期の決算に特別損失として計上されました。
事例2:東芝(2022年7月・約5億円)
東証プライム上場の大手電機メーカー(現在は上場廃止)。米国子会社において、東芝の経営幹部を装った第三者からのメール指示に従い、香港の口座へ約360万米ドルを送金しました。典型的なCEO詐欺(経営幹部なりすまし型BEC)の構図で、海外送金のため回収は困難でした。
事例3:NHKプロモーション(2023年8月公表・被害額非公表)
NHKの子会社です。自主イベント事業の取引先を装った偽の請求書に記載された口座へ送金し、現金をだまし取られました。BEC被害として警察に相談・金融機関に被害申告を行っています。被害額は非公表。メールへの割り込みによる請求書偽装型BECとみられます。
事例4:スリー・ディー・マトリックス(2023年末〜2024年初・約2億円)
東証グロース上場の医療製品メーカーです。被害の構図がとりわけ示唆的です。
創業来の取引先A社を装った攻撃者が、2023年12月と2024年1月の2回にわたり計約136万ドルを送金させました。同社とA社のやり取りをある程度の期間観察し、支払期限のタイミングを狙って送金を要求しています。
同社の開示資料には「創業以来の付き合いがあり信頼関係が厚かったため、口座変更の理由を直接確認していなかった」と明記されています。
「長年の取引先だから大丈夫」という思い込みが被害を招く、典型的な事例です。
事例5:モダリス(2023年11月発生・約1,400万円)
東証グロース上場のバイオベンチャーです。取引先担当者の正規メールアカウントが乗っ取られ、実際の納品案件に基づく本物そっくりの偽請求書が送られてきました。
特筆すべきは発覚後の初動です。即座に当局へ通報・送金先口座を凍結し、大部分の資金を回収。残額は取引先と費用分担し、詐欺保険も適用した結果、最終損失を約9万ドル(約1,400万円)に圧縮しました。
送金後の迅速な行動が損失を大幅に減らした好例として記録しておく価値があります。
事例6:三信電気(2025年7月・約2.6億円)
東証プライム上場の電子部品商社です。香港子会社(SANSHIN ELECTRONICS (HONG KONG) CO., LTD.)が被害を受けました。手口の詳細は捜査機密として非公表。東芝に続き、海外子会社+香港という組み合わせが2度目となり、海外拠点の管理体制の脆弱性が狙われている可能性があります。
事例7:信和(2025年11月・約2.5億円)
東証スタンダード・名証プレミア上場の建設関連企業です。これはBECではなく「サポート詐欺(テクサポ詐欺)」と呼ばれる手口です。
- 業務用PCに偽のウイルス警告画面が表示される
- 画面の電話番号に電話すると「サポート担当者」を名乗る者が応答
- 遠隔操作ソフト(LogMeIn Rescue・Ultraviewer・Splashtop)をインストールするよう指示される
- PCが乗っ取られ、ネットバンキングで不正送金される
フォレンジック調査で、PC内のネットバンキングIDとパスワードが記載されたファイルへのアクセス痕跡が確認されました。パスワードをテキストファイルに保存する慣行が、被害を拡大させた一因でもあります。
事例8:ベルトラ(2026年1月・約5,000万円)
東証グロース上場の旅行体験予約サービス企業です。子会社・リンクティビティの経理担当者が被害を受けました。
手口は2025年末に急増した「SNS誘導型CEO詐欺」の典型です。
- 子会社代表者を装ったメールが届き、SNSへの誘導を指示される
- SNS上で送金指示を受ける
- 従業員が銀行届出印を持ち出して銀行窓口で振込を実行する
同社の開示資料が根本原因として挙げているのが興味深い点で、「銀行窓口での振込と銀行届出印の管理に関する規程・承認フローが未整備だった」とされています。電子送金のセキュリティを強化しても、アナログな「窓口振込」という抜け穴が残っていました。
事例9:ZUU(2026年3月・約9,600万円)
東証グロース上場のフィンテック企業です。ビジネスチャット上で役職員を装った第三者から送金指示を受け、社内ルールに従って振込が実行されました。
「回収は極めて困難」と公表文に明記されており、9,600万円の大半が損失確定見込みです。赤字が続く財務状況での発生であり、経営への打撃は深刻でした。
メールではなくチャットツール経由という点が新しい手口で、DMARCなどのメールセキュリティは機能しません。
事例10:はてな(2026年4月・最大約11億円)
東証グロース上場のWebサービス企業です。2026年4月20〜21日の2日間にわたり、従業員のアカウントから外部口座への送金が実行されました。
被害額は最大約11億円。通期営業利益予想(約1.4億円)の8.1倍に相当します。
送金完了後に担当従業員自身が虚偽に気づき警察に連絡しました。誰を装ったか、指示の手段、送金先などの詳細は調査中として非公表です。
事例から読み取れる3つのトレンド変化
① 標的が「海外子会社」から「国内法人」へシフトしています。2022〜2023年は海外拠点が主な標的でしたが、2025年末以降は国内法人・子会社を直接狙うケースが急増しています。AIによる自然な日本語生成の精巧化が背景にあります。
② 攻撃チャネルが「メール」から「SNS・チャット」へ広がっています。DMARCやスパムフィルターを導入しても、Slack・Teams・LINEへの指示は検知できません。
③ 1件あたりの被害額が増大しています。2022年時点の1.9〜5億円から、2026年はてな事案の最大11億円まで、攻撃の精緻化・組織化が進んでいます。
各事例から学ぶ対策
| 優先度 | 対策 | 根拠事案 |
|---|---|---|
| 最重要 | 送金指示はメール・チャット単独で完結させない。必ず登録済みの番号へコールバックで本人確認する | 全事案共通 |
| 高 | 銀行窓口振込・口座変更に上位承認者の確認を必須化する | ベルトラ |
| 高 | DMARC・SPF・DKIM設定と全アカウントへのMFA導入 | モダリス |
| 高 | 業務外の遠隔操作ソフトのインストールを禁止・監視する | 信和 |
| 中 | パスワードの平文ファイル保存を禁止し、パスワードマネージャーを導入する | 信和 |
| 中 | 海外子会社の送金フローを本社ガイドラインに統一する | リケンテクノス・東芝・三信電気 |
被害が発生した場合の初動は以下の通りです。モダリスはこの手順を迅速に実行したことで、最終損失を当初の送金額から大幅に圧縮しています。
STEP 1:送金元の銀行に「組戻し依頼」(1分でも早く)
STEP 2:送金先口座のある銀行に「口座凍結依頼」
STEP 3:証拠保全(メール・指示内容・送金記録を保存)
STEP 4:警察に被害届
STEP 5:サイバー保険・電子的詐欺補償の保険会社に通知
STEP 6:取引先・関係先へ同様のメールが届いていないか確認
STEP 7:上場企業は適時開示の要否を確認
まとめ
BECは「ハッキング」ではありません。高度な技術は必要なく、人間の信頼と組織の隙を突く詐欺です。
10社の事案が共通して示しているのは、「送金指示をメール・チャット単独で完結させない」という一点のルールを徹底するだけで、多くの被害は防げた可能性があるということです。
本記事の10社はいずれも適時開示を行った上場企業です。公表されずに終わっているケースが大多数とされる中、これらの事案が他山の石として活用されることを願います。