✅ はじめに
近年、企業を狙ったビジネスメール詐欺(BEC: Business Email Compromise) による金銭被害が急増しています。
特に、役員や取引先になりすまし、送金を指示する手口 が多く、
応用情報技術者試験(午後)のセキュリティ分野 でも狙われやすいテーマです。
本記事では、
✅ ビジネスメール詐欺とは?
✅ 具体的な攻撃手法(事例)
✅ 被害を防ぐための対策
✅ 試験の出題ポイント
を解説します!
⸻
📌 ビジネスメール詐欺(BEC)とは?
🔹 概要
ビジネスメール詐欺(BEC) とは、
企業の経営者や取引先になりすまし、不正に送金させる詐欺 のことです。
攻撃者は、
• 会社のメールアカウントを乗っ取る
• 実在の人物になりすました偽メールを送る
といった手口で経理担当者や社員をだまし、不正送金をさせます。
🔹 なぜBECが増えているのか?
1. メールのやり取りを利用するため、攻撃が気づかれにくい
2. 偽装メールが巧妙化し、見抜くのが難しい
3. 海外取引やリモートワークの増加で、直接確認が取りにくくなっている
⸻
📌 具体的な攻撃事例
✅ 1. 取引先を装った偽請求書詐欺
• 内容:
企業の経理担当者宛に、取引先になりすました偽の請求書 が届く。
• 手口:
• 取引先のメールアカウントをハッキング
• 偽の振込先情報を記載し、企業に送金させる
• 結果:
正規の取引と思い込み、数百万円~数億円が詐欺グループに送金される。
✅ 2. CEO なりすまし詐欺
• 内容:
攻撃者が企業のCEO(社長)になりすまし、経理担当者に送金を指示 する。
• 手口:
• CEO のメールアドレスを偽装し、「極秘の送金を頼む」などのメールを送る
• 緊急性を強調し、疑う暇を与えずに送金させる
• 結果:
企業の資金が海外の口座へ送金され、回収が困難に。
✅ 3. メールアカウント乗っ取り
• 内容:
企業のメールアカウントが乗っ取られ、取引先や社員に偽の指示を送る。
• 手口:
• フィッシングメールなどでメールアカウントの認証情報を盗む
• 乗っ取ったアカウントから従業員や取引先に送金指示を出す
• 結果:
社内や取引先の信頼関係を悪用し、不正送金を成功させる。
⸻
📌 被害を防ぐための対策
BECは「人をだます攻撃」なので、技術的な対策と社員教育の両方が重要 です。
🔹 1. メールのなりすまし対策
✅ SPF・DKIM・DMARCの設定
• SPF(Sender Policy Framework) → なりすましメールの送信元をチェック
• DKIM(DomainKeys Identified Mail) → メールの改ざんを防止
• DMARC(Domain-based Message Authentication, Reporting & Conformance) → SPF・DKIMのチェック結果に基づき、不正メールをブロック
✅ なりすましメールの警告表示
• 企業のメールシステムに外部送信者の警告メッセージを表示 させる
🔹 2. 社員教育と送金ルールの強化
✅ 送金前の本人確認を徹底
• メールだけでの送金指示は受け付けない
• 電話やビデオ通話での確認を義務化
✅ 不審なメールの特徴を周知
• メールアドレスの微妙な違い(「example.com」→「examp1e.com」など)
• 「至急」「秘密」など、緊急性を強調する内容
🔹 3. メールアカウントのセキュリティ強化
✅ 二要素認証(2FA)の導入
• メールアカウントの乗っ取りを防ぐために、パスワード+ワンタイムパスワード(OTP) を必須化
✅ パスワードの定期変更・管理強化
• 使い回しを禁止し、パスワードマネージャーを活用
✅ フィッシング対策ソフトの導入
• 怪しいメールを検出し、自動でブロック
⸻
📌 試験での出題ポイント
✅ 記述問題の対策
試験では、「ビジネスメール詐欺の手口と対策」を説明できるかが問われます。
以下のような問題が出る可能性が高い ので、しっかり対策しましょう。
Q1. ビジネスメール詐欺(BEC)とは何か?また、その被害を防ぐための対策を1つ挙げて説明せよ。
解答例:
BECとは: 企業の経営者や取引先になりすまし、不正送金を指示する詐欺。
対策: 送金前の本人確認を徹底する。メールのみでの送金指示を禁止し、電話などの別経路で確認することで被害を防ぐ。
Q2. メールのなりすましを防ぐための技術的な対策を1つ挙げ、説明せよ。
解答例:
対策: SPF(Sender Policy Framework)を設定する。
理由: 送信元IPアドレスの認証を行い、なりすましメールをブロックできるため。
⸻
✅ まとめ
• ビジネスメール詐欺(BEC)は、CEOや取引先になりすまし、不正送金を指示する詐欺
• 攻撃者はフィッシングやメールアカウントの乗っ取りを利用し、正規のやり取りを装う
• 送金前の本人確認、なりすましメール対策(SPF・DKIM・DMARC)、二要素認証の導入が有効
• 試験では「手口」「リスク」「対策」をセットで理解し、記述問題に対応できるようにする!