0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【試験対策】ビジネスメール詐欺(BEC)による金銭被害とは?事例・対策を解説!

Posted at

✅ はじめに
近年、企業を狙ったビジネスメール詐欺(BEC: Business Email Compromise) による金銭被害が急増しています。
特に、役員や取引先になりすまし、送金を指示する手口 が多く、
応用情報技術者試験(午後)のセキュリティ分野 でも狙われやすいテーマです。

本記事では、
✅ ビジネスメール詐欺とは?
✅ 具体的な攻撃手法(事例)
✅ 被害を防ぐための対策
✅ 試験の出題ポイント
を解説します!


📌 ビジネスメール詐欺(BEC)とは?
🔹 概要
ビジネスメール詐欺(BEC) とは、
企業の経営者や取引先になりすまし、不正に送金させる詐欺 のことです。

攻撃者は、
• 会社のメールアカウントを乗っ取る
• 実在の人物になりすました偽メールを送る
といった手口で経理担当者や社員をだまし、不正送金をさせます。

🔹 なぜBECが増えているのか?
1. メールのやり取りを利用するため、攻撃が気づかれにくい
2. 偽装メールが巧妙化し、見抜くのが難しい
3. 海外取引やリモートワークの増加で、直接確認が取りにくくなっている


📌 具体的な攻撃事例
✅ 1. 取引先を装った偽請求書詐欺
• 内容:
企業の経理担当者宛に、取引先になりすました偽の請求書 が届く。
• 手口:
• 取引先のメールアカウントをハッキング
• 偽の振込先情報を記載し、企業に送金させる
• 結果:
正規の取引と思い込み、数百万円~数億円が詐欺グループに送金される。

✅ 2. CEO なりすまし詐欺
• 内容:
攻撃者が企業のCEO(社長)になりすまし、経理担当者に送金を指示 する。
• 手口:
• CEO のメールアドレスを偽装し、「極秘の送金を頼む」などのメールを送る
• 緊急性を強調し、疑う暇を与えずに送金させる
• 結果:
企業の資金が海外の口座へ送金され、回収が困難に。

✅ 3. メールアカウント乗っ取り
• 内容:
企業のメールアカウントが乗っ取られ、取引先や社員に偽の指示を送る。
• 手口:
• フィッシングメールなどでメールアカウントの認証情報を盗む
• 乗っ取ったアカウントから従業員や取引先に送金指示を出す
• 結果:
社内や取引先の信頼関係を悪用し、不正送金を成功させる。


📌 被害を防ぐための対策
BECは「人をだます攻撃」なので、技術的な対策と社員教育の両方が重要 です。

🔹 1. メールのなりすまし対策
✅ SPF・DKIM・DMARCの設定
• SPF(Sender Policy Framework) → なりすましメールの送信元をチェック
• DKIM(DomainKeys Identified Mail) → メールの改ざんを防止
• DMARC(Domain-based Message Authentication, Reporting & Conformance) → SPF・DKIMのチェック結果に基づき、不正メールをブロック

✅ なりすましメールの警告表示
• 企業のメールシステムに外部送信者の警告メッセージを表示 させる

🔹 2. 社員教育と送金ルールの強化
✅ 送金前の本人確認を徹底
• メールだけでの送金指示は受け付けない
• 電話やビデオ通話での確認を義務化

✅ 不審なメールの特徴を周知
• メールアドレスの微妙な違い(「example.com」→「examp1e.com」など)
• 「至急」「秘密」など、緊急性を強調する内容

🔹 3. メールアカウントのセキュリティ強化
✅ 二要素認証(2FA)の導入
• メールアカウントの乗っ取りを防ぐために、パスワード+ワンタイムパスワード(OTP) を必須化

✅ パスワードの定期変更・管理強化
• 使い回しを禁止し、パスワードマネージャーを活用

✅ フィッシング対策ソフトの導入
• 怪しいメールを検出し、自動でブロック

📌 試験での出題ポイント
✅ 記述問題の対策
試験では、「ビジネスメール詐欺の手口と対策」を説明できるかが問われます。
以下のような問題が出る可能性が高い ので、しっかり対策しましょう。

Q1. ビジネスメール詐欺(BEC)とは何か?また、その被害を防ぐための対策を1つ挙げて説明せよ。

解答例:
BECとは: 企業の経営者や取引先になりすまし、不正送金を指示する詐欺。
対策: 送金前の本人確認を徹底する。メールのみでの送金指示を禁止し、電話などの別経路で確認することで被害を防ぐ。

Q2. メールのなりすましを防ぐための技術的な対策を1つ挙げ、説明せよ。

解答例:
対策: SPF(Sender Policy Framework)を設定する。
理由: 送信元IPアドレスの認証を行い、なりすましメールをブロックできるため。

✅ まとめ
• ビジネスメール詐欺(BEC)は、CEOや取引先になりすまし、不正送金を指示する詐欺
• 攻撃者はフィッシングやメールアカウントの乗っ取りを利用し、正規のやり取りを装う
• 送金前の本人確認、なりすましメール対策(SPF・DKIM・DMARC)、二要素認証の導入が有効
• 試験では「手口」「リスク」「対策」をセットで理解し、記述問題に対応できるようにする!

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?