こんにちは!長野芽衣です!
ニセ社長ビジネスメール詐欺(BEC)とは?
ビジネスメール詐欺(BEC:Business Email Compromise)は、企業の経営層や重要な取引先になりすましてメールを送信し、従業員に対して不正な送金を指示する詐欺です。一見すると本物のメールにしか見えないため、多くの企業が被害に遭っています。
特に日本国内でも報告件数が増加しており、年間数十億円規模の被害が発生しているとされています。大手企業だけでなく、中小企業も狙われる傾向にあります。
BEC詐欺の危険性が高い理由
1. 社長や役員に完全になりすまし
ニセ社長は実在する経営者のメールアドレスに非常に似たアドレスを使用します。例えば、本来のメールアドレスが「president@example.com」なら、「presidentl@example.com」(Iとlを入れ替え)といった具合です。多くの従業員がこの違いに気づきません。
2. 緊急性を強調して判断時間を奪う
「今すぐ送金してほしい」「急ぎなので電話は不要」といった指示により、確認の時間を与えません。従業員が冷静に判断する前に送金させることが目的です。
3. 取引先になりすましたパターンも存在
経営陣だけでなく、取引先の重要人物になりすまし、請求書の振込先を変更させる手法も増えています。こうなると経理担当者も気づきにくいのです。
最新の詐欺手口を詳しく解説
手口①:CEO詐欺(CEO Fraud)
CEO詐欺は社長が海外出張中であることを理由に、直接連絡が取れないと装います。その隙をついて、「○○案件の支払いを至急処理してほしい」という指示メールを送ります。
実際の被害事例では、1回のメールで数千万円が送金されたケースも報告されています。
手口②:請求書詐欺(Invoice Fraud)
取引先の経理担当者になりすまし、「請求書の振込先が変更になった」というメールを送ります。添付ファイルに偽の請求書を付けることで、従業員に不正送金させます。
この手口は一度成功すると、繰り返し狙われる傾向があります。
手口③:納税・給与支払い詐欺
税務署や給与計算システムになりすまし、「口座番号の確認が必要」「給与振込先を更新してほしい」といった指示を送ります。
従業員の個人情報や銀行口座が詐欺グループに渡る危険性も高まります。
手口④:VEC詐欺(ベンダーメール詐欺)
メールシステムの保守業者やクラウドサービスプロバイダーになりすまし、「システムを更新する必要がある」として認証情報の入力を求めます。
この情報が流出すると、企業全体のメールシステムへのアクセスを許してしまう危険があります。
BEC詐欺の見分け方と対策
メールアドレスをよく確認する
経営陣からのメールが届いたら、アドレスを1文字ずつ確認することが重要です。フィッシングサイトへのリンクも含まれている可能性があります。
いつもと違う送金指示には電話確認
通常と異なる送金指示を受けた場合は、必ず別の連絡方法で確認してください。本物の経営陣なら確認を取ることを快く受け入れます。
詐欺の可能性がある兆候
- 社長が普段使わない表現やタイトル
- 「電話しないでほしい」という異例の指示
- 添付ファイルの形式が不自然
- メール送信時刻が業務時間外
- プロフィール画像やシグネチャが不自然
実際の被害者からの口コミ・評判
Aさん(製造業・経理担当):「社長からのメールだと思い込んで、そのまま送金指示に従おうとしました。ただ経理部長に相談したところ、怪しいと指摘されて助かりました。今回の相談で詐欺かどうか即座に判定してもらえるサービスがあることを知りました。」
Bさん(商社・事務職):「取引先のメールアドレスが少し違うだけで、完全に本物だと思い込みました。危うく架空請求を通してしまうところでした。メールの真偽を見極めるのって本当に難しいですね。」
Cさん(IT企業・システム管理者):「VEC詐欺の情報をもらったので、システムアクセス権限の認証情報を求めるメールには、すべて部門長に確認することにしました。詐欺手口を知っているだけで対策が大きく変わります。」
企業が取るべき対策とセキュリティ体制
従業員教育と訓練
定期的なセキュリティ研修を実施し、BEC詐欺の手口を周知することが最重要です。疑わしいメールに対する報告体制も整備すべきです。
システム側の対策
メール認証技術(SPF、DKIM、DMARC)の導入により、なりすましメールを自動検出することが可能です。
送金時の確認プロセス強化
一定額以上の送金には、複数の承認者による承認制度を導入し、1人の判断で送金できない体制を作ることが重要です。
怪しいメールの判定方法
自社でBEC詐欺に該当するかどうか判定するのは非常に難しく、専門的な知見が必要です。メールアドレスの微妙な違いや、送信元の確認なども含めて総合的に判断する必要があります。
最新手口はさらに巧妙に進化中
詐欺グループは常に手口を進化させています。最近では以下のような新しいパターンが報告されています。
AI技術を使用した音声なりすまし
ディープフェイク技術を使い、経営陣の声を模倣した電話をかけてくるケースもあります。メールだけでなく電話でも確認が必要な時代になってきました。
複数段階の詐欺(多段階スキーム)
最初は小額の送金でテストしておき、成功後に大型の送金指示を行う手口が増えています。
こうした最新の詐欺手口に対応するには、単なる従業員教育だけでは限界があります。プロの見極めが必要になるケースも多いのです。
怪しいメールや送金指示について専門家に相談する意義
企業内で判断がつかないメールや送金指示を受けた場合、すぐに対応するのではなく専門家に相談することが重要です。
以下のような判断が必要な場合は特に危険です:
- 海外からのメールで送金指示がある
- いつもと違う振込先からの請求
- 経営陣から直接メールで送金指示が来た
- 認証情報の変更を求められている
- システム保守業者からの不自然な連絡
これらの場合、メールアドレス、送信内容、添付ファイルなどを総合的に分析し、詐欺の可能性を判定することが必要です。
判断を誤ると企業に多大な損害をもたらす可能性があるため、「怪しいかもしれない」と感じた時点で相談することが重要です。
保育士として働きながら副業詐欺に騙された私だからこそ、あなたを守れます。
同じ失敗をさせたくないのでLINEで直接相談を受けています!
コメント