経理担当者のもとに、長く取引のある仕入先から一通のメールが届きました。「振込先の銀行を変更しました。今月分から新しい口座へお願いします」。過去のやり取りの引用も添えられ、担当者名も署名もいつもどおり。担当者は当然のように振込先を書き換え、支払いを実行しました。数週間後、本物の仕入先から「入金が確認できない」と連絡が来て、初めてすり替えに気づきます。
これがBEC(Business Email Compromise、ビジネスメール詐欺)です。ウイルスも不正アクセスも使わず、正規の業務メールに紛れ込んで、送金や情報提供を「正しい手続き」として通させる。米国のFBIは、BECを長年にわたり最も被害額の大きいサイバー犯罪のひとつに挙げています。国内でも、大手企業が数億円規模をだまし取られた事例が報じられました。その入口になるのが、狙い撃ちの標的型メール、スピアフィッシングです。
スピアフィッシング/BECは、派手に驚かせてくるわけではありません。日常の業務フローにそっと溶け込んできます。文面がおかしいから気づく、では守れません。守りの軸は「振込先の変更や高額送金は、メールだけで完結させない」という業務ルールと、それを崩さずに回す訓練にあります。
何が起きたか
攻撃者はまず、標的の企業と取引関係を調べます。誰が経理で、誰が承認者で、どんな取引先とやり取りしているか。企業サイト、プレスリリース、SNS、名刺情報の流出。ここから「本物らしいメール」を作るための材料を集めます。
次に、なりすまし方を選びます。取引先を装う型、自社の役員を装う型、あるいは実際にどこかのメールアカウントを乗っ取って本物のスレッドに割り込む型。いちばん厄介なのは最後で、本物の過去メールを引用しながら「口座だけ変更してほしい」と自然に頼んできます。受け手からは、いつもの相手との普通の連絡にしか見えません。
そして仕上げが、送金や情報提供の依頼です。「振込先の変更」「至急の支払い」「機密だから内密に」。どれも業務のなかでは起こりうる依頼なので、疑う理由が生まれにくいのです。
手口の分解
下調べ
標的企業の取引関係・決裁者・経理担当を、公開情報や流出データから特定します。誰に、誰の名前で送れば通るかを設計します。
侵入または偽装
取引先や自社のメールアカウントを乗っ取るか、本物そっくりのアドレス(一文字違いなど)を用意します。本物のスレッドに割り込めれば、成功率は跳ね上がります。
信頼の横取り
過去のやり取りを引用し、署名も文体も本物に寄せます。関係性そのものを乗っ取り、「いつもの相手」として振る舞います。
すり替えの依頼
「振込先を変更した」「至急この口座へ」と、送金や機密提供を自然に頼みます。月末や決算期など、確認が甘くなる時期を狙ってきます。
回収
着金後、資金は速やかに引き出されます。気づくのは、本物の相手から「入金がない」と言われたときで、たいてい手遅れです。
なぜここまで自然になったのか
従来の詐欺メールは、不自然な日本語や、あからさまに怪しい件名で見分けられました。その手がかりが、AIによって消えつつあります。攻撃者は生成AIを使い、取引の文脈に合った自然な日本語のメールを、いくらでも量産できます。敬語も業界用語もこなれていて、「文面がおかしいから偽物」という判断は、もう通用しません。
下調べも効率化されました。公開情報を集めて要約し、「この担当者に、この取引先の名前で、こういう口実で送ると通りやすい」という当たりを、以前よりずっと速くつけられます。かつては攻撃者が手間をかけて一件ずつ仕込んでいた標的型が、半自動で数を撃てるようになりました。
BECが恐ろしいのは、技術的な「侵入」の痕跡が残らないことです。ウイルス対策ソフトも、不正アクセス検知も、正規のメールと正規の送金には反応しません。すべてが「正しい手続き」として実行される。だから、システムの防御をどれだけ固めても、この手口はすり抜けてしまいます。
BECは、正規の操作の組み合わせで成立します。防御の主戦場はシステムではなく、業務プロセスです。「振込先の変更や高額の送金を、メール一通の指示だけで実行できてしまう」という業務の隙こそが、狙われている本当の穴です。
被害と、見過ごされがちな兆候
被害は直接の金銭だけにとどまりません。だまし取られた資金は取り戻せないことが多く、取引先との信頼関係にも傷がつきます。「あの会社は詐欺に振り込んだ」という話は、経理や与信の現場で長く尾を引きます。さらに、乗っ取られたのが自社アカウントだった場合、今度は自社が取引先を狙う踏み台にされてしまいます。
それでも、振り返ってみれば違和感のサインは出ていることが多いのです。
- 「振込先の口座を変更したい」という、金銭に直結する依頼がメールで来た
- 送信元アドレスが本物と一文字違いで、ドメインが微妙に異なっていた
- 「至急」「今日中」「内密に」と、確認や相談を避けさせる圧があった
- いつもの担当者なのに、返信すると別のアドレスに飛ぶ設定になっていた
- 金額・タイミング・依頼の経路が、普段の取引とどこか噛み合わなかった
ここでも、一つひとつは決定打になりません。ただ「お金の宛先が変わる」依頼が来たら、それだけで確認に回す。この一線を全員が持てれば、多くは止まります。逆に言えば、忙しさや相手への遠慮でその一線を越えてしまう瞬間が、狙われています。
組織としての対策
1. 「口座変更・高額送金はメールで完結させない」を鉄則にする
振込先の変更や一定額以上の送金は、メール以外の経路――電話、対面、あらかじめ登録した窓口――で必ず裏を取ります。しかも、届いたメールに書かれた連絡先ではなく、こちらが元から持っている連絡先にかけ直す。この一手を例外なく回すことが、いちばん効きます。
2. なりすましを見抜く仕組みを技術側でも用意する
送信ドメイン認証(SPF・DKIM・DMARC)を整え、社外からのなりすましメールに警告を出します。似たドメインの検知や、外部メールの明示表示も助けになります。人の注意力だけに頼らず、機械が拾えるものは機械に拾わせておきます。
3. 承認と相談が「遅れず・責められず」回る空気をつくる
確認のために送金を止めたら怒られる、という空気があると、担当者は忖度して流してしまいます。「お金の宛先が変わったら確認するのが正しい行動だ」と、組織として明言しておく。止めて確認することが評価される状態が、最後の砦になります。
「自然すぎて疑えないメール」を、業務のなかで一度受けておく
supasecurity AI訓練は、取引先や役員になりすました標的型メールの訓練シナリオを配信します。実際の業務メールに紛れた形で送り、誰が開いたか、誰が確認に回さず処理しようとしたかがデータに残ります。うっかり進めてしまった人には、その場で「なぜ確認が必要だったか」を短く学び直してもらう。頭で分かっていても崩れるからこそ、業務の流れのなかで一度通しておく意味があります。
- 取引先・役員なりすまし、口座変更依頼など、実際の型に沿った標的型メールを配信します
- 開封だけでなく「確認に回したか/そのまま処理したか」まで部署・役割ごとに可視化します
- 引っかかった人へ、別経路確認の習慣を身につける教材を自動で配信し、経営層への報告まで一気通貫でまかなえます
スピアフィッシングとBECは、システムの穴ではなく、業務の流れの隙を突いてきます。だから守りも、業務の側で組みます。お金の宛先が変わる依頼は必ず別経路で確かめる。なりすましは機械にも見張らせる。そして、止めて確認する人が損をしない空気をつくる。そのうえで、疑えないほど自然なメールを訓練で一度受けておけば、本番で手が止まります。ここが分かれ目になります。