スピアフィッシング / BEC

取引先を名乗るメール一通で、振込先が書き換わる

不特定多数にばらまく詐欺ではありません。相手を調べ上げ、本物のやり取りに割り込み、請求書の口座だけをすり替える。件名も文面も自然で、経理の確認フローをそのまま通り抜けていきます。狙い撃ちの標的型メールと、その延長にあるBEC(ビジネスメール詐欺)を分解します。

解説 読了 約8分 2026年6月
役員を装う標的型メールが、企業の組織図を背景に狙い撃ちされる情景

経理担当者のもとに、長く取引のある仕入先から一通のメールが届きました。「振込先の銀行を変更しました。今月分から新しい口座へお願いします」。過去のやり取りの引用も添えられ、担当者名も署名もいつもどおり。担当者は当然のように振込先を書き換え、支払いを実行しました。数週間後、本物の仕入先から「入金が確認できない」と連絡が来て、初めてすり替えに気づきます。

これがBEC(Business Email Compromise、ビジネスメール詐欺)です。ウイルスも不正アクセスも使わず、正規の業務メールに紛れ込んで、送金や情報提供を「正しい手続き」として通させる。米国のFBIは、BECを長年にわたり最も被害額の大きいサイバー犯罪のひとつに挙げています。国内でも、大手企業が数億円規模をだまし取られた事例が報じられました。その入口になるのが、狙い撃ちの標的型メール、スピアフィッシングです。

この記事の要点

スピアフィッシング/BECは、派手に驚かせてくるわけではありません。日常の業務フローにそっと溶け込んできます。文面がおかしいから気づく、では守れません。守りの軸は「振込先の変更や高額送金は、メールだけで完結させない」という業務ルールと、それを崩さずに回す訓練にあります。

何が起きたか

攻撃者はまず、標的の企業と取引関係を調べます。誰が経理で、誰が承認者で、どんな取引先とやり取りしているか。企業サイト、プレスリリース、SNS、名刺情報の流出。ここから「本物らしいメール」を作るための材料を集めます。

次に、なりすまし方を選びます。取引先を装う型、自社の役員を装う型、あるいは実際にどこかのメールアカウントを乗っ取って本物のスレッドに割り込む型。いちばん厄介なのは最後で、本物の過去メールを引用しながら「口座だけ変更してほしい」と自然に頼んできます。受け手からは、いつもの相手との普通の連絡にしか見えません。

そして仕上げが、送金や情報提供の依頼です。「振込先の変更」「至急の支払い」「機密だから内密に」。どれも業務のなかでは起こりうる依頼なので、疑う理由が生まれにくいのです。

企業間のメールの流れに割り込み、一通だけを別の宛先へすり替えて送金を横取りする様子を抽象化した図
正規のやり取りの流れに割り込み、請求書の口座だけをすり替える。送金は、書き換わった先へそのまま流れていきます。

手口の分解

下調べ

標的企業の取引関係・決裁者・経理担当を、公開情報や流出データから特定します。誰に、誰の名前で送れば通るかを設計します。

侵入または偽装

取引先や自社のメールアカウントを乗っ取るか、本物そっくりのアドレス(一文字違いなど)を用意します。本物のスレッドに割り込めれば、成功率は跳ね上がります。

信頼の横取り

過去のやり取りを引用し、署名も文体も本物に寄せます。関係性そのものを乗っ取り、「いつもの相手」として振る舞います。

すり替えの依頼

「振込先を変更した」「至急この口座へ」と、送金や機密提供を自然に頼みます。月末や決算期など、確認が甘くなる時期を狙ってきます。

回収

着金後、資金は速やかに引き出されます。気づくのは、本物の相手から「入金がない」と言われたときで、たいてい手遅れです。

なぜここまで自然になったのか

従来の詐欺メールは、不自然な日本語や、あからさまに怪しい件名で見分けられました。その手がかりが、AIによって消えつつあります。攻撃者は生成AIを使い、取引の文脈に合った自然な日本語のメールを、いくらでも量産できます。敬語も業界用語もこなれていて、「文面がおかしいから偽物」という判断は、もう通用しません。

下調べも効率化されました。公開情報を集めて要約し、「この担当者に、この取引先の名前で、こういう口実で送ると通りやすい」という当たりを、以前よりずっと速くつけられます。かつては攻撃者が手間をかけて一件ずつ仕込んでいた標的型が、半自動で数を撃てるようになりました。

標的企業の組織図やメールのやり取り、担当者のプロフィールを集めて攻撃計画を組み立てる情景
公開情報から決裁者・担当・取引関係を割り出し、「誰の名前で、誰に、どう頼めば通るか」を組み立てます。この下調べもAIで速くなりました。

BECが恐ろしいのは、技術的な「侵入」の痕跡が残らないことです。ウイルス対策ソフトも、不正アクセス検知も、正規のメールと正規の送金には反応しません。すべてが「正しい手続き」として実行される。だから、システムの防御をどれだけ固めても、この手口はすり抜けてしまいます。

技術の壁より、業務の壁で止める

BECは、正規の操作の組み合わせで成立します。防御の主戦場はシステムではなく、業務プロセスです。「振込先の変更や高額の送金を、メール一通の指示だけで実行できてしまう」という業務の隙こそが、狙われている本当の穴です。

被害と、見過ごされがちな兆候

被害は直接の金銭だけにとどまりません。だまし取られた資金は取り戻せないことが多く、取引先との信頼関係にも傷がつきます。「あの会社は詐欺に振り込んだ」という話は、経理や与信の現場で長く尾を引きます。さらに、乗っ取られたのが自社アカウントだった場合、今度は自社が取引先を狙う踏み台にされてしまいます。

それでも、振り返ってみれば違和感のサインは出ていることが多いのです。

ここでも、一つひとつは決定打になりません。ただ「お金の宛先が変わる」依頼が来たら、それだけで確認に回す。この一線を全員が持てれば、多くは止まります。逆に言えば、忙しさや相手への遠慮でその一線を越えてしまう瞬間が、狙われています。

組織としての対策

口座変更を求めるメールを、送金前に別経路(電話のかけ直し)で確認して止める仕組みの図
お金の宛先が変わる依頼は、メールで完結させない。届いた連絡先ではなく、元から持っている連絡先へかけ直して裏を取ります。

1. 「口座変更・高額送金はメールで完結させない」を鉄則にする

振込先の変更や一定額以上の送金は、メール以外の経路――電話、対面、あらかじめ登録した窓口――で必ず裏を取ります。しかも、届いたメールに書かれた連絡先ではなく、こちらが元から持っている連絡先にかけ直す。この一手を例外なく回すことが、いちばん効きます。

2. なりすましを見抜く仕組みを技術側でも用意する

送信ドメイン認証(SPF・DKIM・DMARC)を整え、社外からのなりすましメールに警告を出します。似たドメインの検知や、外部メールの明示表示も助けになります。人の注意力だけに頼らず、機械が拾えるものは機械に拾わせておきます。

3. 承認と相談が「遅れず・責められず」回る空気をつくる

確認のために送金を止めたら怒られる、という空気があると、担当者は忖度して流してしまいます。「お金の宛先が変わったら確認するのが正しい行動だ」と、組織として明言しておく。止めて確認することが評価される状態が、最後の砦になります。

supasecurity AI訓練でどう訓練するか

「自然すぎて疑えないメール」を、業務のなかで一度受けておく

supasecurity AI訓練は、取引先や役員になりすました標的型メールの訓練シナリオを配信します。実際の業務メールに紛れた形で送り、誰が開いたか、誰が確認に回さず処理しようとしたかがデータに残ります。うっかり進めてしまった人には、その場で「なぜ確認が必要だったか」を短く学び直してもらう。頭で分かっていても崩れるからこそ、業務の流れのなかで一度通しておく意味があります。

  • 取引先・役員なりすまし、口座変更依頼など、実際の型に沿った標的型メールを配信します
  • 開封だけでなく「確認に回したか/そのまま処理したか」まで部署・役割ごとに可視化します
  • 引っかかった人へ、別経路確認の習慣を身につける教材を自動で配信し、経営層への報告まで一気通貫でまかなえます
訓練メニューの資料を見る

スピアフィッシングとBECは、システムの穴ではなく、業務の流れの隙を突いてきます。だから守りも、業務の側で組みます。お金の宛先が変わる依頼は必ず別経路で確かめる。なりすましは機械にも見張らせる。そして、止めて確認する人が損をしない空気をつくる。そのうえで、疑えないほど自然なメールを訓練で一度受けておけば、本番で手が止まります。ここが分かれ目になります。

まずは資料から

「正しい手続きに見える詐欺」に、備えを

supasecurity AI訓練のサービス概要と、標的型メール訓練を含むメニュー・料金表をまとめてお送りします。