そのメール、本当に社長からですか?
ビジネスメール詐欺(BEC)入門
「至急・極秘で送金して」――巧妙ななりすましメールで大金をだまし取る手口を、
経理・総務の担当者にもわかるようにやさしく解説します。
BECとは?
ウイルスではなく「人の心理」を突く、被害額の大きな詐欺
業務メールになりすまして、お金を振り込ませる詐欺
BEC(Business Email Compromise=ビジネスメール詐欺)は、社長や取引先を装ったメールで担当者をだまし、偽の口座へ送金させる犯罪です。マルウェアを使わず、業務の慣習と「急がされると確認を省く」心理を突くのが特徴。1件で数千万〜数億円の被害が出ることもあり、フィッシングの中でも特定の企業を狙い撃ちする「標的型」に分類されます。
🔎 BECが成立する流れ
主な手口4パターン
あなたの会社に届くのは、どのタイプ?
だましの共通サイン
手口は違っても、危険信号はいつも同じ
緊急性で急かす
「今日中に」「至急」「私は会議中で連絡が取れない」――冷静に確認する時間を奪おうとします。
秘密を強要する
「この件は他言無用」「まだ社内に言わないで」は、上司や同僚への相談・確認をさせない孤立化の罠です。
振込先の変更を求める
突然の口座変更、会社ではなく個人名義の口座、いつもと違う海外送金は強い警戒サインです。
アドレスが1文字違い
「rn」を「m」に見せる、末尾が .co.jp ではなく .co、社員なのにフリーメール――送信元は指さし確認を。
今日からできる対策
「一人で送金を完結させない」仕組みが命綱
コールバック確認
送金・口座変更は、登録済みの番号へ電話して本人確認。メール返信はNG
複数人で承認
一定額以上はダブルチェックを必須化し、独断送金を禁止
メール技術対策
SPF / DKIM / DMARC でなりすまし対策、MFAで乗っ取り防止
教育・訓練
「至急・秘密・口座変更」の3点セットは疑う、を全社で共有
メールの本文に書かれた電話番号やリンクは使わないこと。名刺や社内システムに登録された正規の連絡先から確認するのが鉄則です。攻撃者は「返信先(Reply-To)」だけを別アドレスにすり替えることもあります。
もし送金してしまったら
BECは時間との勝負。すぐ動けば取り戻せることも
① 送金先の金融機関へすぐ連絡し、口座凍結・組戻しを依頼(一刻を争います)
② 警察(サイバー犯罪相談 #9110)へ通報
③ 自社のメールのパスワード変更・不正アクセス調査を行い、取引先にも注意喚起
🎮 遊んで鍛える「BEC見破り訓練」
読むだけでは、いざという時に見抜けません。実際の偽メールそっくりの受信画面で、危険箇所をタップして「詐欺 / 本物」を判定する体験型ゲームを用意しました。全10ケース(本物3件の“ひっかけ”つき)で、あなたの見破り力を採点します。
bec-mail-buster.html


コメント