対象試験と出題頻度
詳細をクリックして確認
情報セキュリティマネジメント試験
ITパスポート試験
基本情報技術者試験
応用情報技術者試験
★★★☆☆
ランクB(標準)
用語の定義
ビジネスメール詐欺(BEC)とは、一言で言うと「経営者や取引先になりすまして偽のメールを送り、従業員に不正な送金をさせて金銭を騙し取る詐欺手法」のことです。
イメージとしては、「社長を装った詐欺師が経理担当に電話して”今すぐ振り込め”と指示する、企業版のオレオレ詐欺」と同じです。
「BEC」は「Business Email Compromise(ビジネスメール詐欺)」の略です。標的型攻撃で入手した情報を活用し、本物の取引メールに紛れ込ませて送金先を偽の口座に変更させるなど、非常に巧妙な手口が特徴です。
解説
ビジネスメール詐欺は、1件あたりの被害額が非常に大きいサイバー犯罪です。FBIの報告によると、世界全体で数十億ドル規模の被害が発生しています。日本でも数億円規模の被害事例が報告されており、IPAの「情報セキュリティ10大脅威」でも組織向け脅威として取り上げられています。主なパターンは以下の通りです。
- 経営者なりすまし型: CEOや社長を装い、経理担当者に「至急、極秘で送金してほしい」と指示する
- 取引先なりすまし型: 取引先になりすまし、「振込先口座が変更になった」と偽の口座情報を伝える
- メールアカウント乗っ取り型: 実際のメールアカウントを乗っ取り、本物のやり取りに紛れて偽の送金指示を送る
- 弁護士・顧問なりすまし型: 弁護士や会計士を装い、機密案件として緊急送金を要求する
ビジネスメール詐欺が成功しやすい理由は、事前の情報収集が徹底されている点にあります。攻撃者は、標的企業のメールを傍受したり、SNSで役員の出張情報を収集したりして、「社長が海外出張中に経理担当へ送金指示」など、リアルな状況を作り出します。そのため、受信者は本物のメールと区別できません。
具体的な活用例・対策
ビジネスメール詐欺の被害を防ぐために、以下のような対策が有効です。
- 送金前の電話確認: 高額送金や振込先変更の依頼があった場合、必ず電話など別の手段で本人に直接確認する
- ダブルチェック体制: 送金処理は複数人でのチェック・承認を必須とし、1人の判断で実行させない
- 送金先変更の厳格化: 取引先の口座変更は、事前に登録された連絡先経由で書面確認するルールを設ける
- メールアドレスの慎重な確認: 表示名だけでなく、実際のメールアドレスを確認し、微妙な違い(例:@company.com と @cornpany.com)を見逃さない
- 従業員教育: BECの手口を具体的に周知し、「社長からの緊急依頼」でも必ず確認する文化を醸成する
- メールセキュリティの強化: DMARC、SPF、DKIMなどのメール認証技術を導入し、なりすましメールを検知する
試験ではこう出る!
情報セキュリティマネジメント試験・ITパスポート・基本情報技術者試験・応用情報技術者試験で出題されます。以下のキーワードとセットで覚えましょう。
【重要キーワード】
- BEC(Business Email Compromise)
- 標的型攻撃・スピアフィッシング
- なりすまし・プリテキスティング
- ソーシャルエンジニアリング
- DMARC・SPF・DKIM(メール認証技術)
- CEO詐欺・送金詐欺
試験問題で「経営者や取引先になりすまして送金を指示する」「振込先口座の変更を装って金銭を騙し取る」といった記述があれば、それは「ビジネスメール詐欺(BEC)」に関する記述です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ビジネスメール詐欺(BEC)に関する説明として、最も適切なものはどれでしょうか?
- A. 偽のWebサイトに誘導し、IDやパスワードを入力させて情報を詐取する手法
- B. ファイルを暗号化して使用不能にし、復旧と引き換えに身代金を要求する手法
- C. 経営者や取引先になりすまして偽のメールを送り、従業員に不正な送金をさせて金銭を騙し取る手法
正解と解説を見る
正解:C
解説:
ビジネスメール詐欺(BEC:Business Email Compromise)とは、経営者や取引先になりすまして偽のメールを送り、従業員に不正な送金をさせて金銭を騙し取る詐欺手法です。「振込先口座が変更になった」「至急、極秘で送金してほしい」などの手口で、1件あたり数千万円〜数億円の被害が発生することもあります。
Aは「フィッシング」、Bは「ランサムウェア」の説明です。BECは「なりすましによる送金指示」が特徴であり、情報を盗むフィッシングやファイルを人質に取るランサムウェアとは目的・手法が異なります。
