対象試験と出題頻度
「取引先から届いた請求書のメール、振込先だけがいつもと違った」。
実はそのメール、攻撃者が送った偽物かもしれません。
ビジネスメール詐欺(BEC)は、情報セキュリティマネジメント試験・ITパスポート・基本情報技術者・応用情報技術者の全区分で出題対象です。
サイバー攻撃の中でも「技術ではなく人をだます」タイプの代表格であり、フィッシングやソーシャルエンジニアリングとの違いを正確に答えられるかが得点を左右します。
対象試験と頻出度の詳細
情報セキュリティマネジメント
ITパスポート
基本情報技術者
応用情報技術者
★★★☆☆
ランクB(標準)覚えておくと有利
用語の定義
セキュリティ用語を学んでいると、「BECってフィッシングと何が違うの?どっちも偽メールでしょ?」と思いがちです。
ビジネスメール詐欺(Business Email Compromise:BEC)とは、一言で言うと
「取引先や自社の経営者になりすまし、業務メールを装って金銭をだまし取るサイバー攻撃」
です。
イメージとしては、「社長の筆跡を完コピした偽の社内メモ」です。
「至急、この口座に振り込んでおいてくれ」と書かれたメモを経理担当者が受け取ったら、書体も署名も本物そっくりなので疑わず処理してしまう。
BECはこれをメールで行い、1件あたりの被害額が数千万~数億円に達することもあります。
📊 ビジネスメール詐欺の基本情報
| 項目 | 内容 |
|---|---|
| 英語名 | Business Email Compromise(BEC) |
| 分類 | ソーシャルエンジニアリングを利用した詐欺 |
| 最終目的 | 金銭の詐取(不正送金) |
| 狙われる人 | 経理・財務担当者、経営幹部の秘書など送金権限を持つ人物 |
| 公的な参照元 | IPA「ビジネスメール詐欺(BEC)対策」特設ページ、FBI IC3年次報告 |
解説
攻撃が成立する背景
BECは、マルウェアを使わなくても成立します。攻撃者が必要とするのは「相手の業務メールに関する情報」と「もっともらしい文面」だけです。
事前に取引先同士のやり取りを盗聴したり、公開情報から役員の名前や取引内容を調べたりして、偽メールの説得力を極限まで高めます。
受信した担当者は日常業務の延長として処理してしまうため、被害に気づくのは送金後になるケースがほとんどです。
攻撃の流れ(3ステップ)
STEP 1:偵察
メールの盗聴・SNSや企業サイトの調査で、取引先名・担当者名・請求タイミングなどの業務情報を収集する。
STEP 2:なりすまし送信
取引先や経営者のメールアドレスを偽装(またはアカウントを乗っ取り)、振込先変更や緊急送金の指示を送る。
STEP 3:送金・被害発生
担当者が正規の業務と信じて送金処理を実行。攻撃者の口座に着金した時点で被害が確定する。
▲ マルウェアを使わず「メール1通」で数億円を奪う。技術対策をすり抜ける点が最大の脅威
IPAが示す5つの類型
IPA(情報処理推進機構)と米国FBI傘下のIC3は、BECを5つのタイプに分類しています。
試験で直接問われることは少ないですが、「BECには複数パターンがある」という全体像を知っておくと、事例問題での判断が速くなります。
| タイプ | 手口の概要 | 典型的なシナリオ |
|---|---|---|
| 1 | 取引メールへの割り込み | 請求書の振込先だけを差し替える |
| 2 | 経営者へのなりすまし | CEOを装い経理に緊急送金を指示 |
| 3 | メールアカウントの乗っ取り | 本物のアカウントから偽の請求を送付 |
| 4 | 社外の第三者へのなりすまし | 弁護士を装って機密案件の送金を要求 |
| 5 | 社内情報の詐取(準備段階) | 人事を装い従業員の個人情報を収集 |
※ 出典:IPA「ビジネスメール詐欺(BEC)の特徴と対策」、FBI IC3 PSA(2024年9月公開)
フィッシング・標的型攻撃との違い
「偽メールで人をだます」攻撃は他にもありますが、最終目的と狙う相手が異なります。ここだけは確実に押さえてください。
| 攻撃名 | 最終目的 | 主な標的 | 見分けキーワード |
|---|---|---|---|
| BEC | 金銭(不正送金) | 送金権限を持つ特定の担当者 | 振込先変更、経営者を装う |
| フィッシング | 認証情報の窃取 | 不特定多数の一般利用者 | 偽サイトへ誘導、ID入力 |
| 標的型攻撃 | 機密情報の窃取・長期潜伏 | 特定の組織(官公庁・企業) | マルウェア添付、APT |
判別のコツは「金銭を直接奪おうとしているか」です。偽サイトでパスワードを盗むのがフィッシング、偽メールで送金させるのがBEC、マルウェアで組織に潜伏するのが標的型攻撃。目的が違えば攻撃名も変わります。
ポイント整理|BECを3行で
・取引先や経営者を装った偽メールで、担当者に不正送金を実行させる詐欺
・IPAとFBI IC3は手口を5タイプに分類。請求書偽装・CEO詐称が代表的
・フィッシングとの決定的な違いは「金銭を直接奪う」点にある
試験ではこう出る!
BECは情報セキュリティマネジメント試験(SG)で複数回の出題実績があります。
FE・AP・IPではBEC単独というより、他の攻撃手口との比較問題の選択肢として登場するパターンが中心です。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| SG R1秋 問1 |
BECに該当するものを4つの事例から選ぶ問題。 | ・「金銭をだまし取る」がBECの判定条件 ・メールアドレスの詐称やブラックリスト登録はBECではない |
| SG サンプル 科目A 問13 |
R1秋 問1と同一構成。BECに該当する事例を選ぶ。 | ・選択肢の文言もほぼ同一の流用問題 ・SGではBECの定義を直球で問う |
| SG サンプル 科目B 問60 |
BECの事例を読み、攻撃者の偽装手口と発覚の手がかりを分析する長文問題。 | ・科目Bでは「5つのタイプのどれか」まで踏み込んだ読解が必要 ・送信元ドメインの微妙な違いを見抜く |
📝 出題パターンと対策
パターン1:「BECに該当する事例を選べ」(SG頻出)
4つの事例が並び、そのうち「金銭的被害が生じている」ものだけがBECの正解になる。メールアドレスの詐称で社会的信用を落とす行為や、スパムメール中継への悪用は、いずれもBECには当たらない。判定基準は「偽メールで送金させたか」の一点。
パターン2:他の攻撃との比較選択肢に登場(IP・FE・AP)
「フィッシングの説明はどれか」「標的型攻撃に該当する事例はどれか」といった問題の不正解選択肢としてBECの記述が登場する。「経営者を装い送金を指示」と書かれた選択肢はBECの記述なので、フィッシングや標的型攻撃の正解としては選ばない。
午前対策はこれで十分です。科目Bの事例問題では、偽メールの「送信元ドメイン」「文面の不自然さ」を手がかりに判断する読解力が加わるため、IPAの事例集に目を通しておくと安心です。
受験生が混同しやすい「偽メール3兄弟」の判別法
BEC・フィッシング・標的型攻撃メールは「偽メールで人をだます」点が共通しており、選択肢で並ぶと判断に迷います。次の2つの質問を順番に当てはめれば、3つを確実に切り分けられます。
偽メール3兄弟の判別フローチャート
YES
▼
NO
▼
YES
▼
NO
▼
▲ 「送金か?」→「マルウェアか?」の2段階で判別する。試験本番で迷ったらこの順番で考える
この判別法は簡易版ですが、午前問題の選択肢を切るには十分です。「振込先変更」「至急送金してほしい」という文言があれば、他の選択肢を検討する前にBECを第一候補にしてください。
【確認テスト】理解度チェック
Q. BEC(Business Email Compromise)に該当する事例として、最も適切なものはどれでしょうか?
- A. 実在する通販サイトを装った偽メールで偽のログインページに誘導し、利用者のIDとパスワードを盗んだ。
- B. 特定の企業を狙い、業務連絡を装ったメールにマルウェアを添付して送り、社内ネットワークに長期間潜伏した。
- C. 取引先になりすまして請求書の振込先口座を変更するよう依頼するメールを送り、攻撃者の口座に金銭を振り込ませた。
正解と解説を見る
正解:C
解説:
BECは、取引先や経営者になりすまして偽の送金指示を行い、金銭を詐取する攻撃です。選択肢Cの「振込先口座の変更を依頼し、金銭を振り込ませた」はIPAが分類するタイプ1(取引メールへの割り込み)に該当します。
選択肢Aはフィッシングの事例です。偽サイトでIDやパスワードを入力させる手口であり、金銭を直接送金させるBECとは目的が異なります。選択肢Bは標的型攻撃の事例です。マルウェアを使って組織に潜伏し機密情報を狙う手口であり、メール1通で送金を完結させるBECとは攻撃の構造が異なります。
よくある質問(FAQ)
Q. BECは中小企業でも狙われますか?
狙われます。むしろ中小企業の方が送金前の承認フローが緩く、1人の判断で送金が完了するケースが多いため標的になりやすいです。FBI IC3の報告では、2023年までの累計被害額が550億ドル(約8兆円超)に達しており、被害組織の規模は大企業に限りません。日本国内でも、海外取引のある中小製造業が振込先変更の偽メールに騙され数千万円を失った事例がIPAの注意喚起で公開されています。
Q. BECを技術的に防ぐ方法はありますか?
完全に防ぐ技術的手段はありませんが、リスクを下げる仕組みは存在します。送信ドメイン認証(SPF・DKIM・DMARC)を導入すれば、自社ドメインを詐称したメールの配信を抑止できます。ただし、BECでは攻撃者が類似ドメイン(例:example.co.jp → examp1e.co.jp)を取得して正規に送信する手口もあるため、ドメイン認証だけでは防ぎきれません。最も実効性が高いのは「振込先の変更依頼があった場合は、メール以外の手段(電話・対面)で相手に直接確認する」という業務ルールの徹底です。
Q. BECは「情報セキュリティ10大脅威」に入っていますか?
入っています。IPAが毎年公表する「情報セキュリティ10大脅威」の組織編で、BECは2018年の初登場以降、常にランクインしています。2024年版では8位に位置しており、ランサムウェアやサプライチェーン攻撃と並ぶ重大な脅威として扱われています。試験問題では10大脅威の内容と絡めた出題もあり得るため、上位の脅威名と概要は押さえておくのが得策です。
Q. もしBECで送金してしまったら、お金は取り戻せますか?
送金直後であれば取り戻せる可能性があります。まず送金元の金融機関に連絡し、送金の組戻し(取消)を依頼してください。海外送金の場合は相手国の金融機関との調整が必要になるため、時間との勝負です。警察への被害届とIPAへの報告も並行して行います。ただし、攻撃者が即座に別口座へ資金を移動させるケースがほとんどで、全額回収は難しいのが実情です。だからこそ「送金前に別経路で確認する」予防が最重要になります。
この用語の前後関係
前提知識:ソーシャルエンジニアリング / フィッシング
関連用語:標的型攻撃(APT) / ランサムウェア / サプライチェーン攻撃
対策・発展:DMARC / 多要素認証 / 送金承認フローの多段化
