なぜ「取引先なりすまし」が怖いのか
Eメールは今やビジネスに欠かせないインフラとなっています。しかし、その利便性を逆手に取った犯罪が急増しています。その代表格が「取引先なりすまし(BEC: Business Email Compromise)」です。
これは、いわゆるフィッシング詐欺の延長ではありません。実際の取引先になりすまして「請求書の振込先変更」や「至急の送金依頼」を偽装し、企業の資金をだまし取る犯罪です。特に中小企業は、少額でも経営に直結する損失を被るため、世界的に深刻な問題になっています。
BECの典型的なシナリオ
BECは巧妙に業務メールの習慣を突いてきます。典型的な流れは次の通りです。
- 取引先のアカウントが乗っ取られる
攻撃者はメールアカウントを不正に入手し、正規の送信元を偽装する。 - 既存のスレッドに紛れ込む
以前のやり取りをそのまま引用して返信し、自然に見せかける。 - 請求書の送金先を差し替える
「銀行口座を変更しました」「海外口座への送金に切り替えました」と連絡。 - 緊急性を強調
「本日中に必要」「至急対応を」といった言葉で疑いの余地を減らす。 - 送金後に発覚するが手遅れ
入金先は海外口座で、資金は瞬時に分散されて回収は不可能になる。
米FBIの統計では、BECによる被害額はフィッシングやランサムウェアを上回る水準に達しており、数百万〜数千万円単位の損失が珍しくありません。
事例から見える共通点
BECが恐ろしいのは「違和感のなさ」にあります。
- 言葉が自然:日本語や英語の表現が極めて正確。翻訳臭さがない。
- 送信元が正規:ドメインが本物で、SPFやDKIMの検証もすり抜ける。
- 過去メールを再利用:実際の請求書テンプレや署名を流用するため本物に見える。
- 時間の制約:「本日中」「至急」などで冷静な確認を封じる。
つまり「誰も怪しいと思わない」まま被害が進行してしまうのです。
防ぎ方:中小企業でもできる実践策
技術的なセキュリティ製品も重要ですが、BECの最大の対策は業務フローそのものにあります。
- 別経路確認
送金口座変更や高額送金は必ず電話・チャットなど別のルートで再確認する。 - 承認プロセスの二重化
一人の担当が独断で送金できないよう、複数人承認を義務づける。 - メールの健全性確保
自社ドメインにSPF・DKIM・DMARCを設定し、なりすましを検出できる環境を整える。 - 社員教育の徹底
「送金先変更は必ず疑う」という意識を繰り返し浸透させる。 - 棚卸しと監査
定期的に送金先口座を見直し、不審な変更がないか監査する。
これらは大掛かりな投資を必要とせず、日常業務の延長で取り入れられる対策です。
まとめ:人と仕組みで備える
BECはウイルス感染や脆弱性攻撃とは違い、人間の心理と業務習慣を突いてきます。だからこそ、セキュリティ製品だけでは防げません。
「口座変更の依頼は必ず別経路で確認する」
「高額送金は一人で決済しない」
このようなシンプルなルールを組織に根付かせることが、最大の防御になります。
過去のウイルス事件簿が「パッチの怠慢」を突いたように、BECは「人の油断」を突いてくる。
その本質を理解し、今すぐに仕組みを整えることが、企業の未来を守る第一歩です。
