いつもの取引先から、いつもの調子のメールが届きます。 「お世話になっております。弊社の銀行口座が変更になりましたので、 今月分のお支払いは下記の新口座にお願いいたします」——。
疑う理由のないメールに見えます。しかし、この「振込先変更」こそ、 ビジネスメール詐欺(BEC: Business Email Compromise)の典型的な入口です。 振り込んでしまえば、お金は原則戻りません。しかも被害に気づくのは、 本物の取引先から「入金がまだですが」と連絡が来たとき——数週間後です。
ランサムウェアより「地味で身近」な脅威
サイバー攻撃と聞くとランサムウェアのような 派手な攻撃を想像しますが、ビジネスメール詐欺は対照的に地味です。 ウイルスも使わないことが多く、武器はメールの文面だけ。 それでいて、1回の被害額が数百万円〜数億円になり得ます。
中小企業にとって厄介な点が3つあります。
- 気づきにくい: システムは何も壊れません。正常な業務として振込が実行されます
- 戻らない: 振込先はすぐに引き出されるか海外口座で、回収は困難です
- 技術で防ぎきれない: 最後に振り込むのは人間なので、ウイルス対策ソフトでは止まりません
代表的な4つの手口
1. 取引先へのなりすまし(請求書・振込先の偽装)
冒頭の例です。実在の取引先を装い、偽の請求書や「振込先変更のお願い」を 送ってきます。本物の請求書とほぼ同じ体裁で、金額も実際の取引に 近いことが多い。後述のとおり、実際のやり取りを盗み見た上で 送ってくるためです。
2. 経営者へのなりすまし(社長を名乗る送金指示)
「社長」から経理担当者へ、「極秘の案件だ。今日中にこの口座へ振り込んでほしい。 他言無用で頼む」といったメールが届きます。 急がせる・口止めする・普段と違う経路を指定するのが特徴です。 社長に直接確認しづらい社風ほど刺さります。
3. 弁護士・専門家へのなりすまし
「御社のM&A案件を担当している弁護士です」など、権威のある第三者を装って 送金を指示するパターン。手口2と組み合わせて使われます。
4. メールアカウントの乗っ取り
最も深刻なパターンです。弱いパスワードや使い回しで 自社や取引先のメールアカウントが乗っ取られると、攻撃者は数週間〜数ヶ月、 黙ってやり取りを読み続けます。取引の内容、金額、支払いのタイミング、 担当者の文体まで把握した上で、支払い直前という完璧なタイミングで 「振込先変更」を差し込んでくるのです。
この場合、メールは本物のアドレスから届くため、 アドレスをいくら確認しても見抜けません。
なぜ見抜けないのか
「そんな詐欺に引っかかるわけがない」と思うかもしれません。 しかし実際の手口は、次の点で巧妙です。
- 文面が自然: 実際のやり取りを読んでいるので、話の流れも敬称も違和感がありません。近年は生成AIにより、日本語の不自然さもほぼなくなりました
- アドレスがそっくり:
@example.co.jpを@examp1e.co.jpにする、.co.jpを.comにするなど、一見して区別のつかない偽ドメインが使われます - タイミングが本物: 実際に支払いが発生する時期に合わせて届きます
- 忙しい月末を狙う: 確認を省略しがちな状況を突いてきます
つまり「注意深く読めば見抜ける」に頼る対策は、いつか破られます。 必要なのは、見抜けなくても被害に至らない仕組みです。
会社として決めておく対策
1. 振込先の変更は、メール以外の経路で必ず確認する(最重要)
「振込先の新規登録・変更は、登録済みの電話番号に電話して本人に確認してから」—— このルールを1行、経理の手順に入れるだけで、手口1と4の大半は止まります。
重要なのは、メールに書かれた電話番号ではなく、 以前から知っている番号にかけることです。メールが偽物なら、 そこに書かれた番号も偽物です。
2. 高額送金は二人で承認する
一定額以上の振込は、担当者一人で完結させず、必ず二人目の確認を挟みます。 インターネットバンキングの承認機能(作成者と承認者を分ける設定)を 使えば、仕組みとして強制できます。手口2の「社長からの極秘指示」も、 「規程により承認手続きが必要です」と返せば、それだけで詐欺は崩れます。
3. メールアカウントを乗っ取られない
手口4の根本対策です。メールに2要素認証を必須にし、 パスワードの使い回しをやめる。共有アカウントは 乗っ取りに気づきにくくするため、これも解消を。
4. 「変だと思ったら確認する」を推奨する空気を作る
「社長のメールを疑うのか」と叱られる職場では、確認の電話はかかってきません。 確認されて困るのは詐欺師だけです。急がせる・口止めする送金指示ほど 確認する、を全社の共通認識にしてください。
もし振り込んでしまったら
時間との勝負です。順番に、即座に動いてください。
- 振込先の銀行と自社の銀行に電話する: 「組戻し」や口座凍結の依頼をします。振込直後なら資金が残っている可能性があります
- 警察に通報する: 都道府県警のサイバー犯罪相談窓口(#9110)へ。振り込め詐欺救済法に基づく口座凍結には警察への届け出が効きます
- 本物の取引先に連絡する: 相手側のメールが乗っ取られている可能性があるためです。放置すると他社にも被害が広がります
- 自社のメールを点検する: 自社側が乗っ取られていた場合、パスワード変更と2要素認証の設定、不審な転送設定(攻撃者が仕込む自動転送)の削除を行います
まとめ
ビジネスメール詐欺は、システムではなく業務の手順の隙を突く攻撃です。 だから対策もシステムだけでは完結せず、「振込先変更は電話で確認」 「高額送金は二人承認」という手順のルール化が最も効きます。 費用はかからず、今週から始められます。
「うちの経理の流れだと、どこにルールを入れるのが現実的か」 「メールの2要素認証をどう設定すればいいか分からない」といった場合は、 現在の体制を添えて無料相談からどうぞ。