FE EXAM

ビジネスメール詐欺(BEC・なりすまし送金詐欺)

取引先や経営者になりすましたメールで送金などをだまし取る詐欺。

DIAGRAM
詐欺師(なりすまし)
経理担当者
送金
取引先や経営者になりすまし、担当者に攻撃者の口座へ送金させる🎭詐欺師経営者・取引先になりすまし「至急、下記口座へ送金を」社長や取引先を装った文面「振込先が変わりました」口座は攻撃者のもの🧑‍💼経理担当者本物の依頼だと信じる💰 攻撃者の口座へ送金してしまう
解説

📌
BECとは

偉い人や取引先のフリで送金させるなりすまし社長・取引先💰→担当者が送金偽の口座へ

ビジネスメール詐欺(BEC)とは、取引先や自社の経営者になりすましたメールで担当者をだまし、攻撃者の口座へ送金させるなどして金銭をだまし取る詐欺のことです。BEC は「Business E-mail Compromise」の略です。

身近な例で考えると、社長になりすました偽の電話で「急いでこの口座に振り込んでくれ」と指示される、いわゆる「振り込め詐欺」の会社版です。相手が偉い人や大事な取引先に見えるほど、断りにくくなります。

狙われるのは主に送金を扱う経理担当者です。技術的にシステムを破るのではなく、人をだまして自分から送金させる点が特徴で、被害額が大きくなりやすい詐欺です。上の図解のように、なりすましメールから送金までが一連の流れになります。

📌
なりすましの手口

経営者なりすまし「至急送金を」権威で急がせる取引先なりすまし「振込先が変更」偽口座へ誘導本物そっくりの文面で信じ込ませる

BECで使われるなりすましには、主に次のパターンがあります。
経営者へのなりすまし:社長やCEOを装い「至急この口座へ送金してほしい」と権威を使って急がせる
取引先へのなりすまし:いつもの取引先を装い「振込先の口座が変わった」と偽の口座を伝える
メールアカウントの乗っ取り:本物の関係者のアカウントを盗み、そこから本物のやり取りに割り込む

共通するのは、「急がせて冷静な確認をさせない」点です。「今日中に」「内密に」といった言葉で焦らせ、担当者が周囲に相談したり裏取りしたりする時間を奪います。

差出人のメールアドレスも、正規のものと一文字だけ違うよく似たドメインを使うなど、ぱっと見では気づきにくい工夫がされています。だからこそ、文面の信ぴょう性だけで本物と判断するのは危険です。

📌
対策

送金依頼口座変更別経路で確認+複数人承認メールだけで送金しない

BECは人をだます詐欺なので、技術と業務ルールの両面で備えます。
別経路で本人確認:送金や振込先変更の依頼は、メールに返信せず電話など別の手段で正規の相手に確認する
複数人での承認:高額な送金には複数人の承認を必要とするルールを設け、1人の判断で送金できないようにする
差出人・ドメインの確認:差出人アドレスやドメイン(=送信元の住所のこと)が正規のものか、よく似た偽物でないか確認する

とくに効果が大きいのが「お金が動く依頼は必ず別経路で裏取りする」というルールです。電話でひと言確認するだけで、なりすましメールの大半は通用しなくなります。

あわせて、多要素認証(=パスワードに加えてスマホの確認などを組み合わせる仕組み)でメールアカウントの乗っ取りを防ぐことも重要です。本物のアカウントが奪われると、なりすましがいっそう見抜きにくくなるためです。

練習問題

🎯
基本情報技術者 練習問題

Q1.ビジネスメール詐欺(BEC)の説明として最も適切なものはどれか。
A.取引先や経営者になりすましたメールで、送金などをだまし取る詐欺
B.サーバを過負荷にしてサービスを停止させる攻撃
C.ファイルを暗号化して身代金を要求する攻撃
D.通信を暗号化して盗聴を防ぐ仕組み
Q2.BECでよく使われるなりすましの手口はどれか。
A.取引先や経営者を装い、急ぎの送金や振込先の変更を依頼する
B.正規の更新プログラムを自動で配布する
C.社内の電話帳を全員に配布する
D.会議の議事録を全社員に共有する
Q3.BECへの対策として適切でないものはどれか。
A.送金や振込先変更の依頼は、電話など別の手段で正規の相手に確認する
B.高額な送金には複数人の承認を必要とするルールを設ける
C.メールに書かれた依頼を、内容を疑わずそのまま実行する
D.差出人アドレスやドメインが正規のものか確認する

関連コンテンツ