なぜメールで確認してはいけないのですか？

メールアカウントそのものが乗っ取られている可能性があるからです。アカウント侵害型のBECでは、攻撃者が本物のメールアカウントに侵入してやり取りを監視しています。この状態でメールで「この振込先で合っていますか？」と確認しても、その確認メールは攻撃者に届き、「はい、合っています」と返信されるだけです。だからこそ、メール以外の経路、特に以前から登録されている「いつもの電話番号」に電話して、本人の口から直接確認することが重要なのです。

送金してしまった場合、お金は取り戻せますか？

一刻も早い対応が鍵です。送金に気づいたら直ちに振込元の銀行に連絡し、組戻し（くみもどし）の手続きを依頼してください。着金前であれば取り戻せる可能性があります。同時に警察に被害届を出し、送金先が海外の場合は特に迅速な対応が求められます。ただし、BEC詐欺の多くは海外口座を指定し、着金後すぐに資金が引き出されるため、回収は非常に困難です。だからこそ、送金前の確認プロセスが決定的に重要になります。

小さな会社でも狙われますか？

会社の規模を問わず狙われます。BEC詐欺は大企業だけでなく、中小企業も標的になります。むしろ、送金プロセスのチェック体制が手薄な中小企業のほうが、犯人にとって成功しやすい場合があります。海外と取引のある企業、定期的に高額送金を行う企業は特に注意が必要です。「うちは小さいから大丈夫」という油断は禁物で、規模に関わらず、送金時の本人確認プロセスと複数承認の仕組みを整えておくことが重要です。

ビジネスメール詐欺とフィッシングの違いは何ですか？

標的と手口が異なります。フィッシングは不特定多数に偽メールを送り、偽サイトでID・パスワードなどを入力させる広く浅い攻撃です。ビジネスメール詐欺は特定の企業を狙い撃ちし、事前調査で取引先やCEOになりすまして、特定の担当者に高額送金を指示する標的型の攻撃です。BECは一般的なフィッシングより手間をかけて準備され、1件あたりの被害額が桁違いに大きいのが特徴です。両者が組み合わさり、フィッシングでアカウントを乗っ取ってからBECを仕掛けるケースもあります。

ビジネスメール詐欺とは？なりすましで送金させるBECの手口

ビジネスメール詐欺とは？ざっくりと3行で

ビジネスメール詐欺（BEC）とは、取引先や自社のCEOになりすました偽メールで、振込先口座の変更を指示するなどして企業の担当者に犯人の口座へ送金させる詐欺のことだ。
攻撃者は事前にメールのやり取りを盗み見て本物そっくりの文面を作り、請求書が発行されそうなタイミングを狙って偽の振込先を指示し、担当者がいつもの取引と思い込んで一度に数億円を送金してしまう。
仕組みを知っておけば、不審な送金依頼はメールではなくいつもの電話番号で本人確認するというプロセスが徹底でき、巨額の誤送金を防げる。

【深掘り】これだけは知っておけ
1. ビジネスメール詐欺の主な手口（FBI分類）
典型的なフレーズ・文脈
困ったときの相談窓口
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
この手口が実際に使われた事件

【深掘り】これだけは知っておけ

ビジネスメール詐欺のこわさは、1件あたり1億円以上、時に数十億円という被害額の大きさと、本物そっくりの文面で「いつもの取引」と思い込ませる巧妙さにあります。生成AIの普及で文面の自然さがさらに増しています。

ビジネスメール詐欺（Business Email Compromise、BEC）は、取引先や自社の経営者になりすました偽メールで、従業員をだまして犯人の口座へ送金させるサイバー攻撃です。警察庁も注意喚起しており、攻撃者は実際の取引先や経営者層になりすまし、振込先口座の変更を指示するなどして、攻撃者が指定する銀行口座へ送金させます。多くは海外の銀行口座を指定し、一度送金すると回収は非常に困難です。FBIは5つの主な手口を定義しています。CEO詐欺（CEOや幹部になりすまし財務担当に送金要求）、アカウント侵害（従業員のメールアカウントを乗っ取り）、偽の請求書スキーム（取引先を装い不正口座へ送金要求）、弁護士なりすまし（法的代理人を装い圧力をかける）などです。

日本でも高額被害が確認されています。2017年には国内航空メーカーが取引先を装ったメールに誘導され約3億8,400万円の被害を受け、2022年には国内大手企業の米国子会社が経営幹部を装う偽指示で約360万米ドル（約5億円）を流出させました。米国インターネット犯罪苦情センター（IC3）によると、BEC詐欺の被害額は2023年に約29億ドル（約4,190億円）に達し、投資詐欺に次ぐ2位となっています。近年はディープフェイクを使った手口や、LINEグループを悪用した「ニセ社長詐欺」など多様化しています。攻撃者は事前に取引先のシステムに侵入してやり取りを盗み見て、請求書が発行されそうなタイミングで偽請求書を送るため、受信者は疑わずに送金してしまいます。

最も実効的な対策は、不審な送金依頼や口座変更の指示があったとき、メールで返信するのではなく、「いつもの電話番号」に電話して本人に直接確認することです。メールアカウントが乗っ取られている場合、メールでの確認は犯人に届くだけなので、必ず別経路で確認してください。

組織的な対策として、振込先口座の変更指示には必ず電話など別経路で本人確認するプロセスを業務ルール化すること。高額送金には複数人の承認を必須にすること。経理担当者にBEC詐欺の研修を実施すること。メールアカウントに多要素認証を設定し、不正アクセスを防ぐこと。送信元メールアドレスのドメインを注意深く確認すること（似て非なるドメインに注意）。「至急」「内密に」と急かす送金依頼は警戒すること。生成AIにより文面の不自然さでの判別が難しくなっているため、文面の巧拙ではなく「送金プロセスそのものを多重チェックする」仕組みが、BEC詐欺への最も確実な防御になります。

ビジネスメール詐欺の主な手口（FBI分類）

手口	仕組み	標的
CEO詐欺	CEO・幹部を装い送金要求	財務・経理担当者
偽の請求書スキーム	取引先を装い口座変更を指示	支払い担当者
アカウント侵害	従業員のメールを乗っ取り悪用	取引先・社内
弁護士なりすまし	法的代理人を装い圧力をかける	下位レベルの従業員

典型的なフレーズ・文脈

詐欺師

（取引先を装うメール）いつもお世話になっております。弊社の決済銀行変更に伴い、今月分のご請求より下記の新口座へお振込みをお願いいたします。なお監査の都合上、本件は内密にご対応いただけますと幸いです。至急ご対応をお願いします。

取引先になりすまし、請求のタイミングで偽の振込先口座を指示するビジネスメール詐欺の典型的な手口です。「内密に」「至急」と急かす点も特徴です。

キャスター

警察庁は、取引先やCEOになりすまし偽メールで送金させるビジネスメール詐欺で1件あたり1億円を超える被害も発生しているとして、不審な送金依頼はいつもの電話番号で本人確認するよう呼びかけています。

ビジネスメール詐欺の被害と対策を報じる報道番組のキャスターを想定した表現です。

専門家

口座変更や送金の指示が来たら、メールで返信せず、いつもの電話番号に直接かけて本人確認してください。メールが乗っ取られていると確認になりません。高額送金は複数承認を必須に。被害は#9110へ。

セキュリティ専門家が、ビジネスメール詐欺への対策として別経路での本人確認を助言する場面を想定しています。

困ったときの相談窓口

ビジネスメール詐欺の被害や疑いがある場合は、以下の窓口に相談できます。

窓口名	電話番号	受付時間	対応内容
警察相談専用電話	#9110	平日 8:30〜17:15（各都道府県で異なる）	詐欺被害・不正送金の相談
IPA安心相談窓口	03-5978-7509	平日 10:00〜12:00、13:30〜17:00	BEC・サイバー犯罪の相談
金融サービス利用者相談室	0570-016811	平日 10:00〜17:00	不正送金に関する相談

【まとめ】3つのポイント

正体はなりすましメールによる送金詐欺：取引先やCEOを装い、振込先変更を指示して犯人の口座へ送金させます。
1件で数億円の被害も：日本でも航空メーカーや大手企業子会社で巨額被害が発生し、海外送金は回収困難です。
送金依頼はいつもの電話番号で確認：メールでの確認は無意味。別経路での本人確認と複数承認を業務ルール化しましょう。

よくある質問

Q なぜメールで確認してはいけないのですか？: A

メールアカウントそのものが乗っ取られている可能性があるからです。アカウント侵害型のBECでは、攻撃者が本物のメールアカウントに侵入してやり取りを監視しています。この状態でメールで「この振込先で合っていますか？」と確認しても、その確認メールは攻撃者に届き、「はい、合っています」と返信されるだけです。だからこそ、メール以外の経路、特に以前から登録されている「いつもの電話番号」に電話して、本人の口から直接確認することが重要なのです。

Q 送金してしまった場合、お金は取り戻せますか？: A

一刻も早い対応が鍵です。送金に気づいたら直ちに振込元の銀行に連絡し、組戻し（くみもどし）の手続きを依頼してください。着金前であれば取り戻せる可能性があります。同時に警察に被害届を出し、送金先が海外の場合は特に迅速な対応が求められます。ただし、BEC詐欺の多くは海外口座を指定し、着金後すぐに資金が引き出されるため、回収は非常に困難です。だからこそ、送金前の確認プロセスが決定的に重要になります。

Q 小さな会社でも狙われますか？: A

会社の規模を問わず狙われます。BEC詐欺は大企業だけでなく、中小企業も標的になります。むしろ、送金プロセスのチェック体制が手薄な中小企業のほうが、犯人にとって成功しやすい場合があります。海外と取引のある企業、定期的に高額送金を行う企業は特に注意が必要です。「うちは小さいから大丈夫」という油断は禁物で、規模に関わらず、送金時の本人確認プロセスと複数承認の仕組みを整えておくことが重要です。

Q ビジネスメール詐欺とフィッシングの違いは何ですか？: A

標的と手口が異なります。フィッシングは不特定多数に偽メールを送り、偽サイトでID・パスワードなどを入力させる広く浅い攻撃です。ビジネスメール詐欺は特定の企業を狙い撃ちし、事前調査で取引先やCEOになりすまして、特定の担当者に高額送金を指示する標的型の攻撃です。BECは一般的なフィッシングより手間をかけて準備され、1件あたりの被害額が桁違いに大きいのが特徴です。両者が組み合わさり、フィッシングでアカウントを乗っ取ってからBECを仕掛けるケースもあります。

この用語と一緒に知っておきたい用語

用語	この記事との関連
AIチャットボット詐欺	AIチャットボット詐欺とは、人間らしく自然に会話する生成AIを悪用し、カスタマーサポートや投資アドバイザーを装って個人情報や金銭をだまし取る詐欺のことだ。
生体認証スプーフィング	生体認証スプーフィングとは、顔・指紋・虹彩などの生体情報を写真・3Dマスク・ディープフェイク動画・偽造指紋などで再現し、本人になりすまして生体認証を突破する攻撃のことだ。
2要素認証回避	2要素認証回避（2FAバイパス）とは、パスワードに加えてワンタイムパスワードなどを求める二要素認証を、中間者攻撃やSIMスワップ、マルウェアで突破する攻撃手法のことだ。
ブリッジハック	ブリッジハックとは、異なるブロックチェーン同士をつなぐ「クロスチェーンブリッジ」を狙った攻撃で、ブリッジに預けられた巨額の暗号資産が一度に流出する事件のことだ。

この手口が実際に使われた事件

事件	この記事との関連
ホテル従業員のカード不正利用	ホテルのインサイダー詐欺とは、コンシェルジュやフロントスタッフなどの従業員が、業務上アクセスできる顧客のクレジットカード情報を盗み不正利用する内部犯行である
ケビン・ミトニック	ケビン・ミトニックはソーシャルエンジニアリング（人間の心理を利用した情報窃取）を武器に、DEC、パシフィック・ベル、モトローラ、ノキアなど大企業のシステムに侵入した伝説のハッカーである
オレオレ詐欺のリーダー格	オレオレ詐欺の組織は主犯格を頂点としたピラミッド構造で運営される。主犯格は犯罪の実行に直接関わらないため捕まりにくく、暴力団関係者であることも多い