2025.08.20

【令和7年度版】中小企業におけるセキュリティ脅威への対策強化　～ビジネスメール詐欺とは？事例から対策を学ぶ～

独立行政法人情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2025」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は9位に挙げられている「ビジネスメール詐欺」に焦点を当てます。ビジネスメール詐欺による被害は長年にわたり頻繁に発生し続けており、この脅威がどのように業務に影響を与えるのか、対策はどうすべきかを解説いたします。

引用元：IPA　情報セキュリティ10大脅威 2024 解説書
　　　　 IPA　情報セキュリティ10大脅威 2025 組織編

１．ビジネスメール詐欺とは

ビジネスメール詐欺とは、悪意のある第三者が標的とする企業やその取引先の関係者などになりすまして偽のメールを送信し、金銭を騙し取ることを目的としたサイバー攻撃です。この攻撃は、企業の従業員を標的にした振り込め詐欺とも言えるもので、ビジネスメール詐欺（Business E-mail Compromise：BEC）と呼ばれています。

特に、企業の金銭の決裁権限を持つ責任者や直接金銭を取り扱う担当者などが攻撃の対象となることが多くなっています。

２．代表的なビジネスメール詐欺

ビジネスメール詐欺の具体的な手法をご紹介します。

（１）取引先からの請求書の偽装

攻撃者が取引先企業や担当者になりすまし、偽の請求書等をメールで送り付け、用意した口座に振り込ませる手口です。
また、ウイルス感染や不正ログイン等により、自社の従業員のメールアカウントが乗っ取られ、攻撃者が自社の従業員になりすまして、取引実績がある別企業の担当者へ偽の請求等を送り付け、用意した口座に金銭を振り込ませることで、取引先が被害に遭うケースもあります。
このような場合、メール本文は巧妙に偽装され、送信元が本物のアカウントであるため、受信したメールが攻撃であることに気付きにくい事が特徴と言えます。

（２）経営者等の権威ある者へのなりすまし

攻撃者が企業の経営者や経営陣・役員等になりすまし、従業員に業務指示を模した内容の電子メールを送信し、用意した口座へ金銭を振り込ませる手口です。
通常の社内メールでの業務指示であるかのように偽装されるため、メールを受け取った従業員は「通常の業務」として何の疑問も抱かないのが、このなりすましの特徴です。
また、弁護士や監査法人、行政庁等の社外の権威ある第三者になりすます場合もあります。

このように、ビジネスメール詐欺の前提として、標的組織の情報の窃取が不可欠であることが分かります。攻撃者が標的組織の経営者や経営幹部、人事担当等の特定任務を担う従業員になりすまし、組織内の他の従業員の個人情報を窃取し「なりすます相手」を探すわけです。

では、ビジネスメール詐欺による金銭被害の具体的な事例をご紹介しながら、要因と対策をみていきましょう。

（３）ビジネスメール詐欺による事例

【事例１．信頼できる取引先を騙るメール詐欺】
医療製品メーカーの株式会社スリー・ディー・マトリックスは、支払口座の変更依頼が書かれた、取引先の名を騙るメールに従い、虚偽の銀行口座に総額2億円を振り込んだことを公表しました。その取引先とは創業以来の付き合いがあり、高い信頼関係があったため、同社は振込先口座の変更の理由を直接確認していませんでした。

引用元：IPA　情報セキュリティ10大脅威 2024 解説書より抜粋

この事例では、「長年信頼している会社からの依頼」という思い込みが最大の問題といえます。それほど付き合いの深くない取引先であれば、「急に取引口座をなぜ変える必要があるのか」と、ビジネス的な危機感を生むはずですが、長年の信頼がこの感覚を麻痺させていた事がこのなりすましを可能としています。

【事例2．ディープフェイクによる映像や音声のなりすまし事例】
2024 年1 月、多国籍企業にて約37.5 億円が詐取される事件が発生しました。この企業の香港支社の従業員は、英国の本社のCFO を名乗る人物からメールを受信し、そのメールには、ある秘密の取引を本社で開始しており、香港支社の口座を操作しなければならないと書かれていました。さらに従業員は、ビデオ会議のURLが記載されたメールも受信したため、不審に思いつつも会議に参加しました。その会議では、CFO の映像が映し出され、CFO の音声で説明がなされており、また、知り合いの同僚の映像も映し出されていたため、従業員は本物の会議であると信じ込んでしまいました。さらに、香港支社の資金を指定の銀行に振り込むように依頼されました。
従業員は不審に思い、CFO を名乗る人物に質問をしましたが、叱責されたため、最終的に送金手続きをしてしまいました。その後、この従業員は不安に思い、同僚や本物のCFO に確認したところ、取引については知らないと言われたため、警察に通報をしましたが、既に資金は海外に送付されてしまい、会社は資金を取り戻すことができませんでした。

引用元：IPA　情報セキュリティ10大脅威 2025 組織編より抜粋

この事例は、メールに加え、高度な技術を用いたビデオ会議による偽造と、役職の立場を利用した催促が特徴的と言えます。被害にあった従業員は不信感を持ちつつも、想定が困難な手法であったことから、通常ではとりえない行動をとってしまったものと思われます。
AIが発達した現代においてはこうした高度な技術を用いた手法もとられうるということを念頭に置く必要があります。

３．ビジネスメール詐欺による金銭被害への対策

では、次にビジネスメール詐欺による金銭被害への対策として、「被害の予防」の観点と「被害を受けた後の対応」を説明していきます。

（１）被害の予防

IPAの「情報セキュリティ10大脅威 2025 組織編」の9ページ、表 1.3「情報セキュリティ対策の基本」を実施することや、ビジネスメール詐欺による金銭被害への認識を高めることが重要です。また、下記に挙げる個別の対策も有効と言えます。

◆ガバナンスが適切に機能する業務フローの構築

金銭が絡む手続きをする際は、複数人で審査、承認をする業務フローを構築し、個人の判断や業務命令だけでは完結させないようにする。また、メールだけに依存しない業務フローの構築も重要です。

例えば、振込先口座に変更がある場合は、メール以外の連絡方法（電話等）で直接取引先に確認をする、金融機関にその口座の名義等を確認するなどが上げられます。

◆普段とは異なるメールに注意する

普段とは異なる言い回しや、表現の誤り、送信元のメールドメインに注意しましょう。

◆判断を急がせるメールに注意する

至急の対応を要求する等、担当者に真偽の判断時間を与えないようにする手口も考えられます。真偽を確認するフローを業務フローに盛り込んでおく事も有効です。

◆インシデント対応体制の整備

問題発生時に迅速かつ的確に対応できる体制を整えます。

具体的な対応については、IPAの「中小企業の情報セキュリティ対策ガイドライン第3.1版」の46ページからの（5）セキュリティインシデント対応をご覧ください。

（２）被害を受けた後の対応

ビジネスメール詐欺による金銭被害（可能性を含む）を受けた時には、下記の対応が必要となります。

◆適切な報告／連絡／相談

問題が発生した場合、速やかに報告し、適切な対応を取れるよう、社内・社外の関係組織や公的機関等と連携できるようにしておきましょう。

◆メールアカウントの設定を確認する

攻撃者による不正な転送設定やメール振分けの設定等がされていないか確認する。

◆パスワードを適切に運用する

速やかにパスワードを変更する。推測されにくく、他のシステムやサービスとは異なるパスワードを設定しましょう。

今回は、ビジネスメール詐欺による金銭被害の事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。

ビジネスメール詐欺による被害はどの企業でも起こる可能性があり、その影響は甚大です。被害を完全になくすことはできませんが、ガバナンスの整備やメールだけに頼ることがない業務フローの構築等が、企業の持続可能な発展を支える鍵となるでしょう。

※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。