BEC詐欺対策:AI悪用の最新手口【2026年版】

サイバー攻撃・脅威対策
2026.03.19

※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。

2025年、国内大手商社の経理担当者がAI生成音声による「社長の緊急指示」を信じ、3,000万円を海外口座に送金した事件が発生しました。ビジネスメール詐欺(BEC: Business Email Compromise)は、技術的な防御が完璧な企業でも財務的損失を招くサイバー脅威の最前線です。FBI ICCの2025年報告書によると、BECによる世界の被害総額は年間500億ドル超に達しており、2026年にはAIの悪用でさらに被害が拡大すると予測されています。

ビジネスメール詐欺(BEC)とは

BEC(Business Email Compromise)とは、攻撃者が経営幹部・取引先・弁護士などになりすまし、企業の正規メールアドレスを偽装または侵害して従業員を騙し、不正送金や機密情報の窃取を行うサイバー犯罪です。

ランサムウェアと異なり、マルウェアを使わないケースも多く、従来のセキュリティソフトでは検知困難な点が厄介です。

BECの5つの主要手口

  • CEO詐欺(なりすまし型):経営幹部を装い、経理部門に緊急送金を指示
  • 請求書詐欺:取引先になりすまし、偽の振込先口座に変更するよう要求
  • 弁護士・法務なりすまし:M&Aや訴訟手続きを口実に緊急対応を迫る
  • データ窃取型:人事部門に賃金台帳・W-2フォームなどを要求
  • 不動産詐欺:不動産取引の決済直前に振込先変更を指示

2026年のBEC:AIが攻撃を高度化

トレンドマイクロとNTTデータグループの2026年脅威予測では、AIエージェントを活用したBEC攻撃の急増が警告されています。具体的には以下の変化が起きています。

①AI音声クローニング(ボイスクローニング)

SNSやYouTubeの動画からわずか数秒の音声サンプルを収集し、AI音声合成でリアルタイムに社長や上司の声を再現。電話やビデオ通話で偽の「緊急指示」を伝えます。英国の多国籍企業で約25万ドルの被害が発生した事例(2025年)では、CFOがAI合成の「CEO音声」に騙されました。

②AIによるメール文体学習

メールボックスへの不正アクセス後、AIが過去のやり取りを学習し、個人の文体・言葉遣い・署名スタイルを完全模倣したフィッシングメールを自動生成します。従来の「日本語が不自然な詐欺メール」というヒューリスティック検知が通用しなくなります。

③ディープフェイク動画による「ビデオ承認詐欺」

リアルタイムのZoom/Teamsビデオ通話で、AIが経営幹部の顔・声を合成。「緊急の取締役会決議」を演出して多段階承認を突破する手口が2026年から本格化すると予測されています。

BEC被害の実態:日本企業の傾向

警察庁の2025年サイバー犯罪統計では、ビジネスメール詐欺による国内企業の被害は年間約150件以上(氷山の一角)で、1件あたりの平均被害額は2,000万〜5,000万円に及びます。被害を受けやすい業種・状況は以下のとおりです。

  • 海外取引先と頻繁に送金を行う製造業・商社
  • M&A・資金調達が進行中のスタートアップ
  • 経営幹部がSNSで積極発信している企業(情報収集が容易)
  • 経理部門のリモートワーク比率が高い企業

BEC攻撃の手順:攻撃者の視点から理解する

BECはランダムな攻撃ではなく、数週間〜数ヶ月にわたる下準備を経て実行されます。

  1. 偵察(OSINT):LinkedIn、会社HP、登記情報、SNSから経理担当者・意思決定者を特定
  2. メールボックス侵害 or なりすましドメイン取得:フィッシングで認証情報を窃取、またはドメインタイポスクワッティング(例:example.co.jp → examp1e.co.jp)
  3. メール傍受・学習:侵害したメールボックスで通信を監視、文体・取引慣行を把握
  4. タイミングを見計らった攻撃実行:担当者の出張中・休暇中・決算期など承認が緩むタイミングを狙う
  5. 送金の追跡困難化:暗号資産や多段階の国際送金で資金洗浄
BEC攻撃のサイバー脅威対策イメージ

BEC対策:組織・技術・人の三層防御

技術的対策

対策内容優先度
メール認証(SPF/DKIM/DMARC)自社ドメインのなりすまし防止。DMARCポリシーを「reject」に設定★★★
多要素認証(MFA)必須化メールアカウントへのMFA適用でCredential Stuffing対策★★★
AIメール検知ツール導入Microsoft Defender for Office 365、Proofpoint、Abnormal Securityなど★★☆
ドメイン監視類似ドメイン(タイポスクワット)の登録を定期監視★★☆

組織・業務プロセス対策

  • コールバック確認の義務化:メールのみで承認した振込要求は必ず電話で二重確認(メール記載の番号ではなく、登録済み番号に発信)
  • 振込先変更の申請フロー整備:変更依頼は書面+複数承認者の署名を必須に
  • 一定額以上の送金に第三者承認:例:500万円以上は部長・経営幹部の二重承認
  • 緊急性を煽る指示への抵抗訓練:「今すぐ」「内密に」というキーワードを含む送金指示は要注意

従業員教育

IPA(情報処理推進機構)は、BEC対策として年2回以上のフィッシング訓練メール送信と、経理・財務担当者向けの専門研修を推奨しています。特に以下の「BEC識別チェックリスト」を日常業務に組み込むことが効果的です。

  • 送信元メールアドレスのドメインが正確か(表示名ではなく実際のアドレスを確認)
  • 緊急性・機密性を強調していないか
  • 通常と異なる振込先口座への変更を求めていないか
  • 上司・幹部に直接電話で確認したか

BEC被害に遭った場合の初動対応

万が一送金してしまった場合、速度が回収成功の鍵です。

  1. 即座に自社銀行に連絡:「詐欺による不正送金」として送金停止・組み戻し要求。着金前なら回収可能なケースあり
  2. 警察庁サイバー犯罪相談窓口に通報:#9110または都道府県警察のサイバー犯罪相談窓口
  3. JPCERT/CCへのインシデント報告:国際連携による資金追跡に繋がる可能性
  4. 証拠保全:メールヘッダー・通信ログを改ざんせず保全

おすすめセキュリティ対策ツール

本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。

🛡️ まず今日から始めるなら:エンドポイント保護ソフトの導入
BEC対策にはメールセキュリティと端末保護の両立が不可欠です。信頼性の高いセキュリティソフトの導入を強くお勧めします。

※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。

✅ おすすめのセキュリティソフト

※ アフィリエイトリンクを含みます。料金・詳細は各公式サイトでご確認ください。

📋 無料配布:AIセキュリティ対策チェックリスト

中小企業・個人向け。今すぐできる30項目のセキュリティ確認リストを無料配布中。

無料でチェックリストを受け取る →

まとめ:AIで進化するBECに備えるための3ステップ

BECは技術的な欠陥ではなく、人間の信頼と業務プロセスの隙間を突く攻撃です。2026年はAI音声・ディープフェイクによって誰もが被害者になりえる時代です。

  1. 今週中:自社ドメインのDMARC設定を確認・強化、経理部門メールにMFAを必須化
  2. 今月中:振込承認フローに「電話二重確認」ルールを追加
  3. 3ヶ月以内:BEC模擬訓練メールの実施、AIメール検知ツールの評価・導入

サイバー攻撃の脅威について、IPA「情報セキュリティ10大脅威2026」内閣サイバーセキュリティセンター(NISC)の最新情報も合わせてご参照ください。

より詳しい対策については、ソーシャルエンジニアリング攻撃の手口と対策ガイドもご覧ください。

参考資料情報セキュリティ10大脅威 2026(IPA) / 内閣サイバーセキュリティセンター(NISC)

📚 関連記事

コメント

タイトルとURLをコピーしました