お問い合わせはこちら

BEC(ビジネスメール詐欺)とは?4つの手口と事例・対策をわかりやすく解説

公開
BECの解説

BEC(ビジネスメール詐欺/Business Email Compromise)は、金銭的に膨大な被害が生じる可能性があるサイバー攻撃のひとつです。昨今ではBECによって企業が被害を受けたとのニュースも多く、概要や対策について気になる方も多いでしょう。

この記事では、BECの概要やBECによる被害が増えている理由、詳しい手口や対策についてわかりやすく解説しています。正しい知識がないと、BECによる被害を防ぐことはできません。本記事を読めば、BECについて理解し、適切に対策ができるようになります。

目次

BEC(ビジネスメール詐欺)とは | 詐欺メールで多額の金銭を奪うサイバー攻撃

BECの図解
【BEC(ビジネスメール詐欺)イメージ】

BEC(ビジネスメール詐欺)とは、相手が信頼する人物になりすまして企業へメールを送信し、多額の金銭を奪うサイバー攻撃です。

攻撃者はたとえば取引先になりすまして企業へメールを送信し、指定した口座にお金を振り込むよう誘導します。担当者がこのメールに騙され指示に従ってお金を振り込んでしまい、あとで詐欺だったことに気付くわけです。その被害は、数千万円・数億円といった巨額になるケースも少なくありません。

FBI IC3※が発表したデータによれば、2025年におけるBEC(ビジネスメール詐欺)の被害総額は全世界で約30億4,600万米ドルだったとのことです。

またトレンドマイクロは、日本国内において2025年12月上旬頃からビジネスメール詐欺のなかでも新しいCEO詐欺が急増していると発表しています。同社の調査では、CEO詐欺が、2025年12月~2026年2月の間に日本国内で少なくとも6,000以上の法人組織に対しておこなわれたとのことです。

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2026」では、ビジネスメール詐欺が10位にランクインしています。

BECによる被害が増えている理由

BEC(ビジネスメール詐欺)による被害が増えている最も大きな理由は、相手を騙す手口が巧妙化していることです。攻撃者は入念な調査のもと、相手の心理や信頼関係を悪用して攻撃をおこないます。

ビジネスメール詐欺はいくつかの手順でおこなわれますが、最終的に相手へ送金を促すメールの見た目は、一般的なメールと変わりません。そのため従来のセキュリティ対策では、検出が難しいのです。

また生成AIの普及も、ビジネスメール詐欺による被害が増大している理由としてよく挙げられます。攻撃者は生成AIを巧みに活用しているのです。

従来、国外から送られる詐欺メールは、日本語が不自然で簡単に見分けられるケースが少なくありませんでした。実際、明らかに詐欺とわかるおかしな日本語のメールを、見たことがある方は多いでしょう。

しかし生成AIを使えば、外国人が自然な日本語のメールを作ることも簡単です。そのため、ビジネスメール詐欺による被害は、以前よりずっと防ぎにくくなっています。

よくあるBECの手口4つ

BECはどのようにしておこなわれるのでしょうか。その手口を把握しておけば、予防もしやすくなります。ここでは、特に多いBECの手口4つを見ていきましょう。

なお前述したように、BECではあらかじめ入念な調査がおこなわれることで知られています。攻撃対象が取引先などとやりとりするメールを盗聴するなどして、相手を欺くための情報を収集するわけです。

ここでは、こういった調査のうえで、どのような手口でBECがおこなわれるかを紹介します。

経営層になりすまし送金を指示する

社長や役員といった経営層になりすまし、攻撃対象へ送金を促す手口です。社長などになりすましたうえで、「至急この口座へ振り込んで欲しい」「極秘の案件なので誰にも言うな」といった指示をします。

いつもとは異なる口座へ大金を振り込むというイレギュラーな指示はあるものの、メールの構成や日本語は自然であることが多いです。何より信頼する社長など経営層からの指示であることから、従業員が詐欺と気づくのも難しくなります。そのため、この手口によって高額の被害が発生することが少なくありません。

BECのなかでも、この手口はCEO詐欺と呼ばれ、昨今急増しています。

取引先になりすましいつもと異なる口座へ振り込みを依頼する

取引先になりすまし、偽造した請求書を送付するケースです。「振込先を変更した」などと書いて、普段と異なる口座への振込を依頼します。

しかし送信元は取引先を名乗っており、振込先の変更以外は自然にみえるので、騙されてしまうことも多いのです。

従業員のメールアドレスを乗っ取り内部から詐欺を試みる

あらかじめ従業員のメールアドレスを乗っ取り、BECをしかけるケースも少なくありません。実際に従業員が使用しているメールアドレスであることから、攻撃対象は詐欺であることに気付くのが難しくなります。その結果、高額の送金をおこなってしまうことも多いのです。

弁護士などの第三者になりすまし詐欺を試みる

弁護士や金融機関といった信頼性の高い第三者になりすまし、BECがおこなわれるケースもあります。メールの内容も自然であり、詐欺に気付かず被害が生じてしまうわけです。

たとえば弁護士になりすます場合、偽の身分証を提示したり訴訟など法的対応をちらつかせたりして、相手に送金を促します。一見信頼できそうな相手でも、いつもと違う口座への送金や、高額の送金を急かすようなケースは特に注意しなくてはなりません。

BECと標的型攻撃メールの違い

ビジネスメール詐欺(BEC)と似たサイバー攻撃として、よく標的型攻撃メールがあげられます。

標的型攻撃メールもまた、特定の企業・個人を狙ったサイバー攻撃です。完全にランダムな相手を攻撃するのでなく、特定の企業を対象とする点は、BECと混同されやすい理由といえるでしょう。

一方でBEC及び標的型攻撃メールは、目的や手法に大きな違いがあります。BECの目的が金銭の詐取であるのに対し、標的型攻撃メールの目的は機密情報を奪うことです。

またBECは入念な下調べのもと、できる限り自然に送金を迫るのに対し、標的型攻撃メールは、きっかけもなく突然仕掛けられます。そのため標的型攻撃メールと比べ、BECは詐欺であることにより気付きにくいわけです。

標的型攻撃メールとは?手口や見分け方、対策までわかりやすく解説

標的型攻撃メールとは?手口や見分け方、対策までわかりやすく解説

サイバー攻撃の手口は多様化していますが、なかでも標的型攻撃メールは非常に巧妙で被害を防ぐのが難しい種類です。標的型攻撃メールは攻撃対象を欺くため巧妙に作りこまれており、事前の知識がないと簡単に騙されてしまうでしょう。 この記事では、標的型攻撃メールとは何かやその手口、見分け方、対策まで解説しています。本記事を読んで対策をすれば、標的型攻撃メールの被害を防げるでしょう。 標的型攻撃メールとは?|特定…

BECによって莫大な被害が発生した事例

企業にとってBECは他人事ではありません。多くの企業が、BECにより莫大な被害を被っています。ここでは、その事例をみていきましょう。

【2026年4月】株式会社はてな | 被害額最大11億円

2026年4月26日に、株式会社はてなは、従業員が虚偽の送金指示に従い最大約11億円が流出したと公表しました。具体的に誰を装ったものだったかといった詳細までは、公表されていません。

従業員は同月20日・21日に虚偽の指示により送金を実行していました。同社は取引先銀行から不審な送金があると連絡を受け、被害を把握したということです。

【2026年1月】社名非公開 | 被害額8,000万円

2026年1月、北海道札幌のある会社法人(社名非公開)が、BECによって8,000万円の被害を受ける事件が発生しました。

同社の従業員は、社長を名乗る人物からSNS経由で2つの口座へ送金するように指示を受けたとのことです。従業員はその指示に従い、3,000万円・5,000万円をそれぞれの口座に振り込んでしまいました。

その後、外出先から戻った社長へそのことを報告したところ、詐欺であったことが判明し警察へ通報します。警察は被害に遭った企業にさらなる被害が生じる恐れがあるとして、具体的な企業名などは公表していません。

【2023年12月】株式会社スリー・ディー・マトリックス | 被害額約2億円

2023年12月、医療製品メーカー「株式会社スリー・ディー・マトリックス」がBECによって約2億円の被害を受けました。

本件では、取引先を装う人物から同社宛てに、約86万ドルの原料代金に関する支払先の変更を依頼するメールが届いたとのことです。同社はその指示に応じ、指定された銀行口座に代金を支払ってしまいました。さらに、別の取引に関する約50万ドルの代金に関しても、同様に指定された銀行口座へ振り込んだとのことです。

同社が受けた被害は、2件あわせて約136万ドル(当時のレートで日本円にして約2億円)にのぼります。

【2022年7月】株式会社東芝の米国子会社 | 被害額約5億円

2022年7月、株式会社東芝の米国子会社がBECによる被害を受けました。

同社は経営幹部を装う人物による虚偽の指示にもとづき、約360万米ドル(当時のレートで約5億円)の資金を流出させてしまったとのことです。同社ではまもなく指示が虚偽であることを認識し、米国及び資金の流出先である香港の捜査当局へ被害を届けています。

なお捜査上の機密保持を理由として、同社ではこれ以上の詳細を明らかにしていません。

【2017年8~9月】JAL | 被害額約3.8億円

2017年8~9月、JALは取引先になりすました第三者に騙され、約3.8億円の被害を受けました。

同社は取引先を騙る人物からのメールで、旅客機リース料と貨物業務委託料の支払先口座の変更を依頼されます。同社の従業員がその指示に従い振り込みをおこなったことで、被害が発生してしまいました。

同社によれば、以下のような状況があり、従業員が虚偽のメールであることに気付かなかったとのことです。

  • 普段やりとりしている担当者の名前が、虚偽のメールに書かれていた
  • 虚偽メールの送信元メールアドレスが、その担当者のものだった
  • 事件前に送付されていた正規の請求書に対する「訂正版」として、振込先変更を指示するPDFファイルが届いていた

BECを見分けるためのポイント

BECは巧妙化しており、正常なメールと簡単に見分けられないことも少なくないのは否めません。それでも、見分ける際のポイントを把握しておくことで、BECによる被害を予防できる可能性が高まります。

ここでは、BECを見分けるにあたって覚えておくべきポイントを見ていきましょう。

ポイント概要
突然の振込先変更依頼唐突に「振込先口座を変更して欲しい」と依頼があった場合、BECである可能性が疑われます
急ぐように指示BECでは、「今日中」「今すぐ」「遅れると大変なことになる」など、不自然に急ぐよう指示することがあります。
他言を禁止する指示「ほかの社員には内密で」など、適切な理由なく他言を禁止することがあるのも、BECの特徴です。
電話での確認を避けるよう指示BECでは詐欺の発覚を回避するため、電話での確認を避けるようメールなどで指示する場合があります。
不自然な日本語日本語が不自然である場合は、BECをはじめとした詐欺メールである可能性が疑われます。 ※ 昨今では、生成AIなどにより外国人でも自然な日本語の文章を簡単に作成できるようになっています。そのため日本語が自然だからといって、BECでないとは言えません。
件名に「至急」「緊急」などの文字列を付与する。件名に【至急】【緊急】などの文字を付け、メールを送ることは日常でもあり得ます。ただし、それが不自然だったり唐突だったりする場合、BECをはじめとした詐欺メールではないか疑うべきです。 【口座変更】【上司に確認不要】など、普段はないようなタイトルがつけられる場合もあります。
送信者メールアドレスのドメインが一文字違いBECでは、上司や取引先などのメールアドレスを騙る場合が多いです。ただし全く同じでなく、以下のようにドメインが1文字だけ変更されている場合もあります。  

【例】
・正規の送信元ドメイン:@company.com
・偽の送信元ドメイン:@compnay.com
※「a」と「n」を入れ替えて見分けづらくしている。
差出人と返信先のメールアドレスが異なる。BECでは差出人と返信先メールアドレスを変え、すぐに発覚しないよう細工をするケースも多いです。メールソフトで返信しようとしたところ、返信先に差出人とは異なる見慣れないメールアドレスが表示されることがあります。
文章の表現がいつもと異なる言い回しなど、メールの文章がいつもと不自然に異なるようであれば、BECである可能性も疑われます。

BECの被害を予防するための対策

BECは巧妙であり、きちんと対策をしなければ防ぐのは困難です。ここでは、BECの被害を予防するためにどのような対策をするべきか見ていきましょう。

従業員への周知・教育を徹底する

BECに関する知識がなければ、被害を防ぐことはできません。研修会を計画するなどして、BECの特徴・リスク・見分け方などを、従業員へ定期的に周知・教育する必要があります。

一定金額を超える送金はダブルチェックなどをルール化する

一定金額を超える送金をおこなう際は、ダブルチェックなどをルール化することも有効です。たとえば送金前に複数人で内容を確認することにより、不自然な点の見落としなどを防げます。メールだけで送金に応じるのでなく、電話や対面で相手方に確認をすることもルール化しましょう。

電子署名を利用する

電子署名(S/MIME・PGP)を導入することも、BECの対策として非常に有効です。電子署名があれば、「それが取引先の正しいメールアドレスから送られた」ことを確認できます。そのため、送信元を騙るといったBECを見分けられるようになるわけです。

ただし、電子署名を使う場合、自社及び取引先の両方が対応しなくてはなりません。自社だけで実現できない点は注意が必要です。

送信ドメイン認証によってなりすましメールによる被害を防ぐ

送信ドメイン認証とは、簡単に言うと送信元ドメインの情報をもとに、なりすましの恐れがないかを判定する技術です。送信元及び自社の両方が対応していれば、送信ドメイン認証によって、取引先などになりすましたメールによる詐欺を予防できます。

なお、自社だけでなく取引先の対応が必要な点は、送信ドメイン認証も電子署名とかわりません。ただし昨今では送信ドメイン認証に未対応だと、Gmailなどにメールを拒否される場合もあり、送信ドメイン認証が普及しつつあります。そのため、電子署名に比べれば、導入のハードルは低いでしょう。

KAGOYA MAIL | 月額定額で利用できるメールサーバー

月額2,640円でユーザー数無制限。コスパと機能性に優れた新しい国産メールサーバー。

セキュリティソフトなどによりウイルス感染の対策も徹底する

BECでは、あらかじめ対象をマルウェアやウィルスに感染させ、必要な情報を収集するといった手順がおこなわれることもあります。そのため、BECの被害を防ぐためには基本的なウイルス対策も重要です。

ウイルス感染の対策はすでにおこなわれている企業も多いと想定されますが、以下のような対策を今一度徹底するようにしましょう。

  • セキュリティソフトを導入する
  • OSやソフトウェアなどを最新の状態にする
  • アンチウイルスや迷惑メールフィルタによって、受信メールをフィルタリングするなど

カゴヤの「KAGOYA MAIL」は基本的なウイルス対策機能のほか、メール通信経路の暗号化などのセキュリティ機能にも対応しています。サービスの詳細は、以下公式サイトURLで確認ください。

BECに関するよくある質問

BECはサイバー攻撃のなかでは比較的新しい手法です。そのため、BECについていろいろな疑問を感じる方は多いでしょう。ここでは、BECについてよくある質問について解説します。

中小企業も狙われる可能性がありますか?

はい、中小企業もBECの攻撃対象として狙われる可能性は十分にあります。

BECによる被害を受けるのは、十分な資金がある大企業だけではありません。むしろ、大企業に比べセキュリティ対策が手薄な中小企業が、標的になることも多いです。

また、中小企業は大企業のように多段的な承認フローがなく、社長の一存で大きなお金が動くケースも少なくありません。そこで攻撃者が社長などになりすまし、BECを仕掛けるケースも考えられます。

中小企業が、取引先の大企業へBECを仕掛けるための突破口として狙われるケースも多いです。中小企業の従業員がメールアドレスを乗っ取られるなどして、取引先に対して偽の送金依頼をおこなうこともあります。

この場合、取引先に対する信用を失うことになりかねないので注意しましょう。BEC対策のため、基本的なセキュリティ対策や従業員への周知・研修を徹底することも重要です。

BECでお金を振り込んでしまった場合、返金や被害回復は可能ですか?

ビジネスメール詐欺(BEC)に気付かずお金を振り込んでしまった場合、早急に対処すれば返金・被害回復ができることもあります。

まずは、なるべく早く送金手続きをした銀行へ取消し処理(組戻し)を依頼しましょう。海外の口座へ送金してしまったのであれば、現地の警察へ相談します。送信先が米国であれば、FBI IC3への通報も有効です。

振込先の口座が国内であれば、「振り込め詐欺救済法」によって口座の凍結や被害回復分配金の請求ができる場合もあります。振り込め詐欺救済法の詳細については、以下金融庁の公式サイトで確認ください。

振り込め詐欺等の被害にあわれた方へ:金融庁

BECの対策に有効なサービスを教えてください

BEC対策に有効なサービスとして、以下が挙げられます。

送信ドメイン認証に対応したメールサービス

送信ドメイン認証に対応していれば、なりすましメールによる被害を予防しやすくなります。

メール誤送信対策など、送信メールのチェックや保留が可能なサービス

メールに含まれるキーワードや送信先などの条件で、メール送信を保留したり上司などによるチェックを必要としたりするサービスも有効です。メール誤送信を対策できるサービスであれば、こういった機能を実現できる可能性があります。

通信経路の暗号化に対応したメールサービス

通信経路が暗号化されることでメールの盗聴を予防可能です。そのため、BECの前段階におこなわれる情報収集の対策にもなります。

アンチウイルス・迷惑メールフィルタリング

BECをおこなうための情報収集を目的として、攻撃者が従業員の端末をウイルス感染させようとする可能性があります。これを予防するため、アンチウイルスや迷惑メールフィルタリングの導入も有効です。

高セキュアなメールサービス「KAGOYA MAIL」は、上記機能を全て搭載しています。

KAGOYA MAILを活用いただくことで、BEC対策をより強化することが可能です。詳細は以下公式サイトをご参照ください。

KAGOYA MAIL | 月額定額で利用できるメールサーバー

月額2,640円でユーザー数無制限。コスパと機能性に優れた新しい国産メールサーバー。

まとめ

BEC(ビジネスメール詐欺)は、自社の社長や取引先などになりすまし、相手から金銭を奪うサイバー攻撃です。手口の巧妙化やAI普及などの要因で、昨今ではBECによる被害が増えています。

BECによる被害を防ぐには、BECの概要や見分け方について従業員に周知徹底するなどの対策が必要です。また送信ドメイン認証やメール一時保留など、有効な対策になる機能を備えたメールサービスの利用を検討することも推奨されます。