第18回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

経営者や取引先のなりすましメールを見抜く「FortiMail」と、フォーティネットの包括的な保護

社長の【至急】メールはニセモノ! ビジネスメール詐欺で15億円の被害発生… どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

■今回のストーリー:

 W社は、業界では中堅クラスの非鉄金属メーカーだ。主に西アフリカから原料鉱石を輸入し、それを日本国内で製錬して、さまざまな産業で使われる金属地金を製造している。こうしたビジネスモデルのため、W社では現地の鉱山会社などさまざまなアフリカ企業との取引関係を持っている。

 2025年の冬、W社では西アフリカにある新たな鉱山会社との取引を始めようとしていた。第1回目の取引にあたり、財務部門では調達部門からの指示に従い、西アフリカの銀行への送金準備を2日前に終えていた。日本円にしておよそ15億円の取引だ。

 だが、送金日の前日遅くになって、社内の関係者間で取引関係のやり取りをしていたメールスレッドに「【至急】振込先の変更」と書かれたメールが届く。送信元はW社の社長だ。財務担当者が開くと、そこには「振込先の口座が急きょ変更になった。すぐに変更手続きをしてほしい」と書かれていた。

 社長は現在、この取引のために西アフリカに出張しており、新しい振込先が書かれた鉱山会社の請求書ファイルも添付されている。変更先の口座を確認すると、もともと指定されていた口座と同じ銀行である。

 送金の実施が数時間後に迫っていたため、財務部門の担当者は社長と簡単なメールのやり取りを行ったうえで、あわてて振込先口座の変更手続きを実施。「振込先を変更しました」とメールで報告を入れたうえで、その日の業務を終えた。

 これが詐欺メールだと発覚したのは、翌日の朝だった。現地の深夜、取引先との会食を終えた社長が、自分の名前をかたるニセの指示メールがやり取りされていることに気づいたのだ。

 社長は財務部長に電話をかけ、緊急で送金処理を止めるよう指示。しかし、すでに送金は実行済みだった。現地警察の協力を得て、およそ半日後には詐欺犯の銀行口座を差し押さえたが、W社が送金した15億円はもう消えていた。

 現地警察の話によると、西アフリカを拠点とする国際的なビジネスメール詐欺グループが複数存在しており、今回の事件もそうしたグループの犯行である可能性が高いという。生成AI翻訳の登場で、最近は詐欺犯が多言語を自在に操れるようになっており、被害に遭う企業はさまざまな国に拡大している。

 また“ニセ社長”の指示メールは、本物の社長のメールアカウントを乗っ取って送信されたものだった。おそらく詐欺グループは、フィッシング攻撃などで社長のメールへのログイン情報を手に入れ、以前から長期にわたってやり取りされるメールを監視していたのだろう。そして、今回の「新規取引先との取引開始」という絶好のタイミングを見計らって、詐欺を実行したものと考えられる。

 15億円の損失はW社にとって大きな痛手である。そしてそれ以上に、こうした単純な詐欺に引っかかってしまったことへの衝撃は大きい。……この事件は、どうやったら防げたのだろうか?

※このストーリーはフィクションです。実在する組織や人物とは関係ありません。

ビジネスメール詐欺(BEC)の被害が急増している背景

 「ビジネスメール詐欺(BEC(Business E-mail Compromise)」は、企業に対して、商取引関連の偽装メールを使って詐欺を行うサイバー犯罪だ。企業の財務担当者などに対し、自社の経営者や役員、取引先企業、顧問弁護士などになりすまして指示メールを送り、ニセの振込先(犯罪者の銀行口座)に送金させるのが、最も一般的な手口である。

 ビジネスメール詐欺そのものは、すでに2010年代前半には被害が報告されるなど、決して新しいものではない。個人を狙うよりもはるかに大きな金額をだまし取ることができ、さほど高度な攻撃技術も必要としないため、犯罪者にとってみれば“手軽で効率の良い”手法である。IPAが毎年発表している「情報セキュリティ10大脅威」にも、9年連続でランクインしている。

「情報セキュリティ10大脅威 2026(組織編)」にも登場(出典:IPA)

 ただし、昨年(2025年)ごろからビジネスメール詐欺は新たな変化を見せ始め、日本でも被害が拡大している。

 変化のひとつは「生成AIによる翻訳の高度化」だ。海外の攻撃者であっても、現在はAI翻訳を使って自然な日本語でやり取りができる。かつてのように「ぎこちない日本語から見破れる」ような状況ではなくなり、日本企業が攻撃ターゲットにされやすくなっている。

 もうひとつは「LINEやビジネスチャット(Slack、Teams、Chatworkなど)に誘導する」タイプのビジネスメール詐欺の増加だ。経営者を名乗るメールで「新しいプロジェクトを立ち上げるので、チャットグループを作ってほしい」などと持ちかけ、誘導先のチャットで送金指示を出す手法である。メール経由でのやり取りを減らし、メールセキュリティ製品による攻撃検出を回避する狙いがあると見られる。

ビジネスメール詐欺の急増について、警察庁も注意を呼びかけている(出典:警察庁)

 メールを使わず、ビジネスチャット上でなりすましを行い、ダイレクトメッセージなどで送金指示を出すパターンも確認されている。たとえば今年(2026年)1月には、Chatworkを運営するkubellから注意喚起が発表された。

 さらには、生成AIによるディープフェイク映像/音声技術を使って社長になりすまし、Web会議ツールや電話で送金指示を出すという大胆な手口も登場している。もはや“メール”ではないが、いずれもビジネスメール詐欺の亜種と言ってよいだろう(『CEO詐欺』『社長なりすまし詐欺』などとも呼ばれている)。

チャット上でのビジネスメール詐欺も発生している(出典:kubell/Chatwork)

“人間心理の脆弱性を突く”攻撃手法、まずは人と組織の対策が必須

 こうしたビジネス詐欺メールへの対策は、どう考えればよいのだろうか。

 前述したとおり、ビジネスメール詐欺の攻撃者は、それほど高度な技術を必要としない。システムの脆弱性ではなく“人間心理の脆弱性を突く”タイプの攻撃だからだ。

 仕事用のメールアドレスに、いきなり「この銀行口座に○千万円を振り込んでほしい」というメールが届いても、ふつうはまず相手にしない(だまされない)だろう。しかし、そのメールが「社長の名前」で届き、もっともらしい理由を付けて「○時間以内に至急対応を」などと書かれていると、あわててだまされてしまう人は少なくない。

 しかも、今回取り上げた事故のように、メールスレッドの途中からなりすましの犯罪者が割り込んでくるケースもある。やり取りの相手が途中から偽者にすり替わってしまうと、疑いを持つことはますます難しくなる。

 このように、攻撃者が人間心理の脆弱性を突いてくる以上、まずは「人および組織での対策」が必須である。具体的には、社外への送金を扱う財務部門、経理部門などの担当者に対して、ビジネスメール詐欺についての注意喚起と教育を行うべきだ。こうした詐欺事件が多発していることを知っておくだけでも、いざというときに注意が働き、疑いの目で見ることができるようになるはずだ。

 さらに、会社組織としては、担当者一人の判断で送金が実行できないよう承認プロセスを徹底すること、イレギュラーな送金指示を受けた場合は複数の手段で確認する(メールだけでなく電話やチャットも使う)こと、などのルールを設けるのが基本になる。

ビジネスメールの保護だけでない、包括的なセキュリティ対策も必要

 一方で、ビジネスメール詐欺への技術的な対策は、包括的に行う必要がある。

 メールの入口であるメールサーバーで不審なメールを監視することは一般的に行われているが、こうした詐欺メールの場合、有害なURLや添付ファイルの有無だけを見る従来型のメールセキュリティでは検知できないことがある点には注意したい。詐欺メールには「攻撃者のサイトに誘導するURL」や「マルウェアが仕込まれた添付ファイル」が含まれないことが多いからだ。

 さらに、今回取り上げた事故では、そもそも社長のメールアカウントが乗っ取られ、以前からメールのやり取りが監視されていたことが分かっている。メールアカウントの保護も強化すべきである。

 具体的な保護対策としては、メールアカウントの利用時に多要素認証を必須にしたり、アカウントを狙うフィッシング攻撃への対策(フィッシングメールや不審なサイトアクセスのブロックなど)を強化したりすることになる。もちろん、EPPやEDRによるエンドポイント保護、次世代ファイアウォールによるネットワーク保護といった、基本的なセキュリティ対策も重要である。

 詐欺の舞台がメール以外にも拡大していることをふまえ、ビジネスチャットなどのコミュニケーションツールにも監視の目を光らせなければならない。ここでも、アカウントを保護してなりすましを防ぐ対策、不審なURLや添付ファイルをブロックする対策などが求められる。

高度なAI技術も投入し、攻撃者側の進化に対応するフォーティネット

 技術的な対策のためのソリューションにはどのようなものがあるのか。ここではフォーティネットのソリューションを見てみたい。

 フォーティネットでは、セキュアメールゲートウェイ(SEG)の「FortiMail Security」と、統合型クラウドメールセキュリティ(ICES)の「FortiMail Workspace Security」をラインアップしている。

 前者のFortiMail Securityは、受信/送信メールに対して多層的な検査を行うソリューションだ。後者のFortiMail Workspace Securityは、Microsoft 365/Google Workspaceなどのクラウドメールに加えて、ブラウザによるWebアクセスや、コラボレーションツール上のメッセージにまで保護範囲を広げるソリューションである。

フォーティネットのメールセキュリティ「FortiMail」シリーズ

 Microsoft 365/Google Workspaceのメール環境を利用している企業であれば、FortiMail Workspace Securityが第一候補となるだろう。フォーティネットが2024年に買収したPerception Pointの技術をプラットフォーム統合したもので、セキュリティSaaSとして提供されるので手軽に導入できる。

 メールセキュリティの機能としては、多層のセキュリティ技術でフィッシングやスパム、ランサムウェア、なりすましなどの攻撃をリアルタイムに防ぐ。AIを活用した高度な脅威分析が大きな特徴で、たとえば「QRコード化された不正URL検知」「なりすましによるメールスレッド割り込み(スレッドハイジャック)の検知」などにも対応している。

 同ソリューションでは、脅威を検知するさまざまなAIモデルが用意されており、“生成AIが書いたテキスト”を検出するモデルもある。これにより、有害なURLや添付ファイルを含まない詐欺メールやソーシャルエンジニアリングにも対抗できる。

FortiMail Workspace Securityはメール/ブラウザ/コラボレーションツールへの包括的セキュリティを提供する

 メールサーバーを自社運用している場合は、もうひとつのFortiMail Securityが適している。メールの受信時/送信時に多層のセキュリティチェックを行い、フィッシングメール、スパムメール、送信元を偽装したメール、マルウェア感染した添付ファイル、機密情報の漏洩などをブロックすることが可能だ。オンプレミス運用にもクラウド運用にも対応している。

 なお、FortiMail Securityでは、Microsoft 365/Google WorkspaceのメールボックスもAPI経由で検査できる。これにより、攻撃メールがメールボックスに配送されたあとでも、隔離や削除の処理ができる。

 また、ビジネスメール詐欺の対策機能も備えている。たとえば、社長や役員といった重要人物になりすました詐欺メールを防ぐ「なりすまし分析」、見間違いを誘う類似ドメイン(たとえばgmail.comと「gmal.com」など)の検出などがある。一方で、過剰な検知(偽陽性)による業務への影響を防ぐため、複数の疑わしい要素をスコア化して総合判定する「重み付け分析」も用意されている。

FortiMail Securityが提供する多層セキュリティ(受信メール)

 先に触れたとおり、こうしたメールセキュリティのソリューションに加えて、一般的なエンドポイント保護、ネットワーク保護の対策も必要だ。フォーティネットの場合、「FortiClient」「FortiEDR」から「FortiGate」「FortiSASE」まで、幅広いソリューションが統合型のプラットフォームで提供されており、運用や管理もスムーズにできることが特徴だ。

■セキュリティ事故、その後日談:

 ビジネスメール詐欺の被害に遭ったW社では、長年にわたって利用してきたメールセキュリティ製品から、FortiMail Workspace Securityへの乗り換えを決定した。AIによる強力なメール内容の分析で、たとえ不審なURLや添付ファイルが含まれないメールであっても、攻撃意図を検知できる点を高く評価したうえでの判断だ。

 もちろん、乗り換えの理由はビジネスメール詐欺対策だけではない。より高度化/悪質化するフィッシングメールやランサムウェア攻撃への対策でも、高い効果を発揮するものと期待している。

 古くからあるメール経由のサイバー攻撃だが、その攻撃手法は常に進化し続けている。W社のセキュリティ担当者は、攻撃者側の進化を見落としてメールセキュリティの強化に目を向けてこなかった結果、高い代償を支払うはめになったことを深く後悔しているという。

■関連サイト

Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります