前へ 1 2 次へ

第18回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

経営者や取引先のなりすましメールを見抜く「FortiMail」と、フォーティネットの包括的な保護

社長の【至急】メールはニセモノ! ビジネスメール詐欺で15億円の被害発生… どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

■今回のストーリー:

 W社は、業界では中堅クラスの非鉄金属メーカーだ。主に西アフリカから原料鉱石を輸入し、それを日本国内で製錬して、さまざまな産業で使われる金属地金を製造している。こうしたビジネスモデルのため、W社では現地の鉱山会社などさまざまなアフリカ企業との取引関係を持っている。

 2025年の冬、W社では西アフリカにある新たな鉱山会社との取引を始めようとしていた。第1回目の取引にあたり、財務部門では調達部門からの指示に従い、西アフリカの銀行への送金準備を2日前に終えていた。日本円にしておよそ15億円の取引だ。

 だが、送金日の前日遅くになって、社内の関係者間で取引関係のやり取りをしていたメールスレッドに「【至急】振込先の変更」と書かれたメールが届く。送信元はW社の社長だ。財務担当者が開くと、そこには「振込先の口座が急きょ変更になった。すぐに変更手続きをしてほしい」と書かれていた。

 社長は現在、この取引のために西アフリカに出張しており、新しい振込先が書かれた鉱山会社の請求書ファイルも添付されている。変更先の口座を確認すると、もともと指定されていた口座と同じ銀行である。

 送金の実施が数時間後に迫っていたため、財務部門の担当者は社長と簡単なメールのやり取りを行ったうえで、あわてて振込先口座の変更手続きを実施。「振込先を変更しました」とメールで報告を入れたうえで、その日の業務を終えた。

 これが詐欺メールだと発覚したのは、翌日の朝だった。現地の深夜、取引先との会食を終えた社長が、自分の名前をかたるニセの指示メールがやり取りされていることに気づいたのだ。

 社長は財務部長に電話をかけ、緊急で送金処理を止めるよう指示。しかし、すでに送金は実行済みだった。現地警察の協力を得て、およそ半日後には詐欺犯の銀行口座を差し押さえたが、W社が送金した15億円はもう消えていた。

 現地警察の話によると、西アフリカを拠点とする国際的なビジネスメール詐欺グループが複数存在しており、今回の事件もそうしたグループの犯行である可能性が高いという。生成AI翻訳の登場で、最近は詐欺犯が多言語を自在に操れるようになっており、被害に遭う企業はさまざまな国に拡大している。

 また“ニセ社長”の指示メールは、本物の社長のメールアカウントを乗っ取って送信されたものだった。おそらく詐欺グループは、フィッシング攻撃などで社長のメールへのログイン情報を手に入れ、以前から長期にわたってやり取りされるメールを監視していたのだろう。そして、今回の「新規取引先との取引開始」という絶好のタイミングを見計らって、詐欺を実行したものと考えられる。

 15億円の損失はW社にとって大きな痛手である。そしてそれ以上に、こうした単純な詐欺に引っかかってしまったことへの衝撃は大きい。……この事件は、どうやったら防げたのだろうか?

※このストーリーはフィクションです。実在する組織や人物とは関係ありません。

ビジネスメール詐欺(BEC)の被害が急増している背景

 「ビジネスメール詐欺(BEC(Business E-mail Compromise)」は、企業に対して、商取引関連の偽装メールを使って詐欺を行うサイバー犯罪だ。企業の財務担当者などに対し、自社の経営者や役員、取引先企業、顧問弁護士などになりすまして指示メールを送り、ニセの振込先(犯罪者の銀行口座)に送金させるのが、最も一般的な手口である。

 ビジネスメール詐欺そのものは、すでに2010年代前半には被害が報告されるなど、決して新しいものではない。個人を狙うよりもはるかに大きな金額をだまし取ることができ、さほど高度な攻撃技術も必要としないため、犯罪者にとってみれば“手軽で効率の良い”手法である。IPAが毎年発表している「情報セキュリティ10大脅威」にも、9年連続でランクインしている。

「情報セキュリティ10大脅威 2026(組織編)」にも登場(出典:IPA)

 ただし、昨年(2025年)ごろからビジネスメール詐欺は新たな変化を見せ始め、日本でも被害が拡大している。

 変化のひとつは「生成AIによる翻訳の高度化」だ。海外の攻撃者であっても、現在はAI翻訳を使って自然な日本語でやり取りができる。かつてのように「ぎこちない日本語から見破れる」ような状況ではなくなり、日本企業が攻撃ターゲットにされやすくなっている。

 もうひとつは「LINEやビジネスチャット(Slack、Teams、Chatworkなど)に誘導する」タイプのビジネスメール詐欺の増加だ。経営者を名乗るメールで「新しいプロジェクトを立ち上げるので、チャットグループを作ってほしい」などと持ちかけ、誘導先のチャットで送金指示を出す手法である。メール経由でのやり取りを減らし、メールセキュリティ製品による攻撃検出を回避する狙いがあると見られる。

ビジネスメール詐欺の急増について、警察庁も注意を呼びかけている(出典:警察庁)

 メールを使わず、ビジネスチャット上でなりすましを行い、ダイレクトメッセージなどで送金指示を出すパターンも確認されている。たとえば今年(2026年)1月には、Chatworkを運営するkubellから注意喚起が発表された。

 さらには、生成AIによるディープフェイク映像/音声技術を使って社長になりすまし、Web会議ツールや電話で送金指示を出すという大胆な手口も登場している。もはや“メール”ではないが、いずれもビジネスメール詐欺の亜種と言ってよいだろう(『CEO詐欺』『社長なりすまし詐欺』などとも呼ばれている)。

チャット上でのビジネスメール詐欺も発生している(出典:kubell/Chatwork)

“人間心理の脆弱性を突く”攻撃手法、まずは人と組織の対策が必須

 こうしたビジネス詐欺メールへの対策は、どう考えればよいのだろうか。

 前述したとおり、ビジネスメール詐欺の攻撃者は、それほど高度な技術を必要としない。システムの脆弱性ではなく“人間心理の脆弱性を突く”タイプの攻撃だからだ。

 仕事用のメールアドレスに、いきなり「この銀行口座に○千万円を振り込んでほしい」というメールが届いても、ふつうはまず相手にしない(だまされない)だろう。しかし、そのメールが「社長の名前」で届き、もっともらしい理由を付けて「○時間以内に至急対応を」などと書かれていると、あわててだまされてしまう人は少なくない。

 しかも、今回取り上げた事故のように、メールスレッドの途中からなりすましの犯罪者が割り込んでくるケースもある。やり取りの相手が途中から偽者にすり替わってしまうと、疑いを持つことはますます難しくなる。

 このように、攻撃者が人間心理の脆弱性を突いてくる以上、まずは「人および組織での対策」が必須である。具体的には、社外への送金を扱う財務部門、経理部門などの担当者に対して、ビジネスメール詐欺についての注意喚起と教育を行うべきだ。こうした詐欺事件が多発していることを知っておくだけでも、いざというときに注意が働き、疑いの目で見ることができるようになるはずだ。

 さらに、会社組織としては、担当者一人の判断で送金が実行できないよう承認プロセスを徹底すること、イレギュラーな送金指示を受けた場合は複数の手段で確認する(メールだけでなく電話やチャットも使う)こと、などのルールを設けるのが基本になる。

前へ 1 2 次へ
Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります