2026年4月、東証グロース上場企業の株式会社はてなが、ビジネスメール詐欺(BEC)の疑いがあるサイバー攻撃を受け、最大約11億円が外部口座へ流出したと発表しました。発表翌日、株価はストップ安となり、日本中のセキュリティ関係者に衝撃が走りました。
「Webサービスのセキュリティには多大な投資をしてきたIT企業が、なぜ?」:この問いがBECの本質を端的に表しています。BECはシステムの脆弱性を突く攻撃ではありません。標的は「人間の判断プロセス」です。どれだけ強固なファイアウォールを築いても、メールを受け取った担当者が自ら振込操作を行えば、その防壁は無意味になります。
CIOとして社内のガバナンス整備に取り組んだ経験から言えることがあります。技術対策と人的対策は、常に車の両輪です。この記事では、SC試験でも頻出のメール認証技術と組み合わせながら、BECの手口・対策・試験対策を体系的に解説します。
この記事で学べること
- BECの定義・特徴・従来のサイバー攻撃との根本的な違い
- 主要な攻撃手口3パターンと実際の被害事例
- なりすましを防ぐ技術的対策:SPF・DKIM・DMARCの仕組みと連携
- 組織的対策:セキュリティ教育・承認フロー・インシデント初動
- SC試験での出題傾向と注意すべきポイント
ビジネスメール詐欺(BEC)とは何か
BECという言葉は知っていても、「フィッシングとどう違うのか」「なぜIT企業が被害に遭うのか」という疑問を持つ方は少なくありません。まず定義と本質から整理します。
BECの定義と攻撃の本質
BEC(Business Email Compromise)とは、組織の経営者・取引先・顧問弁護士などを装った偽のビジネスメールを送り付け、不正な送金や機密情報の提供をさせるサイバー攻撃です。FBI(米国連邦捜査局)のインターネット犯罪苦情センター(IC3)が定義・分類しており、世界で最も金銭的被害額が大きいサイバー犯罪の一つに位置づけられています。
BECの最大の特徴は、攻撃対象が「システム」ではなく「人間の判断」にあることです。攻撃者は「権威への服従」「緊急性への反応」「確認を省略する習慣」といった人間心理の盲点を巧みに利用します。送られてくるメールは文法的に正しく、内容も業務上あり得る範囲に収まっているため、一見して不審と気づくことが非常に困難です。2026年は生成AIの普及により日本語の不自然さというBEC識別の手がかりが失われており、被害リスクはさらに高まっています。
日本での被害実態を見ると、2025年後半から2026年にかけて上場企業を含む国内企業で被害が相次ぎ、判明分だけで被害総額は約15億円を超えています。はてなの事件はその象徴的な一例です。
従来のサイバー攻撃との根本的な違い
マルウェアやランサムウェアなどの従来型攻撃は、システムやネットワークの脆弱性を技術的に突きます。アンチウイルスソフト・EDR・ファイアウォールといった技術的防御策が有効であり、不審なプログラムの実行を検知・遮断することで被害を防げます。
一方、BECはこれらの技術的防御をすり抜けます。攻撃者が送るのはテキストメールであり、悪意あるリンクや添付ファイルを含まないケースも多いためです。アンチウイルスソフトはBECメールを検知できません。不審なプログラムが実行されるわけでも、システムが侵害されるわけでもなく、最終的には「正規の担当者が正規の操作で送金する」という形で被害が完結します。これがBECの恐ろしさです。技術的な防壁を正面から回避する攻撃と言えます。
また、被害が発覚したときにはすでに送金が完了しており、特に海外への国際送金の場合は資金回収が極めて困難になります。
SC試験・関連試験における出題位置づけ
情報セキュリティマネジメント試験(SG試験)では、令和元年度秋期 問1においてBECに該当する攻撃手口を問う問題が出題されています。BECはソーシャルエンジニアリングの一形態として分類されており、SC試験でも「なりすましメール」「メール認証技術」「組織的対策」との複合問題として出題可能性が高いテーマです。
IPAは「ビジネスメール詐欺対策特設ページ」を設置し、注意喚起を続けています。SC試験の出題範囲はIPAの公開資料に基づいているため、このページは試験対策の必読資料として押さえておきましょう。試験でBECが直接問われる場合も、SPF・DKIM・DMARCといった関連技術と組み合わせて出題されるパターンが多いため、セットで理解することが重要です。
BECの主要な攻撃手口3パターン
IPAはBECをいくつかのパターンに分類しています。それぞれの手口・見分け方・想定される被害を整理します。実際の試験でも「どのパターンに該当するか」を問う問題が出るため、違いを明確に把握しておきましょう。
①経営者なりすまし型(CEO詐欺)
攻撃者が会社の経営者(CEO・CFO・社長)になりすまして、財務担当者や経理担当者に「緊急の資金移動」を指示する手口です。「今すぐ〇〇万円を指定口座に振り込んでほしい。詳細は後で説明する。他言無用にしてほしい」という内容が典型的なパターンです。
「社長からの指示」という権威性と「緊急・秘密厳守」という文言が組み合わさると、担当者は上長への確認を省略しがちになります。これが攻撃者の狙いです。警視庁の発表によれば、2026年1月時点で東京都内だけで43社が標的となり、そのうち14社が計6億7,000万円の被害を受けています。近年はメールだけでなく、Slack・LINEといったビジネスチャットを経由する「ビジネスチャット詐欺」も増加しており、手口が多様化しています。
対策の要点は、「メール・チャット単独での送金指示には絶対に応じない」というルールを組織全体で徹底することです。金額の大小にかかわらず、別チャネル(電話・対面)での本人確認を義務づけることが有効です。
②取引先なりすまし型(偽請求書・振込先変更)
取引先になりすましたメールで「口座変更のお知らせ」や「今月からこちらの口座への振り込みをお願いします」と通知し、攻撃者が管理する口座に送金させる手口です。はてなの事件では従業員のアカウントを利用した送金が実行されており、この類型と関連する可能性が指摘されています。
この手口でよく使われるのが「タイポスクワッティング(typosquatting)」です。本物のドメイン「example.co.jp」に対して、「examp1e.co.jp」(lを数字の1に置換)や「example-co.jp」(ハイフンを挿入)といったよく似たドメインを取得し、本物そっくりのメールアドレスから送信します。受信者がメールアドレスを注意深く確認しなければ見抜くことは非常に困難です。
対策の要点は、取引先からの口座変更通知をメール単独では受け付けず、必ず電話や書面での確認を行う運用ルールの導入です。また受信メールのドメインを1文字単位で確認する習慣も重要な防衛策になります。
③メールアカウント乗っ取り型
フィッシングやマルウェアによって取引先・社内担当者の実際のメールアカウントを乗っ取り、本物の送信者として攻撃する手口です。3つのパターンの中で最も検知が難しく、被害が深刻になりやすい手口です。
送信元が本物のアカウントであるため、SPFやDKIMの認証をすり抜けます。さらに攻撃者は乗っ取ったアカウントで過去のメールスレッドを読み込み、文体・関係性・業務内容・取引金額まで把握した上でなりすますため、受信者が不審に気づくことは極めて困難です。
このパターンへの最重要対策は多要素認証(MFA)の導入です。パスワードが漏洩してもMFAがあればアカウントの乗っ取りを防げます。SC試験では「MFAとBECの関係」を問う問題も想定されるため、「アカウント乗っ取り型BECにはMFAが有効」という論点を押さえておきましょう。
メールなりすましを防ぐ技術的対策:SPF・DKIM・DMARC
BECのうち、ドメインなりすまし型(①②)に対しては、メール認証の3技術が有効な対抗手段です。SC試験でも頻出の技術群ですが、「それぞれが何を検証するのか」「なぜ3つ必要なのか」を理解しないまま暗記だけで乗り切ろうとすると、午後問題の論述で詰まります。仕組みから理解しましょう。
SPF(Sender Policy Framework)の仕組みと限界
SPFは、「このドメインからのメールは、どのIPアドレスから送信してよいか」をDNSのTXTレコードに登録し、受信サーバーが送信元IPアドレスと照合する仕組みです。
たとえば「example.co.jp」ドメインのDNSに v=spf1 ip4:203.0.113.0/24 -all と登録しておくと、受信サーバーは「このメールの送信元IPは203.0.113.0/24の範囲内か」を確認します。範囲外からのメールはなりすましとみなすことができます。
ただしSPFには重要な限界があります。SPFが検証するのは「エンベロープFrom(SMTP通信で使われる送信者アドレス)」のドメインです。メールソフトが表示する「ヘッダFrom(From:フィールド)」のドメインは検証対象外です。つまり、エンベロープFromを正規ドメインに見せかけながら、ユーザーが目にするFromには全く別のドメインを使う攻撃には、SPF単独では対応できません。SC試験でもこのSPFの限界はよく問われる論点です。
DKIM(DomainKeys Identified Mail)の仕組み
DKIMは、送信サーバーがメールのヘッダと本文を秘密鍵で電子署名し、受信サーバーがDNSから取得した公開鍵で署名を検証する仕組みです。
DKIMの検証対象には「ヘッダFrom(From:フィールド)」を含めることができるため、SPFの弱点を補完できます。また、メール転送時にIPアドレスが変わってもDKIM署名は有効なまま維持されるという利点があります。SPFはメール転送時に失敗することがありますが、DKIMは転送後も署名が改ざんされていなければ検証が通ります。
DKIMの限界は、メールが転送・加工される過程で署名が壊れるケースがある点と、正規アカウントが乗っ取られた場合には無力である点です。SPFもDKIMも、「送信者が正規かどうか」を確認する技術であり、正規アカウントからの悪用は防げません。
DMARCによる統合管理とポリシー制御
DMARCは、SPFとDKIMの認証結果に基づき、認証失敗時の処理方針(ポリシー)をドメインオーナーがDNSで宣言する仕組みです。SPFとDKIMが「認証結果を出す」技術であるのに対し、DMARCは「その結果をどう使うか」を決める管理層に位置します。
DMARCポリシーは3段階で設定します。none(何もしない:モニタリング用途)、quarantine(迷惑メールフォルダに隔離)、reject(メールを拒否)の順にセキュリティが強化されます。新規に導入する場合は none から始め、誤検知がないことを確認した上で quarantine→reject へと段階的に引き上げるのが実務上の標準的な手順です。
DMARCにはレポーティング機能もあります。認証結果の集計レポートを指定のメールアドレスで受け取ることができ、自社ドメインが不正に使われていないかを継続的に監視できます。SC試験では「DMARCのポリシー種別と適用順序」「SPF・DKIM・DMARCの役割の違いを説明する」といった問い方が想定されます。3技術の関係を整理した図を手書きで再現できるレベルまで理解を深めておくと、午後問題でも対応できます。
組織的対策:人間の脆弱性に向き合う
技術対策はBECへの必要条件ですが、十分条件ではありません。SPF・DKIM・DMARCを完璧に設定しても、アカウント乗っ取り型BECや、担当者が自ら「正しい判断」として送金してしまうケースには無力です。技術と組織の両面から守ることが不可欠です。
セキュリティ教育・啓蒙活動の重要性
CIOとして社内のガバナンス整備を担っていた時代(2005〜2008年)、BECという攻撃手口はまだ存在していませんでした。しかし当時でも、ウイルスに感染したPCから社内に向けてウイルス感染メールが送信される事案が頻発していました。また、ある日「電話でパスワードを教えてほしい」と社員から言われる場面もありました。ソーシャルエンジニアリングという言葉は知らなくても、人間の善意や習慣がセキュリティの穴になるという現実を、当時すでに肌で感じていました。
一番痛感したのは、技術的な対策だけでは限界があるという事実です。どれだけ優れたセキュリティシステムを導入しても、使う人間の意識が低ければ意味をなしません。メールの送信元を確認する習慣、口座変更の通知に疑いを持つ感覚、「急いでいるから」という理由で確認を省略しないルールの徹底、これらは技術では実装できません。根気強い啓蒙活動と繰り返しの教育によってのみ組織に根づくものです。
具体的な教育手段としては、標的型メール訓練(実際に疑似BECメールを送って反応を確認する)、送金・口座変更に関するルールの定期的な周知、インシデント事例の共有勉強会などが有効です。「なぜそのルールが必要なのか」という背景の理解を促すことが、形骸化を防ぐ鍵になります。
送金承認プロセスの多段階チェック
はてなの事件が示したのは、「お金を動かすプロセス」には特別な内部統制が必要だという事実です。Webサービスの品質管理には厳格なレビュープロセスを設けている企業でも、財務処理においては属人的な運用が残っているケースがあります。この非対称性がBECに悪用されます。
効果的な対策として「帯域外確認(Out-of-Band Verification)」があります。メールで送金指示を受けた場合、必ず別チャネル(電話・対面)で指示者本人に確認するという運用ルールです。メールの返信による確認は同じ攻撃経路を経由するため無意味です。また、送金額に応じた承認権限の階層化(例:100万円以上は部長承認、1,000万円以上は役員承認)と、口座変更は書面申請+複数名確認を必須とするルールの整備も重要です。
SC試験では「多段階承認」「職務の分離」「内部統制」といったキーワードとBECを結びつける問題が想定されます。「送金指示の受領」「承認」「実行」を必ず異なる担当者が行う職務分離の原則を、BECへの組織的対策として説明できるようにしておきましょう。
インシデント発生時の初動対応
万が一BECによる送金が実行されてしまった場合、時間との勝負になります。送金完了後に攻撃者はすぐに資金を別口座へ移動させるため、気づいた瞬間の迅速な対応が被害回収の可否を左右します。
初動対応の手順は以下の通りです。まず取引銀行に送金停止・取消を即時依頼します。国内送金であれば銀行間の連携で取消が間に合うケースがあります。国際送金の場合は「Wire Recall(国際電信送金取消)」を依頼しますが、着金済みの場合は受取銀行の協力が必要となり、回収の難易度が大幅に上がります。次に警察のサイバー犯罪相談窓口とIPA(情報処理推進機構)に通報・相談します。また、フォレンジック調査のために関連するメール・ログを保全し、絶対に削除・上書きしないことが重要です。証拠を保全した状態で調査を始めることが、原因究明と再発防止の前提となります。
【演習】ビジネスメール詐欺(BEC)理解度チェック(全10問)
BECに関する問題は、SC試験では「ソーシャルエンジニアリングの手口を選ぶ午前問題」と「SPF・DKIM・DMARCの仕組みや連携を説明する午後問題」の両方で出題が想定されます。また、「承認プロセスの不備がどのリスクにつながるか」を問う内部統制の観点からの出題も考えられます。以下の練習問題で本記事の理解度を確認してみましょう。
まとめ:人を狙うBECには、技術と組織の両輪で備える
ビジネスメール詐欺(BEC)は、システムではなく「人間の判断」を標的にする攻撃です。はてなの11億円流出事件は、IT企業であっても財務処理のプロセスに脆弱性が潜み得ることを示しました。
CIOとしてガバナンス整備に取り組んだ時代、当時の主な脅威はウイルス感染メールや電話越しのパスワード要求といったものでした。しかしその経験から学んだ本質は、20年経った今でも変わりません。技術対策だけでは防ぎきれない攻撃が存在し、それを補うのは人間の意識と組織のルールだということです。
試験対策の観点では、SPF・DKIM・DMARCの3技術の役割と連携関係を整理することが最優先です。「SPFはエンベロープFromのIPを検証」「DKIMはヘッダFromを含むメールへの電子署名で検証」「DMARCは両者の結果に基づくポリシー制御」という構造を図に書いて説明できるレベルに持っていきましょう。組織的対策については、「帯域外確認」「職務の分離」「多段階承認」というキーワードをBECと結びつけて説明できることが得点につながります。
BECは技術とルールと人間教育の三つが揃って初めて有効に防げます。試験の合格と実務での安全確保、その両方に直結するテーマです。しっかり押さえておきましょう。
本記事は情報処理安全確保支援士(SC)試験対策を目的として作成しています。