WPレスキュー365│WordPressのトラブル復旧・ハッキング修理・土日も緊急対応します!10年以上 2,000サイト以上の実績

未分類

送金指示を装う詐欺が急増

 

要点と前提

近年の「お金が動く」サイバー被害で、企業が特に警戒したいのがビジネスメール詐欺(BEC)です。取引先や社内の経営層になりすまし、偽の送金指示や請求書差し替えで金銭を奪う手口で、組織の信頼関係業務フローを悪用するため、技術だけでは防ぎ切れないのが厄介な点です。 さらに最近は、AIの悪用により、文章が不自然ではないフィッシングメール/なりすましメールが増え、「違和感」で見抜く難易度が上がっています。メール1通の精度が上がるほど、最後に頼れるのは手順(確認・承認・連絡ルート)です。
  • BECは「メール」より「送金手順」を狙う(承認フロー・確認不足が弱点になりやすい)
  • AI悪用で自然な日本語の詐欺メールが増える(誤字脱字が減り、見分けにくい)
  • 一次対応はスピード勝負(送金停止・連絡・証拠保全を同時並行で)
  • 恒久対策は「プロセス」+「技術」(別経路確認・二重承認・MFA・メール認証など)

最新動向

直近の報道・注意喚起で目立つ論点は次のとおりです(※個別事案の詳細は末尾のリンク参照)。
  • AI生成の文面で「もっともらしさ」が上がる:社内用語や取引の文体を真似た“自然な”メールが増え、見抜きづらい。
  • 「請求書差し替え」「振込先変更」型が定番化:金額が大きいほど狙われやすく、月末・決算期など繁忙タイミングに集中しやすい。
  • 侵害されたメールアカウントの悪用:本物のメールスレッドに割り込む形(返信・転送)で騙すため、内容がより信じやすい。
  • 送金後の回収が難しい:初動が遅れるほど回収確率は下がるため、疑い段階での「止める判断」が重要。

最近被害にあった企業(代表例)

「振込先の変更」「虚偽の送金指示」といった“業務フローに入り込む”形の被害は、国内外で複数報告されています。実名公表されている代表例は次のとおりです。
  • 三信電気:香港子会社で、悪意ある第三者による虚偽の送金指示に基づく資金流出を公表(2025年7月)。損失見込は約2億5,600万円相当。開示資料(PDF)
  • TOA:米国子会社で、悪意ある第三者による虚偽の指示に基づく資金流出を公表(2025年7月)。被害額は約9,000万円相当。開示資料(PDF)
  • 日本の大手企業(社名非公表):国際捜査に関連し、架空の取引先になりすまして送金させるビジネスメール詐欺(BEC)が報告されています。INTERPOL発表
  • フィレンツェ大聖堂の運営組織(伊):修復会社になりすまし、メール連絡を悪用した請求・送金詐欺で高額被害が報じられています。報道(Reuters)

背景と原因(技術的要因と組織的要因)

BECが成立する背景は、大きく「技術」と「運用(組織)」に分かれます。

技術的要因

  • アカウント侵害(パスワード使い回し/漏えい/MFA未導入/不審な転送ルール・OAuth連携)
  • なりすまし(ドメイン詐称)(似たドメイン・表示名詐称、SPF/DKIM/DMARC未整備だと検知が遅れやすい)
  • AI悪用(誤字が少ない、会話の文脈に沿う、緊急性の演出が上手い、など)

組織的要因

  • 振込先変更の確認がメールだけ(電話・チャット等の別経路確認がない)
  • 承認フローが形骸化(忙しさで“いつもの”処理になりがち)
  • 緊急・例外対応に弱い(「今すぐ」「社外秘」「上長から」などの圧力で判断が鈍る)
  • 連絡先台帳が整っていない(取引先の正規窓口を即座に参照できない)

今すぐ取るべき一次対応チェックリスト

「BECかも?」と思ったら、確定を待たずに止血(送金停止)証拠保全を優先します。
  • 送金前:支払いを保留し、取引先へ別経路(電話・既知の番号)で確認する
  • 送金後:至急、金融機関へ連絡して組戻し/送金停止を相談(時間が最重要)
  • 社内連絡:経理・情シス・上長・法務(ある場合)へ同時展開し、判断を一本化
  • 証拠保全:該当メールを削除せず保管(ヘッダー情報、添付、送金指示、会話スレッド)
  • メールアカウント点検:不審な転送ルール/自動返信/署名改ざん/不審なOAuthアプリ連携を確認
  • アカウント保護:パスワード変更、セッション強制サインアウト、MFA有効化(可能なら強制)
  • 暫定ルールの徹底:当面「振込先変更は必ず別経路確認」「例外は二重承認」などを全社で徹底
保守・管理の無料相談(外部サイト)

再発防止のポイント

恒久対策は「人の注意力」依存を減らし、仕組みで事故を起こしにくくするのがコツです。
  • 送金・振込先変更の標準手順:変更時は必ず別経路確認(既知の番号)+二重承認(例外ルールも明文化)
  • 取引先連絡先台帳の整備:正規窓口の電話番号・担当者・確認フローを最新化(監査できる形に)
  • MFAの徹底:特に経理・管理者・役員アカウントは最優先(条件付きアクセス等も検討)
  • メール認証の整備:SPF/DKIM/DMARCで「なりすまし」を減らす(まずは監視→段階的に強化)
  • 侵害兆候の監視:転送ルール変更、異常ログイン、OAuth連携などを定期点検(アラート運用)
  • 訓練とテンプレ:訓練を定期実施し、「送金停止依頼」「取引先への別経路確認文」「社内一次報告」テンプレを事前に用意
WordPressの不具合、無料で相談に乗ります ➡
こちらもご覧ください

対応事例を見る