【10大脅威 ・第9位】高度化するビジネスメール詐欺

アクモスセキュリティチームです！

「社長から急ぎの振込指示があった」「取引先から請求書の振込先変更の連絡がきた」―こんなメールが届いたらどうしますか？

もし本当に社長からの指示なら、すぐに対応しないといけませんし、取引先からの依頼なら無視はできませんよね。ところが、こうしたビジネスメール詐欺（BEC：Business Email Compromise）の手口はますます巧妙化しています。

最近ではAIやディープフェイク技術を悪用した新しい形の詐欺も登場しています。これまでの「メールのなりすまし」だけではなく、AIが作り出した音声や動画を使って、電話やオンライン会議で直接詐欺を仕掛けてくるケースが増えているのです。

本記事では、IPA（独立行政法人情報処理推進機構）が発表した情報セキュリティ10大脅威2025『ビジネスメール詐欺』（組織編・第9位）の基本的な仕組みや最新の手口を解説し、企業が取るべき具体的な対策を紹介します。

ビジネスメール詐欺とは？基本的な仕組みと手口

引用：IPA・情報セキュリティ10大脅威 2025 [組織編] P.27ページ(PDF)

ビジネスメール詐欺は、企業の役員や取引先になりすまして、不正に送金をさせる詐欺です。特に財務や経理の担当者がターゲットになりやすく、巧妙な手口で騙されてしまうケースが後を絶ちません。

手口としては、大きく分けて以下のようなものがあります。

◆ なりすましメールによる詐欺

犯人は、企業の役員や上司、または取引先の担当者になりすまし、「急ぎで振り込んでほしい」「銀行口座を変更したので、今後はこちらに送金してほしい」などのメールを送ります。

メールアドレスを偽装する手口（ドメインそっくりのアドレスを作る）や、実際に企業のメールサーバーを乗っ取る手口などがあり、本物と見分けがつきにくいため、被害に遭う企業が多くなっています。

◆ 乗っ取りによる詐欺

犯人が企業のメールアカウントをハッキングし、本物のメールを使って詐欺を仕掛けるケースもあります。

例えば、取引先とのやり取りの中で請求書が送られるタイミングを把握し、その直前に「振込先変更のお知らせ」メールを送りつけることで、企業の経理担当者を騙します。実際に過去のメールの内容を再利用するため、見た目は100％本物のメールと変わりません。

メールの内容が具体的で詳しい場合、攻撃者の標的にされており、事前に十分な準備や情報収集が行われている可能性があります。

AI・ディープフェイクを活用した最新の詐欺手口

従来のビジネスメール詐欺に加え、最近ではAIを使った音声や映像の偽造（ディープフェイク）を利用した詐欺が登場しています。

特に巧妙なのが、経営者や上司の声をAIで再現し、部下に直接指示を出す手口です。これまでのメール詐欺と違い、電話やオンライン会議で詐欺が行われるため、騙されやすくなっています。

◆ AIが生み出す「偽物の上司」

最近のAI技術では、わずか数十秒間の音声データがあれば、その人の声を完全に再現することが可能です。

例えば、犯人が会社の社長の過去のスピーチや動画をネットから入手し、そのデータをAIに学習させると、本物そっくりの音声を作り出せます。

この技術を悪用すれば、「社長の声で財務担当者に送金指示をする」といったことができてしまうのです。しかも、電話で直接話しているように聞こえるため、メールよりもさらに信憑性が増します。

◆ ディープフェイク動画を活用した詐欺

さらに、ディープフェイク技術を使って経営者の顔や動きを再現し、ZoomやTeamsなどのオンライン会議に登場する詐欺も出てきています。

例えば、CEOになりすました犯人がオンライン会議に参加し、「至急、この口座に振り込んでほしい」と直接指示をすることで、経理担当者を騙すのです。これは、もはや単なるメール詐欺ではなく、リアルタイムで仕掛けられるサイバー犯罪になりつつあります。

実際に発生した被害事例

◆ ディープフェイクによる映像や音声のなりすまし

2024年1月、多国籍企業の香港支社で約37.5億円が詐取される事件が発生。従業員は、本社CFOを名乗る人物から「秘密の取引のために口座を操作する必要がある」とのメールを受信し、続いてビデオ会議の招待も受け取りました。

会議にはCFOの映像と音声、同僚の映像も映し出され、従業員は本物と信じ込んで送金を実行。不審に思い確認したところ、実際にはCFOも同僚も取引を知らず、詐欺と発覚。通報後、警察は6人を逮捕しましたが、資金は回収できませんでした。

◆ 生成AIを利用したBECの増加

Vipre Security Groupの報告*1によると、過去1年間でビジネスメール詐欺（BEC）の件数が急増しています。全世界で処理された18億通のメールのうち、約2億2600万件がスパムで、そのうち49%がBECだったとのことです。特にCEOが最も標的になりやすく、人事部門やIT部門も狙われる傾向があります。

さらに、BECの40%はAIによって生成されたものであることが判明しており、VipreのCTOは、AI技術の進化により今後さらに攻撃が増加する可能性があると警告しています。

*1 参照：BEC Attacks Surge 20% Annually Thanks to AI Tooling（Infosecurity Magazine）
VIPRE Security Group（バイプレセキュリティグループ）は、サイバーセキュリティ、プライバシー、データ保護のサービスを提供するグローバル企業です。

企業が取るべき対策

このような手口の詐欺に対して、企業はどのような対策を取るべきでしょうか？

◆ 基本的な対策（共通）

IPAは、脅威に対しては「情報セキュリティ対策の基本が重要」と挙げています。各脅威の「攻撃の糸口」は似通っており、「情報セキュリティ対策の基本」による効果が期待できるので、以下の対策を継続的に行うことで、被害に遭う可能性を低減できるとしています。

情報セキュリティ対策の基本

参照：IPA・情報セキュリティ10大脅威 2025報告書

◆ BECに対する認識と理解を深める

社員一人ひとりが「ビジネスメール詐欺とは何か」を理解していることが大切です。特に、経理・財務担当者や役員には定期的な研修を実施し、新たな手口についての知識をアップデートするようにしましょう。

◆ ガバナンスが機能する業務フローの構築

金銭の支払いに関わる業務は、単独で判断せず、必ず複数人で審査・承認するフローを構築することが重要です。これにより、詐欺のリスクを大幅に軽減できます。
また、振込依頼がメールで届いた場合は、必ず電話など別の手段で確認を行うルールを徹底しましょう。特に、振込先の変更依頼は詐欺の可能性が高いため、慎重に確認することが求められます。

具体的な対策例

(1)メールの真正性を確認する技術の導入

• 電子署名の付与（S/MIMEやPGP）を活用し、送信者の正当性を証明する
• 送信ドメイン認証（DMARC、SPF、DKIM）を導入し、自社ドメインを騙ったメールを受信しないようにする

(2)メールアカウントのセキュリティ強化（乗っ取り防止）

• 強力なパスワードの設定
• 二要素認証（2FA）の導入により、不正アクセスを防ぐ
• 社員のアカウントがダークウェブなどで漏洩していないか定期的にチェックする

(3)異常・詐欺メールの兆候を見抜く

BECのメールは微妙な違和感があることが多いため、以下のような点に注意しましょう。

• 普段とは異なる表現や言い回しが使われていないか？
• 送信元のメールアドレスが少しだけ異なっていないか？
  （例：「@company.com」→「@cornpany.com」）
• 急ぎの対応を求めるなど、判断を急がせる内容になっていないか？
• リンク先へ誘導しようとしていないか？
• 添付ファイルを開かせようとしていないか？

特に「至急対応してください」「今すぐ振り込んでください」などの言葉が含まれている場合は、一度立ち止まって確認することが重要です。

IPA・What’s BEC ? 〜ビジネスメール詐欺 手口と対策 〜【日本語字幕版】

まとめ

情報セキュリティ10大脅威2025の第9位に選ばれた「ビジネスメール詐欺」は、年々手口が巧妙になっています。最近では、AIやディープフェイク技術を悪用し、経営者や上司の声や映像をそっくり再現して、直接送金を指示する詐欺も増えています。AI音声は驚くほど精度が高く、有名人の声を再現したものも登場しており、一瞬聞いただけでは本物と区別がつかないレベルになっています。

こうした詐欺の被害を防ぐためには、まずビジネスメール詐欺についての理解を深め、社員全員の意識を高めることが大切です。

アクモスの標的型攻撃メール訓練サービスは、詐欺メールを見分ける力を養うのに役立ちます。自社のセキュリティ対策の一環として、ぜひご検討ください！

＜アクモスのセキュリティサービス紹介＞
標的型攻撃メール訓練サービスの概要

＜アクモスのセキュリティサービス紹介＞
TMT３ヶ月プラン・料金の詳細

＜資料で検討したい場合＞
サービス資料のダウンロード

＜問い合わせしたい場合＞
お問い合わせ・導入相談

＜2ヶ月間無料で体験できる無料プランで試してみたい場合＞
Freeプランのお申込みはこちら