中堅・中小企業が狙われる理由② ビジネスメール詐欺
ビジネスの現場で当たり前に使われているメール。その利便性を逆手に取る形で広がっているのが「ビジネスメール詐欺(Business Email Compromise, BEC)」です。これは、経営者や取引先を装った偽のメールを送りつけ、送金や重要情報の提供をだまし取る攻撃です。日本でも被害は増加しており、特に中堅・中小企業にとって深刻なリスクとなっています。
1. 「本物にしか見えない」メールの巧妙さ
BECは従来の迷惑メールやフィッシング詐欺と違い、文面が非常に自然で、見た人が疑いにくいことが特徴です。例えば「社長が出張中で急ぎの送金を依頼している」といった、実際にあり得そうな状況を利用します。また、取引先企業の担当者になりすましたメールも多く、業務の流れの中で疑問を持たずに対応してしまうケースがあります。
2. なぜ中堅・中小企業が狙われるのか
大企業では、複数の承認フローやセキュリティ部門によるチェック体制が整っていることが多いですが、中小企業ではそうした体制が十分でない場合があります。
「社長からの指示だから従うしかない」「取引先からの依頼だからすぐに対応しよう」といった組織文化の隙を、攻撃者は突いてきます。金額が数百万円規模であっても、企業にとっては大きな損失となり、経営を揺るがすこともあります。
3. 攻撃の流れ
典型的なBECの手口は次のような流れです。
- 攻撃者は、メールアカウントの乗っ取りや公開情報を調査し、やりとりの癖や関係性を把握する。
- 取引先や経営層を装ったメールを送信し、「至急の対応」「社外秘」など心理的に断りにくい要素を盛り込む。
- 受け取った担当者が送金や情報提供を行ってしまい、被害が発生する。
4. 防ぐために必要な視点
BECは技術的なセキュリティ製品だけで完全に防げるものではなく、「人の判断」が大きなカギを握ります。そのためには次のような仕組みづくりが求められます。
- 送金や重要処理は、必ず複数人で承認する仕組み
- メールだけでなく、電話など別の手段で確認する習慣
- 社員教育による「なりすまし」への警戒心の向上
まとめ
ビジネスメール詐欺(BEC)は、組織の規模を問わず誰もが被害者になり得る脅威です。特に中堅・中小企業では「スピード重視」や「トップダウン」の意思決定が行われやすく、その文化が攻撃者に悪用される可能性があります。
「本当にその依頼は正しいのか?」と一度立ち止まることが、最大の防御策です。
