Defaults.Exposed › Glossary › Business Email Compromise (BEC)

Business Email Compromise (BEC)

Also known as: BEC, CEO fraud, invoice fraud, payment redirect scam

犯罪者がメールのなりすましを使い、社員や顧客をだまして送金させたり口座情報を変えさせたりする詐欺。ドメインのメール設定を固めることで、その主要な手口を一つ封じられます。

何のことか

Business Email Compromise（ビジネスメール詐欺、BEC）は、メールへの信頼を逆手に取った詐欺です。犯罪者が、標的が信頼する人物（経営者、経理担当、取引のある業者など）になりすまし、その変装を使ってお金を動かさせたり口座情報を変えさせたりします。力ずくの強奪はなく、説得力あるメッセージが頃合いよく届くことに頼ります。

よくある形は、上司から来たように見える偽の「至急の支払い」依頼や、「業者から」として新しい口座情報（実は犯罪者のもの）を載せた偽の請求書です。

ビジネスへの影響

BEC は最も損害の大きい詐欺の一つです。まさに、人が請求書を支払い、上司の指示に従うという、ふつうのビジネス行動を狙うからです。一度成功すれば、本物の支払いをそのまま犯罪者へ流してしまい、お金は二度と戻らないことが多いのです。

中小企業を強く直撃します。実際のお金が動いているのに、一件一件の依頼を再確認する大きなセキュリティチームはたいていいません。メールが本当に自社のドメインから来たように見えると、慎重な社員でも引っかかります。

確認方法・対処法

欲を止めることはできませんが、犯罪者の最良の道具の一つ — あなたのドメインから本当に来たように見えるメールを送る能力 — は奪えます。DMARC を（reject に）固め、SPF と DKIM を併用すれば、攻撃者があなたのアドレスそのものを偽るのを止められます。これに、支払いや口座情報の変更は、すでに手元にある番号に電話して確認するという単純なルールを組み合わせてください。ドメインのチェックは無料、メールの修正も無料です。まずは DMARC 修正ガイドから始めてください。

Want to fix this on your own domain? See the free guide →