セキュリティソフトをすり抜ける“心理を突く詐欺”が増えています
社長を名乗るそのメール、本当に本人ですか?
今回、ちょうど良いタイミングで
「少し気になるメールが届いたのですが…」
という相談をいただきました。
内容を確認すると、いわゆる
「ビジネスメール詐欺(BEC:Business Email Compromise)」
と呼ばれる手口の一つでした。
これは以前から警察庁やセキュリティ関連団体でも
注意喚起されている詐欺手法です。
警察庁:ビジネスメール詐欺の手口
https://www.npa.go.jp/bureau/cyber/countermeasures/bec.html
IPA:BECの代表的なパターン
https://www.ipa.go.jp/security/bec/bec_pattern.html
今回の手口は「経営者へのなりすまし」
今回のケースは、
経営者(社長・会長)になりすましてメールを送り、
緊急性を装って送金などを指示する というもの。
実際、つい最近もニュースで被害が報道されています。
「まさか自分のところが…」
と思っている組織ほど、狙われやすいのが特徴です。
なぜ見抜きにくいのか?
この詐欺の厄介な点は、技術的な偽装など高度なハッキングをしているわけではない ということ。
- メールアドレス自体は「実在する正しいアドレス」
- 表示名だけを社長や取引先担当者の名前に変更
- 送信者認証(SPF / DKIM)も通る
そのため、
一般的な迷惑メールフィルタやセキュリティソフトを簡単に通り抜けてしまいます。
つまりこれは、技術ではなく「人の心理」を突いた攻撃 となのです。
狙われるのは「確認しづらい心理」
特に狙われやすいのは、こんな状況です。
- 「急ぎ」「至急」「内密で」と書かれている
- 社長や上司の指示なので確認しづらい
- トップが絶対的な権限になってしまっている
- いつもと違うアドレス=緊急だと誤解してしまう
冷静に考えればおかしいと気がつくようなケースでも、
強迫観念が先に立つと、人は確認を省略してしまう
そんな心理を悪用されている訳ですい。
すぐできる現実的な対策
対策の基本は、とてもシンプルです。
① 手口を「知っておく」こと
まずは、こういう詐欺があるという事実をスタッフ・関係者全員が知っていること。
② 確認ルールを決めておく
例えば、
- 「社長からの送金指示で迷ったら、必ず電話やメッセージで確認」
- 「メールだけで完結させない。別の手段で確認する」」
といった “確認していい空気”を作ること が大切です。
「迷ったら確認して!」
と、あらかじめ社内に伝えておくだけでも、被害の確率は大きく下がります。
取引先になりすますパターンも
ちなみに、これは 社外の取引先に成りすますもあります。
当初のビジネスメール詐欺はこのパターンでした。
広告代理店
商品仕入れ先
外注先担当者
など実際の取引先にになりすまして、偽の請求書や送金依頼を送りつける手口 です。
基本的な考え方は同じで、
「少しでも気になったら、メール以外の手段で確認」
これに尽きます。
まとめ:知っていれば、防げる詐欺
ビジネスメール詐欺は、
誰かが悪いというより、仕組みと心理の問題 です。
セキュリティソフトだけでは防げない
人が判断するポイントが狙われる
だからこそ、事前の共有とルールが重要
「こういう手口がある」
その一言を、ぜひ社内でも共有しておいてください。
それだけで、守れるものがあります。
警察庁:ビジネスメール詐欺の手口
https://www.npa.go.jp/bureau/cyber/countermeasures/bec.html
IPA:BECの代表的なパターン
https://www.ipa.go.jp/security/bec/bec_pattern.html