BECの概要と今回の示唆
2026年、上場企業のはてなが振り込め詐欺(BEC)により約11億円規模の資金流出被害を受けたと報じられた。BECは取引先や役員になりすまし、経理・財務の送金業務を「正規の依頼」に見せかけて実行させる詐欺である。マルウェアの痕跡が乏しい場合も多く、メール監視だけでは見逃しやすい。情シスにとってはメール対策に加え、送金プロセス全体の統制が焦点となる。
典型手口:送金先変更と緊急送金指示
BECで多いのは「振込先口座が変更になった」という連絡や、上長を装った「至急・極秘で送金せよ」という指示である。過去メールのスレッド偽装や請求書PDFの差し替えにより、通常業務の延長に見せかける。月末月初や決算期など、承認が流れ作業になりがちな時期を狙われる点も実務上のリスクだ。高額送金が前提の企業ほど、1回の判断ミスが重大事故に直結する。
原因の本質:メールよりプロセスと前提条件
被害の根は「メールが届いた」ことではなく、口座変更の真正性確認や承認観点が弱いことにある。取引先マスタ更新をメール依頼だけで通す、二重承認があっても金額・科目しか見ない、といった運用は突破されやすい。加えて、SPF/DKIM/DMARC未整備や類似ドメイン、Reply-To改ざんにより、受信者が本物と誤認しやすい状況が生まれる。公開情報や過去の侵害から社内事情を握られると、文面の説得力が一気に増す。
再発防止の実務:だまされても送れない統制
最優先は、口座変更・緊急送金に「別経路確認」を必須化することだ。登録済み番号へのコールバック、変更後初回は少額テスト送金、二者承認と証跡添付を標準とする。情シスはDMARC/DKIM/SPF整備、外部メール警告、類似ドメイン監視を進め、なりすまし到達率を下げる。さらに決裁限度額、作成者と承認者の分離、時間外送金制限で単独実行を防ぎ、経理向けに振込先変更シナリオの机上演習を回すことが有効である。