sg sg-security-overview threat_vulnerability data_leakage security_training
まず結論
BEC(Business Email Compromise)は、取引先や経営者になりすましたメールで、送金や機密情報の提供をだます攻撃です。
SG試験では、単に「怪しいメールを見分ける問題」ではなく、業務手続きとしてどう防ぐかを判断させる問題として出ることがあります。
特に、次のような選択肢には注意します。
- メール本文だけを信じて送金先を変更する
- 経営者からの依頼なので確認を省略する
- ウイルス対策ソフトだけで十分と考える
BECは、マルウェア感染よりも、人の信頼関係や承認手続きの弱さを狙う点が重要です。
直感的な説明
BECは、会社のやり取りに入り込む「なりすまし請求」のようなものです。
たとえば、経理担当者に次のようなメールが届いたとします。
いつもの振込先ではなく、今回から下記の口座に振り込んでください。
メールの差出人が取引先の担当者に見えると、つい信じてしまうかもしれません。
しかし、そのメールは攻撃者が送ったものかもしれません。
BECで怖いのは、メールの文章が自然で、業務の流れにも合っているように見えることです。
そのため、SG試験では「不審な添付ファイルを開かない」だけでなく、送金先変更や重要依頼は別経路で確認するという判断が重要になります。
定義・仕組み
BECは、Business Email Compromise の略で、日本語ではビジネスメール詐欺と呼ばれます。
IPAも、ビジネスメール詐欺(BEC)について、代表的な手口や対策をまとめた資料を公開しています。詳しくは IPAのビジネスメール詐欺(BEC)対策特設ページ で確認できます。
BECの基本的な流れは、次のように整理できます。
- 攻撃者が取引先や社内関係者になりすます
- 本物らしいメールで送金先変更や支払いを依頼する
- 担当者がメールを信じて処理する
- 攻撃者の口座へ送金される、または情報が渡る
代表的ななりすましには、次のようなものがあります。
| なりすましの相手 | 典型的な内容 | 注意点 |
|---|---|---|
| 取引先 | 請求書の振込先変更 | 通常業務に見えるため気づきにくい |
| 経営者・役員 | 至急の送金指示 | 権威や緊急性で確認を省かせる |
| 社内担当者 | 支払処理や情報提供の依頼 | 社内メールに見えると油断しやすい |
BECは、必ずしもウイルス付きメールとは限りません。
むしろ、自然な文章で人をだますソーシャルエンジニアリングの要素が強い攻撃です。
そのため、技術的対策だけでなく、次のような運用面の対策が大切です。
- 振込先変更は電話など別経路で確認する
- 高額送金は複数人で承認する
- 経営者名の緊急依頼でも例外扱いしない
- 取引先情報や担当者情報を安易に公開しない
- 事例を使って従業員教育を行う
どんな場面で使う?
BECという用語は、メールを使って業務上の支払い・送金・機密情報をだまし取る攻撃を説明するときに使います。
SG試験では、次のような場面で問われることが多いです。
- 経理担当者が送金先変更メールを受け取る
- 取引先を装った請求書が届く
- 経営者を名乗る人物から緊急送金を求められる
- メールアカウントが乗っ取られ、本物のアカウントから不正依頼が送られる
このときの判断基準は、メールが本物らしいかどうかではなく、重要処理をメールだけで進めていないかです。
たとえば、選択肢で次のように書かれていたら注意です。
- 「差出人が取引先なので、そのまま振り込む」
- 「社長からの依頼なので承認を省略する」
- 「メールの文面に不自然さがなければ問題ない」
これらは、BEC対策としては不十分です。
正しい方向性は、本人確認・別経路確認・承認手続き・教育です。
よくある誤解・混同
BECは、フィッシングや標的型メール攻撃と混同しやすい用語です。
| 用語 | 主なねらい | 切り分けのポイント |
|---|---|---|
| BEC | 送金・支払・情報提供をだます | 業務上の信頼関係を悪用する |
| フィッシング | ID・パスワードなどを入力させる | 偽サイトへ誘導することが多い |
| 標的型メール攻撃 | 特定組織に侵入する | 添付ファイルやリンクから侵入させることが多い |
| マルウェア感染 | 不正プログラムを実行させる | 端末やシステムへの感染が中心 |
SG試験では、次のようなひっかけに注意します。
誤解1:BECはウイルス付きメールのこと
BECは、必ずしもウイルス付きメールではありません。
攻撃者は、自然な文章や本物らしい業務依頼で人をだまします。
そのため、ウイルス対策ソフトだけでは防ぎきれません。
誤解2:差出人が本物なら安全
メールアカウントが乗っ取られている場合、本物のアカウントから不正な依頼が送られることもあります。
差出人だけで判断せず、送金先変更や高額送金は別経路で確認します。
誤解3:経営者からの依頼なら例外扱いしてよい
BECでは、経営者や役員になりすまして「至急」「秘密で」などと指示する手口があります。
SG試験では、緊急だから確認を省くという選択肢は誤りと判断します。
まとめ(試験直前用)
- BECは、取引先や経営者を装って送金や情報提供をだます攻撃
- ねらいは、技術よりも業務上の信頼関係と手続きのすき
- メール本文や差出人だけで送金先変更を判断しない
- 対策は、別経路確認・複数人承認・教育・手順の徹底
- SG試験では「ウイルス対策だけで十分」「緊急なので確認省略」を切る
🔗 関連記事
- AESとは?鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- 攻撃の事前調査とは?偵察・スキャン・脆弱性探索の流れ【SG試験】
- 攻撃者の種類とは?目的と特徴で整理する【SG試験】
- 認証方式とは?3要素と多要素認証を整理【SG試験】