ビジネスメール詐欺（BEC）の仕組みと対策 (JA)

CEOから緊急の電報送金に関するメールが届きました。新しい銀行口座で、誰にも相談しないようにとのことです。アドレスは正しく見え、口調も合致しており、リクエストも特に不審な点はありません。2日後、お金は消えていました。しかし、CEOはそのメッセージを送っていませんでした。

ビジネスメール詐欺（BEC）は、組織を標的とする最も収益性の高い詐欺カテゴリの1つです。マルウェアもエクスプロイトも使用せず、説得力のあるメールと、誰も確認する前に迅速に処理されるプロセスによって行われます。この記事では、主要なBECの各バリアントがどのように機能するか、なぜ効果的なのか、そしてIDインフラストラクチャがどのようにそれを阻止するかについて説明します。

重要なポイント

• BECはソーシャルエンジニアリング詐欺です。攻撃者は信頼されたメールIDを偽装または侵害し、金銭やデータを不正に転送させます。
• 4つの主要なバリアント（CEO詐欺、ベンダー/請求書詐欺、給与振込詐欺、アカウント侵害）は、共通のメカニズムを共有しています。それは、確立された信頼関係を悪用して通常の制御を迂回することです。
• 要求を確認するためのセカンドシグナルがない場合に攻撃は成功します。メールだけでは不十分です。
• Diditは、不審な送信者アドレスを検出するためのメール認証（0.03ドル）、支払い前に受取人やベンダーを認証するための本人確認およびKYB、異常な支払いをリアルタイムでフラグ立てするための取引監視によって、これらのギャップを埋めます。
• 1回のBEC支払いを見逃したコストは、すべてのチェックを組み合わせたコストをはるかに上回ります。

ビジネスメール詐欺（BEC）とは？

BECとは、攻撃者が正規に見えるメール（アドレスのなりすまし、類似ドメインの登録、または実際の口座の乗っ取り）を使って従業員を欺き、送金させたり、支払い詳細を変更させたり、認証情報を開示させたりする詐欺です。

その特徴は、システムを攻撃するのではなく、人やプロセスを攻撃することです。スキャンするペイロードも、一致させるシグネチャもありません。巧妙に作成されたBECメールは、フィルターにとっては「通常のメール」であるため、すべてのスパムフィルターを通過します。

主な攻撃タイプ

CEO詐欺（役員なりすまし）

攻撃者は、上級役員（CEO、CFO、法務顧問など）になりすまし、財務部門に緊急かつ機密の資金送金要求を新しい口座宛てにメールで送ります。緊急性と機密性は意図的なものであり、標的が他の誰かと相談するのを阻止します。送信元は通常、類似ドメイン（company.comの代わりにcompany-corp.com）または侵害された正規のアカウントであり、内容は標的の名前と役員のスケジュールから調査されていることがよくあります。

ベンダーおよび請求書詐欺

攻撃者は既知のサプライヤーになりすまし、経理部門にベンダーの銀行口座が変更されたと伝え、次回の支払いを新しい口座に振り替えさせます。銀行口座の変更は日常的な出来事であり、異常な要求ではないため、これは効果的です。詐欺は、実際のベンダーが未払いの請求書を催促したときに初めて発覚します。

給与振込詐欺

攻撃者は従業員になりすまし、人事部または給与計算部門に次回の給与支給前に直接振込の詳細を変更するよう依頼します。標的は内部の給与計算担当者であるため、従業員が給与の未払いを報告するまで取引は正規に見えます。

アカウント侵害（ATOを悪用したBEC）

この場合、攻撃者はなりすましではなく、アカウントを所有しています。実際の口座（多くは財務または調達）が認証情報のフィッシングやパスワードリスト攻撃によって乗っ取られ、正規のアドレスからBEC要求が送信されます。これは、すべての認証シグナルが送信者が正当であると示すため、最も捕捉が難しいバリアントです。

BECが高額な理由

電信送金は取り消し期間内であっても元に戻せないことが多く、正規の当事者が追跡するまでに資金はすでに移動しています。信頼は事前に確立されています。要求はCEO、サプライヤー、または従業員から来るため、確認は不要に感じられます。緊急性と機密性は、それを捕捉するはずの制御を抑制し、類似ドメインの登録には数ドルしかかかりません。もっともらしい表示名があれば、ほとんどの受信者はそれ以上見ようとしません。

Diditがどのように役立つか

BECは、支払いチェーンの3つのポイント（ベンダーがオンボーディングされるとき、受取人の詳細が変更されるとき、取引が実行されるとき）における本人確認のギャップを悪用します。Diditのモジュールは、これら3つすべてに対応します。

メール認証 — 信頼が広がる前に不審な送信者を捕捉

Diditのメール認証モジュール（チェックあたり0.03ドル）は、OTPの送受信とリスクシグナル層を2秒未満で実行します。BECにとって、リスクシグナルは最も重要です。

• 情報漏洩の露呈 — アドレスが既知のデータ漏洩に現れており、侵害されているか収集された可能性があることを示唆しています。
• 使い捨てプロバイダーの検出 — 一時的または使い捨てのドメインであり、攻撃のために作成されたアカウントと一致します。
• 配信可能性 — アドレスがメールを受け付けないため、「ベンダー」は送信できますが返信を受け取ることはできません。
• ドメイン評価 — ドメインが新しい、フラグが立てられている、または類似ドメインの特性を示しています。

返される警告コード：BREACHED_EMAIL、DISPOSABLE_EMAIL、UNDELIVERABLE_EMAIL、DUPLICATED_EMAIL。これらの各警告がビジネスコンソールで承認、レビュー、拒否のいずれをトリガーするかを設定できます。ベンダーまたは受取人のオンボーディングの場合、DISPOSABLE_EMAILとUNDELIVERABLE_EMAILを強制レビューに設定することは、労力が少なく、シグナルが高い捕捉方法です。ベンダーのオンボーディング時、受取人の登録時、または銀行詳細の変更処理時に実行してください。サインアップ時だけでなく、これらのタイミングで実行することが重要です。

本人確認 — 申請者が名乗る人物であることを確認

給与振込詐欺や内部での口座変更要求の場合、認証セッションは議論の余地のないセカンドシグナルを追加します。短い本人確認を要求することで、キーボードを操作している人物が登録済みの従業員であることを確認します。

KYCコアフロー（ID検証 + パッシブライブネス + 顔認証1:1 + IP/デバイス分析）は、セッションあたり0.33ドルで実行されます。DiditのSDKはWeb、iOS、Android、React Native、Flutterをカバーしているため、単一のAPIコールでHRまたは給与計算ポータルに組み込み、Webhookまたは決定エンドポイントを介して結果を読み取ることができます。デバイスシグナルも役立ちます。セッションがその従業員に関連付けられたことのないデバイスまたはIPから実行された場合、DUPLICATED_DEVICE_FINGERPRINTまたはEXPECTED_IP_ADDRESS_MISMATCHが発火します。

ビジネス認証（KYB） — 最初の支払い前にベンダーを検証

ベンダー請求書詐欺は、新規サプライヤーが時には信頼に基づいて（メール、署名付きPDF、電話など）オンボーディングされるために機能します。ビジネス認証（KYB、2.00ドルから）は、次のプログラムチェーンでそのギャップを埋めます。

• 登記簿検索 — 会社が存在し、その管轄内で活動していることを確認します。
• UBO抽出と役員データ — 実際にその事業体を誰が管理しているかを明らかにします。
• 事業体AMLスクリーニング — 事業体とその主要人物を、1,300以上の制裁、PEP、有害メディアリストと照合します。
• リンクされたKYCセッション — 各UBOは完全な個人本人確認を通過させることができ、事業体と個人の間のループを閉じます。

新しく登録された会社、配信不能なメール、登記簿に存在しないベンダーは、まさにBECオペレーターが作成するプロファイルです。KYBは、最初の請求書が支払われる前にそれを明らかにします。

取引監視 — リアルタイムで異常な支払いをフラグ立て

厳格なオンボーディング管理があっても、BECは既存の関係を乗っ取ることができます。実際のベンダーのメールを侵害した攻撃者が、実際の口座の銀行詳細変更を要求する場合があります。ベンダーは本物で、請求書も本物ですが、変更されたのは送金先だけです。

取引監視（取引あたり0.02ドル）は、動作の異常を捕捉します。ベンダーが一度も使用したことのない口座への支払い、履歴範囲外の金額、または頻度の突然の変化などです。ルールエンジンには、速度、金額、取引相手、地域をカバーする11のシードされたバンドルが付属しており、さらにカスタムルールを重ねることができます。一致したものは人間によるレビューのためのケース管理に入り、AWAITING_USERの自動修復ループは、リスクの低い支払いを、元のユーザーが続行する前に本人確認を再実行することを条件にゲートすることができます。

使用例

経理 — ベンダーのオンボーディングと銀行詳細の変更

新しいベンダーを追加したり、支払い詳細を変更したりする際に、メール認証 + KYBを実行します。使い捨てドメインや登記簿の不一致は、不正なベンダーが支払いを受ける前に阻止します。

人事および給与計算 — 従業員の給与口座変更

従業員が直接振込の詳細を変更するたびに、KYCステップを要求します。生体認証 + ライブネスは従業員がその場にいることを確認し、デバイスとIPシグナルはセッションが既知のコンテキストから発信されたことを確認します。

財務業務 — 送金監視

送金フローで取引監視を実行します。初めての取引相手、過去のしきい値を超える支払い、最近追加された口座にフラグを立て、実行前にレビュー担当者にルーティングします。

プラットフォームとマーケットプレイスの支払い

あなたの製品が企業やフリーランサーに資金を支払う場合、BECスタイルの詐欺はプラットフォームレベルのリスクです。ビジネス受取人に対するKYBとサインアップ時のメール認証は、基本的な管理策です。

Diditとの連携方法

すべてのチェックはDidit認証セッション内で実行されます。必要なモジュール（メール認証、KYC、KYB、取引監視）を含むワークフローでセッションを作成し、Webhookまたは決定エンドポイントを介して決定を読み取ります。

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "vendor-onboarding-456",
    "callback": "https://yourapp.com/webhook"
  }'

curl 'https://verification.didit.me/v3/session/{sessionId}/decision/' \
  -H 'x-api-key: YOUR_API_KEY'

完全なリファレンス：メール認証 · KYB · 取引監視 · データモデル。

よくある質問

BECは通常のフィッシングとどう違うのですか？

フィッシングは通常、ユーザーをだましてどこかに認証情報を入力させることで、認証情報を盗みます。BECはそのステップをスキップし、信頼できるメールを使って標的を直接操作し、送金させたり銀行詳細を変更させたりします。認証情報を盗む必要はありません。標的が単に指示に従えば攻撃は成功します。

攻撃者が侵害した実際の口座を使用する場合、メール認証はどのように役立ちますか？

アカウント侵害のバリアントの場合、情報漏洩の露呈シグナルが最も関連性があります。アドレスが既知の漏洩データセットに現れている場合、その口座が乗っ取られた可能性を示す指標となります。配信可能性とドメイン評価のシグナルは、類似ドメインに役立ちます。アカウント侵害は、アドレスだけでは捕捉するのが最も難しいバリアントです。そのため、メールチェックと行動取引監視を組み合わせることが重要です。

新規ベンダーに対してKYBはどの時点で要求すべきですか？

最初の支払い前です。KYBの実行コスト（事業体あたり2.00ドルから）は、不正送金と比較してごくわずかです。最低限、新しい受取人が追加された場合、または既存の受取人の銀行詳細が変更された場合にはいつでもKYBをトリガーしてください。

DiditはEUおよび米国以外の企業もカバーしていますか？

はい。ビジネス認証は220以上の国と地域の登記簿をカバーし、AMLスクリーニングは1,300以上のグローバルリストをカバーし、取引監視は法定通貨と暗号通貨に対応しています。Diditは、EU加盟国政府（スペイン財務省/スペイン銀行/SEPBLAC）によって、対面認証よりも安全であると正式に証明された唯一のIDプロバイダーです。

始めましょう

BECはテクノロジーの問題であると同時にプロセスの問題でもありますが、適切なテクノロジーがあれば、プロセス制御を大規模に実現できます。Diditのメール認証、本人確認、KYB、取引監視は、オンボーディングと支払いフローに必要な正確なワークフローを構成します。

• モジュールを学ぶ → メール認証 · KYB · 取引監視
• 料金を確認する → didit.me/pricing — メール認証 0.03ドル、KYB 2.00ドルから、取引監視 0.02ドル/取引
• 無料で開始する → business.didit.me — 月500回まで無料認証、最低利用額なし