ホワイトハッカーの守井浩司氏は、メールを起点とするサイバー攻撃が情報窃取から直接的な金銭詐取へ移行していると指摘する。BEC(ビジネスメール詐欺)の高度化が進む中、企業が取るべき対策を紹介する。
「あかんメール開いて詰んでもうた」――。サイバーセキュリティコンサルティング企業レオンテクノロジーのホワイトハッカー、守井浩司氏によると、メール起因のインシデントは「情報詐取」から「直接的な金銭詐取」へとシフトしつつある。この現状を踏まえ、特にインシデント対応中の混乱に付け込むビジネスメール詐欺(BEC)の危険性と、技術・組織の両面から備える対策を解説する。講演のタイトルは、「あかんメール開いて詰んでもうた。情報漏えいの実例から対策を解説」だ。
守井氏はまず、2024年から2026年にかけて発生したメールに起因するインシデントの変遷を整理する。同氏によると、2024年の国内事例はメールアカウントへの不正アクセスやスパムを踏み台とした攻撃が中心だった。一方海外では、BECによる直接的な金銭被害が目立っていたという。
2025年になると海外での金銭詐取型BECはさらに横行し、2026年に入ってその傾向は日本に波及した。守井氏は「情報詐取から金銭詐取の被害へとシフトする傾向が日本でも海外でも見て取れる」と指摘する。
被害の規模も、無視できない水準に達している。2026年1月22日の報道発表によれば、東京都内の14社だけでBECによる被害は6.7億円以上に上っているという。守井氏によると、BECの受信自体は6000社以上で確認されており、「被害の広がりは6000社以上にCEOメール詐欺が着弾している」と警鐘を鳴らす。
守井氏が強調するのは、AI技術の進化による「本人っぽさの強化」だ。過去に漏えいした情報や過去のメール文脈をAIが分析し、本人さながらの言葉遣いで詐欺メールを生成する手口が今後増えると同氏は予測する。
「今日の講演で私は40分しゃべっているが、この40分で私を模したAIなんて簡単に作れてしまう」と守井氏は語り、ディープフェイクによる音声偽装が現実的な脅威になっていることを示唆する。“声すら信じられない時代”に突入したという認識だ。
守井氏によると、CEOメール詐欺の典型的な手口は3段階で進行する。まず「今会社にいますか」「至急確認してほしい内容がある」といった短文で自然な内容のメールが届く。返信すると「急いでいるからLINEグループを作ってくれ」とLINEやTeamsなど業務外のチャンネルに誘導される。そこで攻撃者は、言葉巧みに送金を指示したり、マルウェアの導入を要求したりする。守井氏は「メールの返信先が異なる、送信元も通常ではないというのがCEOメール詐欺の特徴」と説明する。
さらに「2段階詐欺化」と呼ぶ手口もある。最初は「ちょっとええか」「急ぎやねんけど堪忍」といった心理的ハードルの低い接触から始まり、外部チャネルに移った後で徐々に金銭要求へとエスカレートする。段階的に信頼関係を築いてから本題に入る巧妙さが特徴だ。
加えて、「QRコードフィッシング」(通称:クイッシング)の台頭にも守井氏は注意を促す。メール本文や添付ファイルにQRコードを埋め込み、ユーザーにスマートフォンで読み取らせて、攻撃者の用意したWebサイトに誘導する手口だ。従来のURLフィルターやサンドボックスをすり抜ける傾向があり、ゲートウェイ側でのQRコード検知やMDM(モバイルデバイス管理)による端末保護など、モバイルとゲートウェイの両面での対策が求められるという。
講演の核心は第3章「同時発生に注意。有事の混乱、気いつけなはれや」だった。守井氏は「今日これを話すためにここまで頑張った」と前置きし、インシデント対応中こそBECが最も「刺さる」タイミングだと力説する。
「平時であればスパムメールやビジネスメール詐欺が届いてもなんてことない。でもインシデントで混乱するタイミングで届いてしまうと、一気に被害が拡大したり、普段クリックしないような文面をクリックしてしまったりすることが起こり得る」。守井氏はこれを講演の冒頭で「今日最も言いたいこと」として紹介する。
レオンテクノロジーはフォレンジック調査を手掛ける。講演時点で、同社は有事と並行したBEC被害の事例には遭遇していないという。しかし守井氏は「AIの進化とともに、とんでもなく高度な本人成り済ましが実行されるかもしれない」と警戒感を示す。
なぜ有事に詐欺が刺さるのか。守井氏は3つの要因を挙げる。第一に、事件・事故の対応を急ぐあまり承認フローが形骸化し、イレギュラーな対応でも承認されてしまう。第二に、攻撃者は自らの攻撃で標的組織が混乱していることを把握しており、そのどさくさに紛れてBECを仕掛けてくる。第三に、有事の心理的混乱では「普通に考えれば分かること」が判断できなくなる。
「有事、マジで考えられないんです」と守井氏は断言する。
守井氏が提示する対策は、技術的防御と組織プロセスの整備を両輪とする多層防御だ。
技術面ではまず、パスキーなどフィッシング耐性のある多要素認証(MFA)の導入を推奨する。従来のパスワード認証+SMS認証と異なり、パスキーはフィッシングサイトに認証情報を渡さない仕組みを持つ。加えて、接続元の固定やリスクベースのアクセス制御といった条件付きアクセスの実施、異常ログインの検知と監査ログの取得によるアカウント侵害後の「居座り」検知も重要だと守井氏は述べる。
成り済まし対策としてはDMARC(送信ドメイン認証)に代表されるメール認証強化を挙げ、「世間的な対策対応も進んでいる」と導入を促す。DMARCは送信元ドメインの正当性を受信側で検証する技術で、自社ドメインの成り済ましメールを排除する効果がある。
しかし守井氏は、「技術だけでは防ぎきれないという現実」を繰り返し強調する。「存在しているちゃんとしたメール送信元から来る」ために技術的対策をすり抜けるケースがある。そこで、「内容で判断するしかない」場面が生じるという。
そこで鍵になるのが組織プロセスの制度化だ。守井氏は以下の対策を挙げる。
第一に、重要なアクションに対して数度の承認を経なければ承認作業が完了しないフロー。「社長が急いでいるといっても、皆さんの承認がないとできないというルールを設けることで被害を抑制できる」運用だ。少額の送金であっても個人の判断を許さず、複数人の承認を経る業務フローを徹底すべきだという。
第二に、別経路での本人確認。メールで届いた依頼は電話やその他の手段で本人確認を挟む。その際も「ポチポチと新しく連絡先を押すのではなく、昔から電話帳にある番号から連絡する」ことで、連絡先自体の偽装リスクを排除する。
第三に、外部チャンネルへの誘導を原則禁止するルール。LINEやTeamsへの移動を求めるメールは拒否し、決められた連絡手段以外でのやりとりを認めない運用を定める。
第四に、請求経路の固定化。振込先の変更依頼など、イレギュラーな対応は基本的に受け付けないプロセスにすることで、詐欺の余地をつぶす。
有事対応について守井氏は「初動の60分で決まる」と断言する。発生の検知と封じ込め・遮断を30分以内に実施し、60分以内に情報伝達とチームへの指示を完了させるフローが求められる。そのためには、平時から準備すべき「3つの柱」がある。
1つ目は指揮命令系統の固定。緊急時のやりとりは「Teamsのみ」「全社電話会議システムのみ」などチャンネルを限定し、それ以外での指示は無視するルールを定める。守井氏はこれを「チャンネル署名の考え方」と呼ぶ。具体的には「メールだけの緊急指示は無視する」「チャットツールへの誘導は拒否する」「電話での口頭承認は禁止する」といったルールだ。
2つ目は緊急例外の統制。有事には例外が発生するが、「例外については3人以上の承認でオーケーとするなどのルールが必要」と述べる。「少額だから」「金銭要求がないから」と安易に例外を許すと後に大きな被害が発生すると守井氏は警告する。
3つ目はプレイブックの作成と訓練。有事の際に迷わず動ける手順をあらかじめ文書化し、定期的に見直しと訓練を重ねる。守井氏は「平時に動いていないものは有事にも動かない。練習していないのにいきなりホームランは打てない」と語り、日常的な準備の重要性を訴える。
対策の実効性を左右する要素を、守井氏は「組織の風通し」だと述べる。守井氏は「偽メールだと思っても社長になかなか確認しにくい」という心理的障壁に触れ、「社長に確認できなくても、社長が送ったかどうかを確認するすべは残しておく」ことを提案する。本人に直接聞けなくても、秘書や管理部門を通じて確認できる体制があればよいというのが趣旨だ。
社長からの短文メールを「疑える」文化を醸成することが、あらゆる技術的対策の土台になると守井氏は強調する。
※本稿は、2026年3月2〜9日に開催された「ITmedia Security Week 2026 冬」のセッション「あかんメールを開いて詰んでしもた〜情報漏えいの実例から対策を解説〜」の内容を記事化したものです。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
