2σ Guide

標的型攻撃・
ビジネスメール詐欺対応

経営、法務、経理、CSIRT、個人情報保護、広報を一体で動かすために、初動、証拠保全、通知義務、送金統制、再発防止を企業法務の視点で整理します。

5位・10位 IPA組織向け脅威での位置づけ
24,768件 FBI IC3の2025年BEC関連申告
約30億ドル 2025年BEC関連損失額
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

標的型攻撃・ ビジネスメール詐欺対応

資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
標的型攻撃・ ビジネスメール詐欺対応
資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 標的型攻撃・ ビジネスメール詐欺対応
  • 資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。

POINT 1

  • 標的型攻撃・ビジネスメール詐欺対応の全体像
  • 資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。
  • IT部門だけに委ねず、企業法務と経理統制を同時に動かします
  • 標的型攻撃とビジネスメール詐欺、すなわちBECは、企業の信用、資金、営業秘密、個人情報、取引関係、役職員の責任に直結します。
  • この領域では、単なる経理ミスやIT事故として処理すると危険です。

POINT 2

  • 標的型攻撃・ビジネスメール詐欺対応で押さえる定義
  • 早期に断定せず、資金、情報、システム、証拠、対外義務を同時に保全します。
  • 脅威の位置づけも、企業法務が関与する理由を示します。
  • 国内順位と海外損失額を分けて見ることで、この問題が一過性の技術問題ではなく、継続的な経営課題であることが分かります。

POINT 3

  • 標的型攻撃・ビジネスメール詐欺対応で想定する攻撃類型
  • 取引先、役員、専門家、メールアカウント、委託先のどこが起点かを切り分けます。
  • 口座変更・請求書差替え
  • 経営者・CFOなりすまし
  • 専門家・金融機関なりすまし

POINT 4

  • 標的型攻撃・ビジネスメール詐欺対応の法的論点
  • 個人情報保護法
  • メールやクラウドが侵害された場合、個人データ漏えい等の報告・本人通知の要否を検討します。
  • 営業秘密・秘密情報
  • 設計図、ソースコード、顧客名簿、価格表、M&A資料などは、秘密管理性、有用性、非公知性と平時の管理状態が重要です。

POINT 5

  • 標的型攻撃・ビジネスメール詐欺対応の初動24時間
  • 1. 不審メール・送金指示を発見:返信や削除を避け、メール原本、ヘッダ、請求書、口座情報を保存します。
  • 2. 送金済みかを確認:送金日時、金額、通貨、受取銀行、取引番号を確認します。
  • 3. 銀行へ即時連絡:組戻し、リコール、受取銀行への連絡を依頼します。
  • 4. 関連支払を停止:同じ取引先、同じドメイン、同じ担当者に関する支払を一時確認します。
  • 5. CSIRT・法務・経理・経営へ共有:アカウント侵害、個人情報、営業秘密、契約通知、警察・保険対応を並行して見ます。

POINT 6

  • 標的型攻撃・ビジネスメール詐欺対応の調査と証拠保全
  • 犯人探しだけでなく、通知義務、保険、訴訟、再発防止に耐える事実を残します。
  • 個人データ、営業秘密、未公表情報、同じ攻撃者による追加被害、保険請求に必要な証拠も確認します。
  • ログ保存期間も重要です。
  • メール侵害では、攻撃者が数週間から数か月にわたりメールを盗み見て、送金タイミングを待つことがあります。

POINT 7

  • 標的型攻撃・ビジネスメール詐欺対応の報告・通知・連絡
  • 確認済み事実、未確認事項、暫定評価、意思決定事項を分けて伝えます。
  • 社内報告は、担当部署内の事故報告で終わらせません。
  • 連絡先ごとに求める資料が違うため、未確認の責任関係を断定せず、確認済み事実と対応方針を分けて読むことが大切です。
  • 海外送金では、SWIFT情報、受取銀行、受取口座、支店、取引番号を早期に整理します。

POINT 8

  • 標的型攻撃・ビジネスメール詐欺対応の技術的予防策
  • メール認証、フィッシング耐性、ログ、監査、端末・ネットワーク管理を組み合わせます。
  • 技術対策は、攻撃の成功率を下げ、侵害後の調査可能性を高めるための基盤です。
  • 各項目の役割を読むことで、なりすまし低減、アカウント保護、侵害検知、証拠化のどこに効く対策かを見分けられます。
  • 正当な送信経路を棚卸しし、監視モードから段階的に隔離・拒否へ移行します。

まとめ

  • 標的型攻撃・ ビジネスメール詐欺対応
  • 標的型攻撃・ビジネスメール詐欺対応の全体像:資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。
  • 標的型攻撃・ビジネスメール詐欺対応で押さえる定義:早期に断定せず、資金、情報、システム、証拠、対外義務を同時に保全します。
  • 標的型攻撃・ビジネスメール詐欺対応で想定する攻撃類型:取引先、役員、専門家、メールアカウント、委託先のどこが起点かを切り分けます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

標的型攻撃・ビジネスメール詐欺対応の全体像

資金、情報、証拠、法的義務、経営判断を同時に守る危機管理です。

標的型攻撃とビジネスメール詐欺、すなわちBECは、企業の信用、資金、営業秘密、個人情報、取引関係、役職員の責任に直結します。攻撃者は特定の企業、部署、役職者、取引先を調べ、なりすまし、認証情報の窃取、メールアカウント侵害、請求書差替え、口座変更依頼などを組み合わせます。

この領域では、単なる経理ミスやIT事故として処理すると危険です。過去の取引メールが盗み見られ、真正なスレッド上で偽指示が出される場合、送金停止、ログ保全、個人情報・営業秘密の評価、契約通知、取締役会報告、広報、保険、再発防止を並行して進めます。

次の重要ポイントは、標的型攻撃・ビジネスメール詐欺対応で最初に押さえるべき判断軸をまとめたものです。どの部署が何を担当するかを早く分けるほど、資金回収、証拠保全、通知期限の管理に役立ちます。

IT部門だけに委ねず、企業法務と経理統制を同時に動かします

送金を止める経理統制、証拠を壊さないデジタルフォレンジック、個人情報・営業秘密・契約義務の法的評価、経営判断、取引先との信頼回復、再発防止の内部統制改善を同時並行で扱います。

この記事で中心となる問いは、攻撃の定義、初動対応、法的義務、平時の予防策、再発防止と証拠化の水準です。被害後に経営判断として合理的だったと説明するためには、平時の規程、契約、認証、ログ、教育、承認統制が重要になります。

Section 01

標的型攻撃・ビジネスメール詐欺対応で押さえる定義

早期に断定せず、資金、情報、システム、証拠、対外義務を同時に保全します。

標的型攻撃は、不特定多数へのばらまきではなく、特定の企業、業界、部署、役職者、取引先、委託先、グループ会社を狙って準備されます。攻撃メールは請求書、役員会資料、専門家からの照会、採用応募、監査資料、税務資料、海外子会社からの報告、M&A関連資料を装うことがあります。

BECは、メール、チャット、請求書、クラウドアカウント、電話、偽ドメイン、なりすまし文面を組み合わせ、送金、口座変更、請求書差替え、機密情報送付を誘導する詐欺類型です。真正なメールアカウントが侵害されると、迷惑メールフィルタを通過し、過去のメールを踏まえた自然な偽指示が送られることがあります。

次の比較表は、関連する攻撃類型と対応上の見方を整理しています。分類名だけで処理を固定すると対応漏れが起きるため、どの類型でも資金、情報、証拠、通知義務の確認が必要だと読み取ることが重要です。

類型主な特徴実務上の注意点
標的型攻撃特定企業や部署を狙い、偵察、認証情報窃取、マルウェア、クラウド侵害、横展開を組み合わせます。法務、経理、人事、知財、経営企画も入口になり得るため、技術部門以外の教育が重要です。
BEC取引先、経営者、専門家、金融機関を装い、送金や情報送付を促します。不正送金だけでなく、メール閲覧による情報漏えい、契約責任、内部統制不備を確認します。
フィッシング偽サイトや偽ログイン画面で認証情報を取得します。盗まれたアカウントがBECや標的型攻撃に使われるため、アカウント調査が欠かせません。
ランサムウェアデータ暗号化や窃取データ公開脅迫で金銭を要求します。標的型攻撃の侵入後に発展する場合があり、バックアップ、復旧、開示判断が問題になります。
内部不正役職員や委託先が権限を濫用する類型です。外部攻撃に見せかける場合もあるため、承認履歴、アクセス権限、利益相反を確認します。

脅威の位置づけも、企業法務が関与する理由を示します。次の比較表では、公的資料や海外統計に出ている数値を並べています。国内順位と海外損失額を分けて見ることで、この問題が一過性の技術問題ではなく、継続的な経営課題であることが分かります。

資料示されている内容読み取り方
IPA 情報セキュリティ10大脅威 2026組織向け脅威で、機密情報を狙った標的型攻撃が5位、ビジネスメール詐欺が10位です。大企業だけでなく、中小企業、士業事務所、研究機関、海外子会社にも関係します。
FBI IC3 2025年版Internet Crime ReportBEC関連申告は24,768件、損失額は約30億4,659万ドルです。海外送金、米ドル取引、海外ベンダー、国際M&Aに関わる日本企業にも実務リスクがあります。
サイバーセキュリティ経営ガイドラインサイバーセキュリティを経営リスク、内部統制、事業継続の問題として扱います。取締役会、経営会議、内部監査まで含めた体制整備が求められます。
Section 02

標的型攻撃・ビジネスメール詐欺対応で想定する攻撃類型

取引先、役員、専門家、メールアカウント、委託先のどこが起点かを切り分けます。

攻撃者は、社内の繁忙期、承認者の出張、海外拠点との時差、月末支払、決算、M&Aクロージング、監査対応、社長不在、担当者の異動、取引先の口座変更、緊急性、秘密保持を利用します。技術の弱点だけでなく、組織文化や権限規程、心理的圧力を狙う点が特徴です。

次の一覧は、代表的な攻撃シナリオと法務上の確認点を並べたものです。どの入口でも、メールの真正性だけでなく、契約、支払慣行、承認手続、情報漏えい可能性を同時に読むことが重要です。

取引先

口座変更・請求書差替え

本物に似たドメインや侵害済みアカウントから、口座変更や今回限りの別口座送金を求めます。真の債権者への弁済、取引先側の管理、別経路確認の有無が争点になります。

役員

経営者・CFOなりすまし

極秘案件、緊急送金、取締役会承認済みといった圧力を使います。役員指示でも送金統制を例外化しない文化と規程が重要です。

専門家

専門家・金融機関なりすまし

M&A、訴訟和解、不動産取引、海外仲裁、税務対応などを装います。登録済み連絡先、別経路確認、複数承認を送金指図にも適用します。

アカウント

メールボックス侵害

過去メールを盗み見て、請求書、契約交渉、銀行情報、個人データ、労務情報、M&A情報を利用します。転送ルール、OAuth同意、サインインログを確認します。

委託先

サプライチェーン経由

自社が侵害されていなくても、取引先や委託先のメールが使われる場合があります。NDA、基本契約、委託契約、セキュリティ条項、通知義務を確認します。

内部者

内部不正との混在

外部攻撃に見える事案でも、承認フローの迂回や内部者の関与が隠れていることがあります。権限、ログ、承認履歴、利益関係を慎重に見ます。

攻撃類型を早期に固定しすぎると、資金回収や通知義務の判断を誤る可能性があります。初動では、標的型攻撃、BEC、単純詐欺、内部不正、個人情報漏えい、営業秘密侵害、システム障害の可能性を並行して扱います。

Section 04

標的型攻撃・ビジネスメール詐欺対応の初動24時間

資金を止め、証拠を残し、侵害拡大を防ぎ、法的期限と対外発信を管理します。

初動の原則は、資金を止めること、証拠を壊さないこと、侵害を広げないこと、法的義務の時限を逃さないこと、対外発信を統制することです。送金直後に気づいた場合、数時間の差が回収可能性を大きく左右します。

次の判断の流れは、発覚直後にどの順番で動くかを示しています。分岐の左右は送金の有無とアカウント侵害の疑いを表し、上から下へ進むほど、資金回収、証拠保全、法的評価へ進む構造です。

発覚直後の判断の流れ

不審メール・送金指示を発見

返信や削除を避け、メール原本、ヘッダ、請求書、口座情報を保存します。

送金済みかを確認

送金日時、金額、通貨、受取銀行、取引番号を確認します。

送金済み
銀行へ即時連絡

組戻し、リコール、受取銀行への連絡を依頼します。

未送金
関連支払を停止

同じ取引先、同じドメイン、同じ担当者に関する支払を一時確認します。

CSIRT・法務・経理・経営へ共有

アカウント侵害、個人情報、営業秘密、契約通知、警察・保険対応を並行して見ます。

部門別の初動は、担当範囲を分けるために一覧化しておくと実務で使いやすくなります。次の表では、経理、情報システム、法務、経営・広報が最初に確認する事項を整理しています。

担当最初に行うこと保存・確認するもの
経理・財務送金の有無、金額、日時、送金先、受取銀行を確認し、銀行へ連絡します。送金記録、取引先マスター変更履歴、承認ワークフロー、請求書、コメント履歴です。
情報システム・CSIRT関係アカウント、端末、クラウド、VPNを特定し、セッション失効やMFA再登録を行います。メールヘッダ、サインインログ、監査ログ、転送ルール、OAuth同意、削除済みメールです。
法務・コンプライアンス事件分類を仮置きし、証拠保全通知、取引先、銀行、警察、当局、保険会社への連絡要否を整理します。契約、NDA、個人情報、営業秘密、通知義務、対外説明の根拠資料です。
経営・広報危機対策本部、意思決定者、取締役会・監査役報告、暫定メッセージを準備します。確認済み事実、未確認事項、被害額、二次被害防止策、公表要否です。

発覚後の時間軸は、期限管理とエスカレーションの漏れを防ぐために重要です。次の時系列は、発覚から数日、その後の確報や再発防止までの行動順を示しています。

2時間以内

銀行連絡と証拠保存

送金済みなら銀行へ即時連絡し、未送金なら関連支払を停止します。攻撃メール、請求書、口座情報、メールヘッダを保存します。

2時間から12時間

危機対策本部と封じ込め

関係アカウントのセッション失効、MFA再設定、ログ保存、外部弁護士・フォレンジック・保険への連絡要否を検討します。

12時間から24時間

影響範囲の暫定評価

メールボックス侵害、個人情報、営業秘密、契約情報、取引先影響を調べ、役員・監査役へ第一報を行います。

24時間から数日

通知・開示・復旧方針

個人情報保護委員会への速報、契約上の通知、業法上の報告、上場会社開示、追加封じ込め、会計影響を検討します。

30日・60日以降

確報と再発防止

確報、調査報告書、取締役会報告、契約・規程改定、技術対策、内部監査、教育訓練を進めます。

初動で避けたい失敗は、端末初期化やメール削除で証拠を消すこと、IT部門だけで閉じること、調査前に責任原因を断定して謝罪すること、担当者を責めて報告を遅らせることです。謝意やお見舞いは大切ですが、責任や損害額が未確定の段階では表現を慎重にします。

Section 05

標的型攻撃・ビジネスメール詐欺対応の調査と証拠保全

犯人探しだけでなく、通知義務、保険、訴訟、再発防止に耐える事実を残します。

調査目的は、いつ侵害が始まったか、どのアカウントや端末が侵害されたか、攻撃者が何を閲覧・検索・ダウンロード・転送・削除したか、不正送金指示がどの経路で作られたかを明らかにすることです。個人データ、営業秘密、未公表情報、同じ攻撃者による追加被害、保険請求に必要な証拠も確認します。

次の表は、保全すべき証拠をメール・クラウド、端末・ネットワーク、経理・法務・業務に分けたものです。列ごとの違いを見ることで、技術ログだけではなく、承認履歴や契約資料も同じ重要度で保存する必要があると分かります。

領域保全対象確認目的
メール・クラウドメールヘッダ、原本形式データ、送信済み、削除済み、迷惑メール、転送ルール、受信箱ルール、監査ログ、サインインログ、MFA履歴、OAuth同意、共有リンク履歴です。侵害開始、漏えい範囲、偽指示作成、転送や削除の有無を確認します。
端末・ネットワーク端末ディスクイメージ、メモリ、EDRアラート、プロセス履歴、ブラウザ履歴、ダウンロード、PowerShell、VPN、プロキシ、DNS、ファイアウォールログです。認証情報窃取、マルウェア、横展開、外部通信、脆弱性悪用を確認します。
経理・法務・業務請求書原本と差替版、取引先マスター変更、支払承認、電話確認、チャット、契約書、権限規程、研修履歴、従前の支払慣行です。弁済の成否、過失、契約通知、内部統制、保険請求、再発防止策の根拠を確認します。

ログ保存期間も重要です。メール侵害では、攻撃者が数週間から数か月にわたりメールを盗み見て、送金タイミングを待つことがあります。主要ログが短期間で消える設定では、侵害開始時点や漏えい範囲を追えないため、クラウド監査ログ、IdPログ、SIEM、EDRログの保存方針を見直します。

弁護士とフォレンジック専門家の連携は、調査結果を法的責任、当局対応、本人通知、保険請求、役員責任に使うために重要です。国際案件では、秘匿特権、ディスカバリ、越境移転、現地個人情報法制、証拠開示義務も考慮します。

Section 06

標的型攻撃・ビジネスメール詐欺対応の報告・通知・連絡

確認済み事実、未確認事項、暫定評価、意思決定事項を分けて伝えます。

社内報告は、担当部署内の事故報告で終わらせません。一定の金額、個人情報、営業秘密、役員関与、上場会社開示、マスメディア影響、海外拠点、委託先、反復被害がある場合、経営陣、監査役、監査等委員、内部監査、リスク管理委員会へ報告します。

次の表は、主な連絡先ごとに、伝える目的と注意点を整理しています。連絡先ごとに求める資料が違うため、未確認の責任関係を断定せず、確認済み事実と対応方針を分けて読むことが大切です。

連絡先主な目的注意点
個人情報保護委員会・本人個人データ漏えい等に該当し、権利利益を害するおそれが大きい場合の報告・通知を検討します。対象者数、要配慮個人情報、財産的被害、不正目的、二次被害防止策を整理します。
取引先・委託先疑わしいメール、請求書、口座情報、真正な連絡先、相手方調査、支払停止を共有します。責任や補償を早期に断定せず、事実確認と被害拡大防止を優先します。
金融機関・警察・JPCERT/CC送金停止、組戻し、不審口座情報、被害相談、攻撃情報共有、国内外連携を進めます。送金情報、メール、ログ、相手方口座、攻撃者ドメイン、連絡履歴を整理します。
上場会社の開示・IR被害額、情報漏えい、事業継続、業績影響、内部統制上の重要な不備を検討します。確定情報と未確定情報を区別し、過小開示と過大開示の双方を避けます。

FBI IC3など海外当局への申告が検討される場面では、現地金融機関、海外弁護士、保険会社、警察との調整が必要になる場合があります。海外送金では、SWIFT情報、受取銀行、受取口座、支店、取引番号を早期に整理します。

Section 07

標的型攻撃・ビジネスメール詐欺対応の技術的予防策

メール認証、フィッシング耐性、ログ、監査、端末・ネットワーク管理を組み合わせます。

技術対策は、攻撃の成功率を下げ、侵害後の調査可能性を高めるための基盤です。メール認証だけでは真正アカウント侵害を防げないため、多要素認証、条件付きアクセス、メールボックス監査、EDR、ログ保存を組み合わせます。

次の一覧は、技術対策を実装単位で整理しています。各項目の役割を読むことで、なりすまし低減、アカウント保護、侵害検知、証拠化のどこに効く対策かを見分けられます。

SPF・DKIM・DMARC

正当な送信経路を棚卸しし、監視モードから段階的に隔離・拒否へ移行します。真正アカウント侵害を防ぐものではない点も共有します。

なりすまし低減

フィッシング耐性の高い認証

重要アカウント、管理者、経理、法務、役員には、FIDO2セキュリティキー、パスキー、証明書ベース認証、条件付きアクセスを検討します。

認証保護

レガシー認証の無効化

IMAP、POP、SMTP AUTH、古いOfficeクライアント、基本認証、不要な外部転送を棚卸しし、必要最小限にします。

迂回防止

メールボックス監査

外部自動転送、不審な受信箱ルール、代理送信権限、共有メールボックス権限、OAuthアプリ同意、異常サインインを定期的に確認します。

侵害検知

EDR・パッチ・脆弱性管理

VPN、リモートデスクトップ、クラウド管理画面、公開Webサーバ、ファイル転送製品の脆弱性も入口になります。資産管理とログ監視を連動させます。

横展開防止

メールアカウント侵害の背後に、端末感染や認証情報窃取が存在する場合があります。BEC対策だけを考える場合でも、端末、ネットワーク、クラウドを分離せず、同じ事案の一部として確認します。

Section 08

標的型攻撃・ビジネスメール詐欺対応の経理・契約・規程

攻撃メールが届いても資金を出さない承認統制と、契約上の通知設計を整えます。

BECの最大の防御線は経理統制です。攻撃者が巧妙なメールを送っても、口座変更と送金承認に強い統制があれば資金被害を抑えられます。メールだけで口座変更を受け付けず、既知の連絡先で別経路確認を行い、新規口座・変更口座への初回送金は二重承認にします。

次の表は、平時に整備する統制と契約条項を並べています。左列は実務運用、中央列は文書化する場所、右列は事故時の効果を示しており、規程と現場運用を一致させることが重要だと読み取れます。

対策文書化する場所事故時の効果
口座変更はメールだけで受理しない経理規程、職務権限規程、取引先マスター管理規程偽口座への送金を止め、確認漏れの有無を検証できます。
高額送金・海外送金の二重承認支払承認ワークフロー、稟議規程、銀行権限設定役員名義の緊急指示でも、例外処理を抑制できます。
取引先マスター変更の独立承認ERP運用ルール、変更履歴管理、内部監査計画申請者と承認者を分離し、変更経緯を証拠化できます。
口座変更条項取引基本契約、業務委託契約、NDA別紙指定書式、電子署名、登録済み窓口、別経路確認を要求できます。
インシデント通知・協力条項委託契約、個人情報取扱委託契約、セキュリティ条項相手方アカウント侵害、ログ共有、調査協力、再発防止を求めやすくなります。

職務分掌と心理的安全性も重要です。担当者が一人で申請、確認、承認、送金、マスター変更を行える設計は危険です。「迷ったら止める」「上司の指示でも確認する」「支払遅延より不正送金防止を優先する」というルールを経営者が明確にします。

研修は、標的型メール訓練だけでは足りません。偽口座変更、偽役員指示、偽専門家請求、取引先アカウント侵害、海外子会社からの緊急送金依頼を題材にし、通報率、通報速度、経理停止判断、法務・CSIRT連携、銀行連絡、取引先確認、証拠保全まで評価します。

Section 09

標的型攻撃・ビジネスメール詐欺対応の組織体制

重大事案では、危機対策本部とRACIで責任、説明、相談、共有を分けます。

重大な標的型攻撃・ビジネスメール詐欺対応では、危機対策本部を設置し、意思決定を集中させます。参加者は、経営責任者、法務、外部弁護士、CISO・CSIRT、経理、個人情報保護担当、内部監査、会計・税務、広報・IR、人事、フォレンジック、保険担当などです。

次の表は、危機対策本部での主な役割を整理しています。役割ごとの責任を事前に決めておくと、発生直後に誰へ何を任せるかが明確になります。

役割主な責任
経営責任者重要意思決定、取締役会報告、対外方針、追加予算の承認を担います。
法務・外部弁護士法的評価、証拠保全、通知義務、契約、当局対応、紛争・保険・国際案件を整理します。
CISO・CSIRT技術調査、封じ込め、復旧、ログ保全、再発防止の技術実装を担います。
経理・財務送金停止、銀行連絡、会計処理、取引先マスター、支払統制を管理します。
内部監査・会計・税務統制評価、内部統制報告、損失処理、保険金、税務処理、改善策の有効性を確認します。
広報・IR・人事公表、投資家・メディア対応、従業員ケア、ヒアリング、懲戒手続の適正を管理します。

責任分担は、作業担当者と最終責任者を分けて管理します。次の表では、代表的なタスクごとに、実行、説明責任、相談、共有の相手を整理しています。

タスク実行説明責任相談・共有
送金停止経理CFO法務、銀行、経営へ共有します。
アカウント封じ込めCSIRTCISOフォレンジック、法務、経営へ共有します。
個人情報該当性判断個人情報担当法務責任者外部弁護士、CSIRT、経営と連携します。
取引先通知法務事業責任者外部弁護士、広報、経営と調整します。
対外公表広報経営責任者法務、IR、外部弁護士へ相談します。

外部専門家は、被害後に初めて探すと間に合わないことがあります。外部弁護士、フォレンジック、危機管理広報、会計士、税理士、保険ブローカーについて、緊急連絡先、契約、費用承認、NDA、情報共有手段を平時から準備します。

Section 10

標的型攻撃・ビジネスメール詐欺対応のケーススタディ

実際の争点に近い形で、確認事項と再発防止策を具体化します。

ケーススタディは、初動の抜け漏れや再発防止策を検討する訓練に向いています。次の一覧では、海外取引先、社長なりすまし、法務メールボックス侵害という3つの場面を、何を確認し、どの統制を直すかという観点で整理します。

海外取引先

口座変更メールで50万米ドルを送金

取引先アカウント侵害か偽ドメインか、自社メール侵害の有無、別経路確認、契約上の口座変更手続、弁済の成否、銀行への組戻し依頼時刻、個人情報・秘密情報の漏えい可能性を確認します。

役員名義

社長の極秘案件として1億円を送金

高額送金のCFO承認が実務上守られていたか、社長指示の例外が黙認されていないか、偽専門家請求書対策、M&A・法務関連送金の特別承認ルールを確認します。

法務部門

法務メール侵害と秘密情報漏えい

NDA、M&A検討資料、労務相談、顧客クレーム、個人データ、弁護士との通信、インサイダー情報への影響を確認します。法務アカウントには強い認証、転送禁止、監査ログ、DLPを適用します。

ヒアリングでは、関係者の記憶が新しいうちに業務プロセスを再現します。責任追及の雰囲気を避け、いつ、誰から、どの媒体で、何を依頼され、何を確認し、誰が承認し、どの資料を見て、どの違和感があり、なぜ止まらなかったかを確認します。

調査報告書には、目的と範囲、調査体制、時系列、被害額と回収状況、技術調査結果、アカウント侵害の有無、個人情報・営業秘密への影響、契約・法令上の通知状況、内部統制上の原因、再発防止策、未解明事項と理由を含めます。

Section 11

標的型攻撃・ビジネスメール詐欺対応の実務プレイブック

平時・発生時のチェックリストと、社内外へ出す文面の骨子を用意します。

チェックリストは、緊急時に判断を分散させないための道具です。平時の準備と発生時の対応を分けておくと、訓練、監査、取締役会報告にも使いやすくなります。

次の表は、平時と発生時の確認事項を対比したものです。左右の列を比べることで、発生時に必要な行動の多くは、平時の規程、ログ、連絡網、教育があって初めて機能することが分かります。

平時の確認発生時の確認
経営者がサイバーリスクを経営課題として扱い、取締役会へ定期報告しています。法務、経理、CSIRT、経営へエスカレーションし、危機対策本部を設置します。
口座変更はメールだけで受理せず、既知・登録済み連絡先で別経路確認します。送金停止、組戻し依頼、関連支払停止、取引先への別経路確認を行います。
MFA、レガシー認証無効化、SPF・DKIM・DMARC、外部転送監査、ログ保存を運用しています。メール原本、ヘッダ、ログ、承認履歴、転送ルール、OAuth同意を保存します。
契約に口座変更、インシデント通知、セキュリティ、調査協力条項を入れています。個人情報、営業秘密、契約通知、開示、警察、保険会社、JPCERT/CCへの連絡要否を判断します。

社内第一報の骨子

件名 ― 不審な送金指示・口座変更メールに関する緊急確認

現在、当社または取引先を装った不審なメールにより、口座変更または送金を促す事案を確認しています。対象範囲は調査中です。該当するメール、請求書、チャット、電話連絡を受けた場合は、送金や取引先マスター変更を行わず、経理責任者、法務部、情報システム部へ連絡してください。関係メール、添付ファイル、ログ、承認履歴は削除しないでください。

取引先確認の骨子

件名 ― 貴社名義メールによる口座変更連絡の確認

当社は、貴社担当者名義のメールにより支払先口座の変更依頼を受領しました。セキュリティ確認のため、従前から保有している連絡先を用いて本依頼の真正性を確認しています。現時点で、当社は当該変更依頼に基づく支払処理を停止しています。本連絡は事実確認と被害拡大防止を目的とするものであり、法的責任関係について当社の見解を確定するものではありません。

ミニプレイブック

  • 不審な口座変更メールを受けた場合は、返信せず、メール本文の電話番号へ電話せず、既存の登録連絡先で確認し、経理責任者と法務へ共有します。
  • 送金後に詐欺と気づいた場合は、銀行へ即時連絡し、組戻し、警察相談、取引先確認、アカウント調査、証拠保全、追加送金停止、保険通知、経営第一報を進めます。
  • メールアカウント侵害を確認した場合は、セッション失効、パスワード変更、MFA再登録、転送ルール確認、OAuth確認、ログ保全、影響範囲共有、再発防止策の実装を行います。
Section 12

標的型攻撃・ビジネスメール詐欺対応に関わる専門家と中小企業の優先順位

専門家の役割を分け、中小企業では効果の高い統制から始めます。

標的型攻撃・ビジネスメール詐欺対応では、複数の専門家が関わります。誰に何を相談するかを整理すると、対応速度と調査品質が上がります。

次の一覧は、専門家ごとの視点を整理したものです。専門家名ではなく役割と成果物を読むことで、どの段階で誰を招集すべきかを判断しやすくなります。

法務

弁護士・企業内弁護士

事実調査、証拠保全、契約責任、個人情報、営業秘密、当局対応、警察相談、取引先交渉、保険、訴訟、取締役会報告を横断します。

技術

フォレンジック専門家

ログ、端末、メール、クラウド、ネットワーク、マルウェア、認証、攻撃痕跡を解析し、法的判断に耐える事実を提供します。

統制

公認会計士・内部監査

送金統制、職務分掌、取引先マスター、承認手続、会計処理、内部統制報告への影響を評価します。

税務

税理士

不正送金損失、保険金、回収金、海外送金、損金算入、関係会社間取引、役員責任追及との関係を検討します。

周辺領域

司法書士・弁理士・社労士

不動産取引、登記、知財、共同研究、従業員情報、給与情報、懲戒、内部調査、教育の観点で関与します。

中小企業

外部支援者

業務プロセス、資金繰り、IT投資、内部統制、組織文化を踏まえ、現実的な統制を組み合わせます。

中小企業では、すべての対策を一度に導入するのは難しいため、被害額低減効果と実装容易性で優先順位を決めます。第一優先は口座変更確認と二重承認、第二優先はMFAと管理者分離、第三優先はログとバックアップ、第四優先は連絡網と訓練、第五優先は契約と規程です。

生成AI時代には、自然な日本語、英語、業界用語、役員らしい文体、取引先らしい表現が容易に作られます。音声合成や偽のオンライン会議も想定し、文面や声の自然さではなく、登録済み手続、ワークフロー、電子署名、別経路確認、複数承認で真正性を確認します。

Section 13

標的型攻撃・ビジネスメール詐欺対応のFAQ

一般的な制度説明として、個別事案の判断は専門家へ確認する前提で整理します。

Q1. IT部門だけで対応できますか。

一般的には、IT部門だけでは対応範囲が不足するとされています。技術調査と封じ込めに加え、送金停止、契約責任、個人情報、営業秘密、警察相談、保険、会計、取引先説明、役員報告、内部統制の検討が必要になる可能性があります。具体的な体制は、被害内容や会社規模に応じて弁護士等の専門家へ相談する必要があります。

Q2. 送金していない未遂でも調査は必要ですか。

一般的には、未遂でも調査が重要とされています。メールアカウントが侵害されていた場合、個人情報や秘密情報が閲覧・転送された可能性があり、同じ攻撃者が別担当者へ送金指示を送っている可能性もあります。ログやメール、アカウント、取引先影響の確認範囲は、事実関係によって変わります。

Q3. 本物の取引先アドレスから来たメールなら安全ですか。

一般的には、安全とは限らないとされています。本物の取引先メールアカウントが侵害されている場合、真正なアドレスから偽指示が送られることがあります。口座変更や緊急送金は、過去のスレッドへの返信であっても別経路確認が必要になる可能性があります。

Q4. 個人情報保護委員会への報告は必ず必要ですか。

一般的には、必ず必要とは限りません。個人データの漏えい等に該当するか、本人の権利利益を害するおそれが大きいか、要配慮個人情報や財産的被害のおそれがあるかなどで判断が変わります。具体的な報告要否や本人通知の方法は、資料を整理したうえで専門家へ相談する必要があります。

Q5. 送金被害の責任は自社だけが負いますか。

一般的には、一概にはいえないとされています。取引先アカウントの侵害、通知遅延、自社の口座変更確認、契約、支払慣行、侵害経路、過失の程度によって結論が変わる可能性があります。具体的な損害分担は、証拠と契約を確認したうえで専門家へ相談する必要があります。

Q6. 役員のメール指示でも経理規程を守る必要がありますか。

一般的には、役員指示を装う攻撃が典型的に使われるため、送金統制を例外化しない体制が重要とされています。社内規程、権限表、緊急時手続、既知の連絡先による確認などをどこまで求めるかは、会社の規模や取引内容によって変わります。

Q7. 被害者でも公表が必要になることはありますか。

一般的には、公表の要否は法令、上場規則、契約、被害規模、個人情報、二次被害防止、社会的影響によって変わります。公表しない判断があり得る一方で、通知義務や本人への注意喚起が必要な場合もあります。確認済み事実に基づいて慎重に判断する必要があります。

Q8. 再発防止策はどこまで行えば十分ですか。

一般的には、絶対的な基準はないとされています。会社規模、取引内容、扱う情報、被害額、既存統制、同業他社水準、公的ガイドラインを踏まえ、合理的に説明できる水準を目指します。送金統制、口座変更確認、MFA、ログ保存、メール監査、訓練、契約条項、インシデント対応体制は見直し候補になります。

Section 14

標的型攻撃・ビジネスメール詐欺対応で経営者・法務責任者が決めること

技術、制度、文化をつなぎ、同じ手口を二度と通さない状態を作ります。

標的型攻撃・ビジネスメール詐欺対応の成熟度は、会社の危機時の総合力を映します。セキュリティ製品があっても経理統制が破られれば資金は流出し、経理規程があってもメール侵害を検知できなければ秘密情報や個人データは長期間閲覧されます。初動で証拠が消えれば、責任関係も再発防止も曖昧になります。

次の重要ポイントは、経営者と法務責任者が平時から確認する核心をまとめています。五つの項目を順に読むことで、技術対策だけではなく、送金統制、法的評価、組織連携、被害後の改善が一体であることが分かります。

備えるべき核心は五つです

口座変更と送金をメールだけで処理しないこと、メールアカウント侵害を前提に認証・ログ・監査・フォレンジックを整えること、個人情報・営業秘密・契約義務・刑事・保険・開示を同時に評価すること、重大事案では法務・CSIRT・経理・経営・外部専門家が一体で動くこと、被害後は資金停止、証拠保全、被害拡大防止、再発防止を優先することです。

企業法務に携わる担当者は、この問題をIT部門の事故ではなく、企業価値と信頼を守る総合危機管理として位置づける必要があります。発生後の数時間だけでなく、発生前の規程、契約、認証、ログ、教育、承認統制、経営者の姿勢で成否が決まります。

Reference

参考資料・出典

公的機関、法令、国際的なサイバーセキュリティ資料を中心に整理しています。

国内の公的資料

  • 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2026」
  • 独立行政法人情報処理推進機構(IPA)「ビジネスメール詐欺(BEC)対策」
  • 国家サイバー統括室「知っておきたいビジネスメール詐欺(BEC)」
  • JPCERT/CC「ビジネスメール詐欺の実態調査報告書」
  • JPCERT/CC「CSIRTマテリアル」
  • 経済産業省・独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver.3.0」

法令・個人情報・営業秘密

  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • e-Gov法令検索「個人情報の保護に関する法律」
  • 経済産業省「営業秘密〜営業秘密を守り活用する〜」

海外・国際資料

  • National Institute of Standards and Technology, The NIST Cybersecurity Framework (CSF) 2.0
  • National Institute of Standards and Technology, NIST SP 800-61 Rev.3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management
  • Federal Bureau of Investigation, Internet Crime Complaint Center, 2025 Internet Crime Report
  • Federal Bureau of Investigation, Business Email Compromise