
## この記事でわかること

- 中小企業が予算0円から数万円で打てるBEC対策5つの優先順位
- 大企業向けの高額ソリューションに頼らずに守りを固める考え方
- IPA・警察庁が公表している国内の被害実態と一次情報の参照先

## 「うちは小さいから狙われない」が一番危ない

ビジネスメール詐欺、いわゆるBEC（Business Email Compromise）は、取引先や自社の経営者になりすました偽メールで送金を指示し、金銭を騙し取るサイバー犯罪です。IPA（独立行政法人 情報処理推進機構）は2017年に注意喚起を開始して以来、被害事例を継続的に収集・公開しており、1件あたりの被害額が数千万円から億単位に達するケースも報告されています（[IPA ビジネスメール詐欺(BEC)対策](https://www.ipa.go.jp/security/bec/index.html)）。

「うちのような中小企業は標的にならない」と感じる方は多いのですが、攻撃者の視点ではむしろ逆です。経理が少人数で社長と直接やり取りしている組織ほど、決裁の確認ステップが短く騙しやすい、と判断されます。BEC攻撃の典型例は[ビジネスメール詐欺(BEC) 手口と国内事例](/blog/bec-attack-cases)で整理しましたが、本記事ではその対策側を「予算0円から数万円で打てる現実解」に絞り込み、5つに整理します。

![BEC攻撃の典型フロー](/blog/bec-taisaku-chusho-kigyou/bec-flow.svg)

## なぜ大企業向けソリューションは中小企業に合わないのか

BEC対策製品としてよく名前が挙がるのは、高機能メールセキュリティゲートウェイ、SIEM（セキュリティ情報イベント管理）、振る舞い検知型のメール監視サービスなどです。これらは年額数百万円から数千万円規模で、専任の運用担当者が前提になります。

中小企業の現実は逆で、情シスは兼任、経理担当も少人数、年間のセキュリティ予算は数万円から数十万円という会社が多数派です。だからこそ「無料の枠組みを最大限使う + 業務手順を変える」という方向で組み立てるのが現実的です。以下の5つは全て、この前提で選んだ施策です。

![5つの対策の優先順位マトリクス](/blog/bec-taisaku-chusho-kigyou/priority-matrix.svg)

## 対策1: DMARC を p=reject まで進める（費用0円）

最優先はDMARC（ディーマーク、Domain-based Message Authentication, Reporting and Conformance）を `p=reject` まで運用することです。これは自社ドメインを騙ったなりすましメールを、Gmail や Microsoft 365 の受信側で配信拒否させる仕組みです。

費用はDNSレコードを1行追加するだけで0円。月額数千円の集計レポート可視化サービスを使えば運用負荷も大きく下がります。導入は観察モード `p=none` から始めて、2〜4週ごとに `quarantine` → `reject` と段階的に強化するのが定石で、いきなり `reject` にすると正規メールまで弾かれる事故が起きるので避けてください。具体的な進め方は[DMARCポリシー段階的強化ガイド](/blog/dmarc-policy-tightening)に手順をまとめています。

なお2024年の Gmail / Yahoo Mail 送信者要件改定以降、メール認証は単なる推奨ではなく**実質必須**になりました。背景は[DMARC義務化の流れと対応](/blog/dmarc-mandatory)を参照してください。

## 対策2: 経理アカウントに多要素認証を必須化（費用0円）

BECの一部はそもそも「経理担当者のメールアカウントを乗っ取り、内部から正規アドレスで送金依頼を出す」パターンです。差出人欄が完全に本物なので、受信側のメール認証では弾けません。

ここを止める最も効くスイッチが、**多要素認証(MFA)** の必須化です。Microsoft 365 も Google Workspace も、管理者画面から条件付きアクセスポリシーで「経理担当者のグループは MFA 必須」と設定できます。これは契約プランに含まれており追加費用がかかりません。

物理セキュリティキー（YubiKey 等）まで揃えると1本5,000円〜1万円ですが、認証アプリ方式（Authy、Google Authenticator、Microsoft Authenticator）なら追加費用ゼロです。経理・経営者・情シスの3カテゴリだけでも全員にMFAを掛けておくと、アカウント乗っ取り型BECの大半は機能不全になります。

## 対策3: 送金フローの二重承認をルール化（費用0円）

技術的な仕掛けではなく、業務手順書のルール変更です。具体的には次の3点を明文化し、社内で共有します。

1. **送金先口座の変更通知は、必ずメール以外（電話または対面）で確認**してから処理する
2. **緊急・極秘・トップシークレットを強調する送金依頼は、いったん止める**。経営者詐欺型BECはこの心理的圧迫が最大の武器なので、急ぎ依頼ほど確認する文化を作ります
3. **一定額以上の送金は二重承認**（例: 50万円以上は別担当者または上長の承認を必須）

経理担当が1名でも、二重承認の相手を経営者本人に設定すれば成立します。警察庁も「実在する社長名や会社名が使われるため気がつきにくい」と注意喚起しており、確認のひと手間が最大の防御になると強調しています（[警察庁 サイバー警察局 ビジネスメール詐欺関連](https://www.npa.go.jp/bureau/cyber/index.html)）。

ルール化のコストはマニュアル整備の数時間のみで、外部費用は発生しません。

## 対策4: 添付ファイルとリンクの取り扱いルール（費用0円）

BECの周辺手口として、請求書PDFに偽の振込先情報を埋め込むパターン、また経理担当の認証情報を盗むためのフィッシングリンクを送るパターンがあります。これらに対しては「全てを止める」のではなく、扱い方を一律にすることでヒューマンエラーを減らします。

実務的なルール例は次の通りです。

- 取引先からの**請求書PDFは、毎回過去ファイルと振込先を突き合わせる**（OCR で読んで自動比較する無料ツールでも、Excel に履歴を残す運用でも構いません）
- メール内のリンクは**まず差出人ドメインを目視確認**してからクリック。`exarnple.co.jp` のように似た文字を使う類似ドメインの見抜き方は[タイポスクワッティングとは](/blog/typosquatting-toha)を参照
- 不審なメールは**社内チャットの「不審メール共有」チャンネルに転送**して全員で見られるようにする

これらは費用0円で、運用が定着するほど効果が高まる施策です。

## 対策5: 月1回・15分の社内教育（費用0円）

BECの最終ラインは人です。技術側でいくら固めても、運用ルールが浸透していなければ機能しません。月1回・15分のミニ勉強会を朝礼の枠などで開き、次のような内容を順番に取り上げます。

- IPA や警察庁が公表した直近の手口事例（[IPA BEC事例集](https://www.ipa.go.jp/security/bec/bec_cases.html)）
- 自社に届いた不審メールの実例（社内チャットで集めたもの）
- 確認フローのおさらい（送金先変更通知が来たらどうするか）

外部講師や有料の e-Learning は不要です。IPAが無料で公開している資料を読み合わせるだけで十分機能します。重要なのは継続性で、3ヶ月もすれば社内で「これBECっぽくない？」という会話が自然に出るようになります。

## 5つの優先順位の考え方

5つを全て同時に始めるのは現実的ではありません。次の順で着手するのが、効果と手間のバランスが取れています。

1. **今日着手**: 対策2（経理アカウントMFA）と対策3（送金二重承認ルール）。半日で導入できて効果が大きい
2. **今週着手**: 対策1（DMARC `p=none` 導入）。観察モードで始めれば事故ゼロで開始できる
3. **今月着手**: 対策4（添付・リンク取扱ルール）と対策5（月次教育）。継続運用が前提なので、まず最初の1回を開催する
4. **3ヶ月後**: DMARC を `p=quarantine` から `p=reject` に引き上げ、なりすまし完全拒否に到達

この順なら、初月の追加費用はゼロでも防御力は段階的に上がります。

## もし被害が発生してしまったら

万一不正送金してしまった場合は、送金から数時間以内の対応で回収率が大きく変わります。連絡順序は次の通りです。

1. **送金元銀行に即時連絡**して、振込先口座の凍結と組戻し（送金取消）を依頼
2. **所轄警察または都道府県警サイバー犯罪相談窓口に被害届**。受理が組戻しや国際送金停止の根拠になります
3. **IPAへ情報提供**。他社の被害防止に寄与し、自社の事例も無料で相談に乗ってもらえます
4. **取引先・関係者への注意喚起**。自社メールが乗っ取られている可能性があれば、過去スレッドに偽メールが混入している恐れがあります

被害発生から24時間を超えると、資金は海外送金や暗号資産への変換で回収困難になります。

## よくある質問

### DMARC を p=reject にすると正規メールが届かなくなりませんか

設定不備があると一時的にその事象が発生する可能性があるため、必ず `p=none` で2〜4週間レポートを観察し、認識のない送信元が混ざっていないことを確認してから段階的に引き上げてください。手順は[DMARC設定方法を徹底解説](/blog/dmarc-setup-guide)に整理しています。

### 経理担当が1名の場合、二重承認はどう実装すればよいですか

経営者本人を二重承認者に設定するのが定石です。チャットで「○○の件、50万円送金してOK？」と社長に一言聞くだけで成立します。ルール化のコツは「金額の閾値」と「承認の証跡（チャットログ等）」を残すことです。

### 自社のドメインが既にBECに使われている疑いがあります

DMARCを `p=none` で導入し、1〜2日後に届く集計レポートで認識のない送信元IPを洗い出します。具体的な手順は[自分のドメインがなりすまされているか確認する方法](/blog/check-domain-spoofing)で解説しています。

## まとめ

- BEC対策は大企業向け高額ソリューションでなく、中小企業は「無料の枠組み + 業務手順変更」で十分に組み立てられる
- 5つの現実解は **DMARC強化・MFA必須化・送金二重承認・添付/リンクルール・月次教育**。最初の月の追加費用ゼロでも防御力は段階的に上がる
- 万一の被害は数時間以内の銀行連絡が回収のカギ。日頃から連絡順序を整理しておく

## まずは現状を把握しましょう

自社ドメインのSPF・DKIM・DMARCの設定状況は、無料の[ドメイン番人 診断ツール](/diagnose)で数十秒で確認できます。なりすましメールの遮断レベルや、もう一段強化できるポイントを把握できますので、BEC対策の第一歩としてご利用ください。

設定の見直しや、社内の送金確認フロー整備でお困りの場合は、[お問い合わせ](/contact)からご相談ください。運用に合わせた、現実的な優先順位でご提案します。
