ビジネスメール詐欺(BEC)の実態
「生成AIで巧妙化」は表面的な脅威に過ぎない。被害の出発点は常に「偽ログイン画面にパスワードを入力した」という古典的な油断と、社内の確認プロセスの欠如である。
BECとは何か
ビジネスメール詐欺(BEC) は、企業や組織のメールを悪用して金銭を詐取するサイバー攻撃の総称です。特徴は「技術的なハッキング」よりも 人間の信頼関係を突く システム上の脆弱性ではなく、相手を信用してしまう心理的隙を利用する手法。 ことにあります。
この攻撃は「外部から突破」されるものではなく、内部から晒してしまうことで成立します。
基本的な仕組みと成功要因
| 成功要因の分解 | 攻撃者の手法 | 本質的な要因分類 |
|---|---|---|
| ① 自然な文章 | 生成AIなどで補助し、違和感のないメールを作成 | 技術的要素 |
| ② 本物の送信者に見える | アカウント乗っ取りにより、本物のアドレスから送信 | 人間系の問題 |
| ③ 緊急案件に見える | 心理的圧力(至急・極秘)をかけ、冷静な判断を奪う | 人間系の問題 |
| ④ 社内確認プロセスの不在 | 電話確認や二重承認がない組織的弱点を突く | 人間系の問題 |
図:BEC成功要因における「人間的要因」の圧倒的割合
このうち①だけが生成AIの担当領域です。しかし、実際に被害を決定づけるのは②~④です。つまり、「生成AIで巧妙化」と説明すると最新技術の脅威に見えますが、現場で起きているのは『役員がフィッシングに引っ掛かり、管理職が確認を怠り、経理が言われた通り送金した』という古典的な障害に他なりません。
皮肉な現実:攻撃者が本当に欲しいもの
図:攻撃手段の威力比較(AIによる文章偽装 vs 本物のアカウント乗っ取り)
本物のアカウントがもたらす破壊力
「生成AIで巧妙化するBEC」と聞くと、まるで攻撃者が超高性能AIで完璧な偽メールを量産しているように錯覚します。しかし実際には、以下の古典的な侵入の方が圧倒的に強力です。
- 取引先のメールアカウントがフィッシングで侵害される
- 幹部のメールボックスが流出する
- 過去の送受信履歴が丸ごと盗まれる
- 本物の請求書や署名が入手される
生成AIが作った「自然な日本語」より、「本物の社長が昨日送ったメール」の方が何百倍も信用されます。極端に言えば、 「AIで文章を上手に偽装しました」よりも「幹部のメールアカウントそのものを乗っ取りました」の方が攻撃としては完成形なのです。
結論:被害の出発点
「生成AIで巧妙化するBEC」という話になっていますが、蓋を開けてみれば、古典的なフィッシングメールや偽ログイン画面に認証情報を入力し、自ら本物のメールアカウントと本物の会話履歴を攻撃者へ引き渡していた、といういつものオチに帰結します。
サイバー攻撃の世界では昔から、「ゼロデイ脆弱性よりパスワードの使い回し」「高度なマルウェアより添付ファイル開封」「AIより権限者の油断」の方が成功率が高いと言われます。
見出しは「生成AIで巧妙化」ですが、被害の出発点を辿ると、「偽ログイン画面にパスワードを入れました」という極めて古典的な場面に行き着くことが珍しくありません。そこから先はAIではなく、本物の情報が攻撃者の手の中で再利用されているだけです。生成AIが脅威というより、まず誰かが偽URLを踏み、本物の認証情報を差し出し、本物のメールボックスを献上した結果、BECが成立しているのが実態です。
コメント