ビジネスメール詐欺(BEC)対策2026:メールセキュリティツール比較と設定方法
「社長を騙った偽メールで経理担当が送金してしまった」——ビジネスメール詐欺(BEC:Business Email Compromise)は、日本のFBI相当機関への届け出が増加し続ける実被害の多いサイバー犯罪です。
世界的にはBECによる被害額は年間数十億ドル規模とされています(最新統計はIBMやVerizon等のセキュリティレポートを参照)。本記事では、BECの手口から技術的対策・ツール選定まで中小企業向けに体系的に解説します。
目次
- ビジネスメール詐欺(BEC)の手口と最新動向
- BEC対策の基本:DMARC・DKIM・SPFの設定
- メールセキュリティツール比較
- Microsoft Defender for Office 365 詳細
- Proofpoint Essential / Business
- Mimecast Email Security
- 料金比較【2026年最新】
- 中小企業向け導入ステップ
- 従業員教育:フィッシング訓練の重要性
- よくある質問(FAQ)
ビジネスメール詐欺(BEC)の手口と最新動向
BECの主要な攻撃パターン
1. CEO詐欺(Executive Fraud)
経営者になりすまし、経理担当者に緊急送金を指示する最も典型的なパターン。「今日中に〇〇社への支払いをお願いします」という形式で、返信や確認を急かすことが多い。
2. ベンダーなりすまし(Vendor Impersonation)
取引先の請求書メールを改ざんし、振込先口座番号を攻撃者が用意した口座に差し替える。正規の請求書の形式・ロゴを模倣するため見破りにくい。
3. 弁護士詐欺(Legal Counsel Fraud)
M&A・訴訟の最中に弁護士や会計士になりすまし、機密情報や送金を要求する。
4. AIディープフェイク音声・ビデオ(2024〜)
経営者の声・顔をAIで生成し、ビデオ会議上で本人に見せかけて指示を出す新手の攻撃。(最新動向は各セキュリティベンダーの脅威レポートでご確認ください)
BECが成功する理由
- 従来のウイルス対策では検知できない(マルウェア不使用)
- 緊急性・権威性を利用した心理的操作
- ドメインなりすまし(
acme-corp.comの代わりにacme--corp.com等) - 正規アカウントの乗っ取り(フィッシングでアカウント窃取後に悪用)
BEC対策の基本:DMARC・DKIM・SPFの設定
メール認証の3つのプロトコルを適切に設定することで、ドメインのなりすましを技術的に防止できます。
SPF(Sender Policy Framework)
自社ドメインから送信が許可されているメールサーバーを宣言するDNSレコードです。
; 例:example.co.jpドメインのSPFレコード
example.co.jp. TXT "v=spf1 include:_spf.google.com include:sendgrid.net ~all"
設定の注意点:
~all(ソフトフェイル)より-all(ハードフェイル)の方が厳格だが、正規メールを誤拒否するリスクあり- まず
~allから始め、メールフローを確認後に-allへ変更を推奨
DKIM(DomainKeys Identified Mail)
送信メールに電子署名を付与し、改ざんを検知します。
; DKIMレコード例(Google Workspace)
google._domainkey.example.co.jp. TXT "v=DKIM1; k=rsa; p=MIGf..."
DMARC(Domain-based Message Authentication, Reporting & Conformance)
SPFとDKIMの結果を元に、認証失敗メールの処理方法を指定します。
; DMARCレコード例(段階的展開推奨)
_dmarc.example.co.jp. TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100"
DMARCポリシーの段階的展開:
| フェーズ | ポリシー | 内容 |
|---|---|---|
| フェーズ1 | p=none |
監視のみ(メール配信に影響なし) |
| フェーズ2 | p=quarantine |
失敗メールを迷惑メールフォルダへ |
| フェーズ3 | p=reject |
失敗メールを完全拒否(最も厳格) |
重要: DMARCを
p=rejectに設定する前に、正規の送信ソース(メルマガツール・SFA等)がすべてSPF/DKIM認証を通過していることを確認してください。
DMARC設定状況の確認ツール
- MXToolbox DMARC Check — DMARCレコードの検証(最新URLは公式サイトでご確認ください)
- Google Postmaster Tools — Gmailへの配信品質確認
- dmarcian / Valimail — DMARCレポートの可視化・管理ツール(有料)
メールセキュリティツール比較
主要製品の機能マトリクス
| 機能 | Microsoft Defender for O365 P1 | Proofpoint Essential | Mimecast Email Security | Google Workspace(標準) |
|---|---|---|---|---|
| スパム/フィッシング対策 | ✓ | ✓ | ✓ | ✓ |
| マルウェア添付ファイル検知 | ✓ | ✓ | ✓ | ✓ |
| Safe Links(URL書き換え) | ✓ | ✓ | ✓ | △ |
| Safe Attachments(サンドボックス) | ✓ | ✓ | ✓ | △ |
| BECなりすまし対策 | ✓ | ✓ | ✓ | △ |
| DMARC可視化 | △ | ✓ | ✓ | ✗ |
| AIベース異常検知 | ✓ | ✓ | ✓ | △ |
| 暗号化送受信 | △(S/MIME) | ✓ | ✓ | ✓(TLS自動) |
| アーカイブ(コンプライアンス) | ✓(上位プラン) | ✓ | ✓ | ✓(Vault) |
| インシデント調査 | ✓ | ✓ | ✓ | △ |
| フィッシング訓練 | △(Attack Simulator) | ✓ | ✓ | ✗ |
| 日本語UI | ✓ | △ | △ | ✓ |
Microsoft Defender for Office 365 詳細
プラン構成
| プラン | 主な機能 | 価格(目安) |
|---|---|---|
| Exchange Online Protection(EOP) | 基本スパム対策 | Exchange/M365に標準包含 |
| Defender for Office 365 P1 | Safe Links・Safe Attachments・Anti-phishing | 約¥350/ユーザー/月(最新価格は公式サイト参照) |
| Defender for Office 365 P2 | P1 + Attack Simulator・Threat Trackers・AIR | 約¥650/ユーザー/月(最新価格は公式サイト参照) |
Defender for O365の強み
- M365との深い統合: Microsoft 365環境に既にある場合、追加エージェント不要
- Attack Simulator(P2): 社員向けフィッシング訓練を管理コンソールから実施可能
- Automated Investigation & Response(AIR): 疑わしいメールを自動調査・修復
設定すべき主要ポリシー(管理者向け)
Microsoft 365 Defender管理センター → メールとコラボレーション → ポリシーとルール
├── Anti-phishing policy
│ ├── なりすまし検知(Impersonation protection)→ 上位管理者・取引先ドメインを登録
│ └── MailTips for external senders → 外部送信者へのアラート表示
├── Safe Attachments
│ └── Macro-enabled documents → Block推奨
└── Safe Links
└── Real-time URL scanning → オン(クリック時に再スキャン)
Proofpoint Essential / Business
Proofpointはエンタープライズ向けメールセキュリティのリーダーですが、Proofpoint Essentialsにより中小企業でも導入可能になっています。
強み
- NexusAI: 機械学習ベースの脅威分類エンジン(業界最高水準の検知率)
- DMARC Analyzer: DMARCレポートの可視化・設定最適化支援
- Security Awareness Training(PSAT): フィッシング訓練プラットフォームが業界最高評価
- Targeted Attack Protection(TAP): 標的型攻撃に特化した保護
弱み
- 価格がMicrosoftより高め
- Microsoft 365との統合はAPIレベル(ネイティブほどシームレスではない)
- 日本語UIは限定的(英語が主体)
公式サイト: Proofpoint Email Security
Mimecast Email Security
強み
- メールアーカイブ: 法的保存要件・eDiscoveryに強い
- Continuity: メールサーバー障害時でも受信・送信を継続できる「メール継続性」機能
- URL Protect + Attachment Protect: クリック時のリアルタイムスキャンが優秀
弱み
- 価格は中〜高程度
- 最近の買収・事業統合による製品ロードマップの変化に注意(最新情報は公式サイト参照)
公式サイト: Mimecast
料金比較【2026年最新】
中小企業30ユーザーの月額コスト概算
| 製品 | $/ユーザー/月(目安) | 30ユーザー/月(目安) | 日本語サポート |
|---|---|---|---|
| EOP(Exchange基本) | M365に包含 | 追加なし | ✓ |
| Defender for O365 P1 | 約$2〜3 | 約¥9,000〜13,000 | ✓ |
| Defender for O365 P2 | 約$5 | 約¥22,000 | ✓ |
| Proofpoint Essentials Plus | 約$3〜5 | 約¥13,000〜22,000 | △ |
| Mimecast Email Security | 約$3〜5 | 約¥13,000〜22,000 | △ |
価格は参考値です。為替・ライセンス形態により変動します。
中小企業向け導入ステップ
Step 1:現状把握(1週間)
1. 自社ドメインのSPF・DKIM・DMARCの設定状況を確認
→ MXToolbox等のオンラインツールで即座にチェック可能
2. 過去6ヶ月のフィッシングメール受信状況をログで確認
3. 社員のセキュリティ意識のベースライン評価
Step 2:基盤設定(2週間)
1. SPFレコード設定(~allから開始)
2. DKIMの有効化(メールサーバー/Google Workspace/M365の設定)
3. DMARCをp=noneで設定 → レポートメールの受信開始
4. DMARC Report解析 → 正規送信ソースの把握
Step 3:ツール導入(1ヶ月)
M365ユーザーの場合:
1. Exchange Online Protection(EOP)の設定最適化
2. Defender for Office 365 P1を追加(または M365 Business Premium)
3. Anti-phishingポリシーにCEO・CFOのアドレスを登録
M365以外のメール環境の場合:
1. Proofpoint Essential または Mimecast の評価トライアル開始
2. 30日間の効果測定後に本契約判断
Step 4:強化(3ヶ月目〜)
1. DMARCをp=quarantineへ移行
2. フィッシング訓練の実施(Attack Simulator等)
3. 社員向けセキュリティ教育の実施
4. DMARCをp=reject(十分な安定稼働確認後)
5. インシデント対応手順書の整備
従業員教育:フィッシング訓練の重要性
技術的なメールセキュリティツールは重要ですが、最後の砦は人です。フィッシングメールを見破れる従業員の育成が不可欠です。
フィッシング訓練の実施方法
- 疑似フィッシングメールの送信: ツール(Attack Simulator・KnowBe4等)を使って模擬攻撃
- クリック率の測定: ベースライン → 訓練後の改善を定量評価
- フォローアップ教育: クリックした社員にすぐに教育コンテンツを提供
- 定期実施: 四半期ごとの実施が効果的
BECを見破るチェックポイント(社員教育用)
送金・情報提供を求めるメールを受けたら:
□ 送信元ドメインを確認(会社名が微妙に違う等)
□ 緊急を煽る表現に注意(「今すぐ」「今日中に」)
□ 普段と違う振込先口座の指定がないか
□ 電話や別のチャネルで相手に直接確認する
□ 上司・担当者に相談する(恥ずかしいことではない)
よくある質問(FAQ)
Q. GmailやOutlookを使っていれば安全ですか?
A. 基本的なスパム・フィッシング対策は内蔵されていますが、高度なBEC(マルウェアなし・なりすまし)には専用の強化ツールが有効です。特にビジネス用途では追加のセキュリティレイヤーを推奨します。
Q. DMARCを設定するとどんな効果がありますか?
A. 自社ドメインを使ったなりすましメール(フィッシング)を第三者が送信するのを技術的に防止・拒否できます。ただし、送信元ドメインが微妙に異なる(typosquatting)攻撃には別途対策が必要です。
Q. フィッシング訓練は法的に問題ありませんか?
A. 従業員に事前にセキュリティ教育の一環として実施することを就業規則や社内方針に明記した上で実施することが推奨されます。詳細は法務・人事部門と相談してください。
Q. Microsoft 365を使っていますが、どのプランがおすすめですか?
A. 中小企業にはMicrosoft 365 Business Premium(Defender for O365 P1 + MDM + Azure AD P1相当が含まれる)が最もコスパが良く、メールセキュリティ・デバイス管理・ID保護をセットで得られるためおすすめです。
Q. BECに遭ってしまった場合はどうすればよいですか?
A. 速やかに:①送金済みの場合は銀行に連絡(国際送金は時間が命)②警察・サイバー犯罪窓口に届け出③社内インシデント対応チームに報告④メールアカウントのパスワード変更・MFA有効化を実施してください。
まとめ:2026年メールセキュリティ対策の優先順位
| 優先度 | 対策 | コスト | 効果 |
|---|---|---|---|
| ★★★ 最優先 | SPF・DKIM・DMARCの設定 | ほぼ無料 | なりすまし防止 |
| ★★★ 最優先 | 全社員へのMFA(多要素認証)有効化 | ほぼ無料 | アカウント乗っ取り防止 |
| ★★☆ 重要 | Defender for O365 P1またはProofpoint導入 | 中 | 高度フィッシング対策 |
| ★★☆ 重要 | フィッシング訓練の実施(年2〜4回) | 低〜中 | 人的リスク低減 |
| ★☆☆ 推奨 | DMARC Reportの定期確認・最適化 | 低 | 継続的な改善 |
| ★☆☆ 推奨 | インシデント対応手順書の整備 | 低 | 被害拡大防止 |
最終的なメッセージ: BEC対策でまず着手すべきは「DMARC設定」と「MFA有効化」の2つです。どちらもコストをほぼかけずに実施でき、効果は絶大です。ツール導入はその後でも十分間に合います。