BEC詐欺・CEO詐欺を防ぐ内部統制チェックリスト【2026年版】経理・財務・コンプライアンス担当者向け

この記事のポイント（TL;DR）

BEC詐欺の世界被害額は年間29億ドル超。日本企業も無縁ではない

最大の防御は「メール1本で送金を完結させない」業務フローの設計

AI音声クローニング詐欺には検知ツールと確認フローの併用が必要

このチェックリストは経理・財務・コンプライアンス担当者がそのまま使用可能

BEC詐欺（Business Email Compromise、ビジネスメール詐欺）は、日本企業においても年々被害件数が増加しています。FBIのIC3 Annual Report（2023年）によると、BEC詐欺の世界被害総額は**2023年単年で約29億ドル（約4,400億円）**に上り、サイバー犯罪の中で金融被害が最大の犯罪類型です。

本記事では、経理・財務・コンプライアンス担当者がすぐに使えるBEC詐欺対策の内部統制チェックリストを提供します。

BEC詐欺の主な手口（2026年最新）

BEC詐欺は年々手口が巧妙化しています。主な攻撃パターンを把握することが対策の第一歩です。

手口	概要	特徴
CEO/役員なりすまし	社長・CFOを装ったメールで緊急送金を指示	「秘密で」「今日中に」などの文言で焦らせる
取引先なりすまし	仕入先・顧客のメールアカウントを乗っ取り、振込先変更を指示	正規メールアドレスからの送信のため発見困難
弁護士・コンサルなりすまし	M&A・訴訟を口実に秘密保持を求めながら送金を指示	外部専門家という権威を利用
AI音声クローニング	CEOの音声を模倣した電話で送金を指示	2024年香港で約37億円の被害事例あり
リアルタイムディープフェイク	ビデオ会議でCFOの顔を偽造し指示	最新技術で肉眼での判別が困難

詳細な事例はCEO詐欺の手口と国内外事例【2026年最新】をご参照ください。

内部統制チェックリスト

▌業務プロセス編（最重要）

経営陣への承認を必要とせずに実施できる、最も効果的な対策です。

送金・振込承認フロー

メール1本だけで送金指示を完結させるフローを廃止する
一定金額以上の送金には必ず2名以上の承認を必須にする
振込先口座の変更依頼は、登録済みの電話番号にコールバックして本人確認する
「緊急・秘密」を理由に通常手続きをスキップする指示を受けた場合、上長にエスカレーションするルールを設ける
役員・上司への確認を禁止または困難にする指示は詐欺のサインとして認識する

メール確認フロー

送金・口座変更に関するメールは、「返信」ではなく「新規作成」で送信者に確認する
メールの「表示名」ではなく「実際の送信元アドレス」を必ず確認する
取引先からの振込先変更依頼は、電話（登録済み番号）で確認を取る

▌技術的対策編

メール認証設定

**SPF（Sender Policy Framework）**を設定し、正規サーバー以外からの送信を拒否
**DKIM（DomainKeys Identified Mail）**を設定し、メール改ざんを検知
DMARCをポリシーp=quarantineまたはp=rejectで設定
DMARCレポートを定期的に確認し、なりすまし試行を監視

端末・アカウント管理

経営幹部・経理担当者のメールアカウントに**多要素認証（MFA）**を設定
VPN使用や不審なログインのアラートを設定
フィッシングメールの疑似訓練を年1回以上実施

AI音声・映像検知

電話・ビデオ会議での送金指示は必ず別手段で確認するルールを策定
AI音声クローニング対策としてディープフェイク検知ツールの導入を検討
ビデオ会議での不審な映像（表情の不自然さ、背景のズレ）の確認方法を社員に周知

▌組織・教育編

社員教育

BEC詐欺の手口と確認手順を全社員（特に経理・財務・秘書）に周知
「社長・役員からの緊急依頼」であっても確認プロセスを省略しない文化を醸成
不審なメール・電話の報告窓口と手順を明確にする
年1回以上、BEC詐欺を想定した訓練・ロールプレイを実施

対応体制

BEC詐欺被害発生時の初動対応フロー（金融機関連絡・警察通報）を策定
金融機関の緊急連絡先（振込停止依頼）を事前に確認・共有
サイバー保険の適用範囲にBEC詐欺が含まれているか確認

被害発生時の初動対応（タイムライン）

BEC詐欺の被害に気づいた場合、最初の数時間が資金回収の鍵です。

時間	対応
0〜1時間	送金した金融機関に緊急連絡し、振込停止・組み戻し依頼
1〜3時間	警察（サイバー犯罪相談窓口）に被害届の準備
3〜24時間	経営陣・法務・サイバー保険会社への報告
24時間以降	フォレンジック調査・再発防止策の策定

日本では「振り込め詐欺救済法」により、一定の条件下で被害回復分配金の請求が可能です。ただし、海外口座への送金は回収が極めて困難なため、予防措置が最重要です。

AI音声クローニング詐欺への対策

2024年以降、AIで音声を模倣した「CEO詐欺電話」の被害が急増しています。2019年英国での事例（Wall Street Journal報道）を皮切りに、2024年香港では約37億円の被害が発生しました。

音声クローニング詐欺の特徴：

わずか3〜15秒の音声サンプルから高精度な音声複製が可能
電話越しでは肉眼・耳での判別がほぼ不可能
「緊急」「秘密で」という文言で確認プロセスをスキップさせようとする

対策の柱：

確認フロー：電話での送金指示は必ず登録済みの別番号に折り返す
AI検知ツール：spellbreakerなどのディープフェイク検知ツールで音声の真偽を自動判定
教育：「社長の声でも確認する」ことが失礼ではないという文化の醸成

まとめ：BEC詐欺対策の優先順位

すべての対策を一度に導入するのは現実的ではありません。以下の順序で段階的に実施することを推奨します。

フェーズ1（すぐに実施）

メールによる送金指示の単独完結を禁止
コールバック確認ルールの策定・周知
多要素認証（MFA）の全社導入

フェーズ2（1〜3ヶ月以内）

DMARC/DKIM/SPFの設定と監視
BEC詐欺訓練の実施
被害発生時の初動対応フロー策定

フェーズ3（3〜6ヶ月）

AI音声・映像検知ツールの導入検討
サイバー保険の見直し
定期的なセキュリティ監査

G1 Technologyでは、AI音声クローニング・ディープフェイクに対応した検知ソリューション「spellbreaker」を提供しています。CEO詐欺・なりすまし対策について、詳しくはお問い合わせまたはデモのお申し込みをご検討ください。

この記事のポイント（TL;DR）

BEC詐欺の世界被害額は年間29億ドル超。日本企業も無縁ではない

最大の防御は「メール1本で送金を完結させない」業務フローの設計

AI音声クローニング詐欺には検知ツールと確認フローの併用が必要

このチェックリストは経理・財務・コンプライアンス担当者がそのまま使用可能

本記事では、経理・財務・コンプライアンス担当者がすぐに使えるBEC詐欺対策の内部統制チェックリストを提供します。

BEC詐欺の主な手口（2026年最新）

BEC詐欺は年々手口が巧妙化しています。主な攻撃パターンを把握することが対策の第一歩です。

手口	概要	特徴
CEO/役員なりすまし	社長・CFOを装ったメールで緊急送金を指示	「秘密で」「今日中に」などの文言で焦らせる
取引先なりすまし	仕入先・顧客のメールアカウントを乗っ取り、振込先変更を指示	正規メールアドレスからの送信のため発見困難
弁護士・コンサルなりすまし	M&A・訴訟を口実に秘密保持を求めながら送金を指示	外部専門家という権威を利用
AI音声クローニング	CEOの音声を模倣した電話で送金を指示	2024年香港で約37億円の被害事例あり
リアルタイムディープフェイク	ビデオ会議でCFOの顔を偽造し指示	最新技術で肉眼での判別が困難

詳細な事例はCEO詐欺の手口と国内外事例【2026年最新】をご参照ください。

内部統制チェックリスト

▌業務プロセス編（最重要）

経営陣への承認を必要とせずに実施できる、最も効果的な対策です。

送金・振込承認フロー

メール1本だけで送金指示を完結させるフローを廃止する
一定金額以上の送金には必ず2名以上の承認を必須にする
振込先口座の変更依頼は、登録済みの電話番号にコールバックして本人確認する
「緊急・秘密」を理由に通常手続きをスキップする指示を受けた場合、上長にエスカレーションするルールを設ける
役員・上司への確認を禁止または困難にする指示は詐欺のサインとして認識する

メール確認フロー

送金・口座変更に関するメールは、「返信」ではなく「新規作成」で送信者に確認する
メールの「表示名」ではなく「実際の送信元アドレス」を必ず確認する
取引先からの振込先変更依頼は、電話（登録済み番号）で確認を取る

▌技術的対策編

メール認証設定

**SPF（Sender Policy Framework）**を設定し、正規サーバー以外からの送信を拒否
**DKIM（DomainKeys Identified Mail）**を設定し、メール改ざんを検知
DMARCをポリシーp=quarantineまたはp=rejectで設定
DMARCレポートを定期的に確認し、なりすまし試行を監視

端末・アカウント管理

経営幹部・経理担当者のメールアカウントに**多要素認証（MFA）**を設定
VPN使用や不審なログインのアラートを設定
フィッシングメールの疑似訓練を年1回以上実施

AI音声・映像検知

電話・ビデオ会議での送金指示は必ず別手段で確認するルールを策定
AI音声クローニング対策としてディープフェイク検知ツールの導入を検討
ビデオ会議での不審な映像（表情の不自然さ、背景のズレ）の確認方法を社員に周知

▌組織・教育編

社員教育

BEC詐欺の手口と確認手順を全社員（特に経理・財務・秘書）に周知
「社長・役員からの緊急依頼」であっても確認プロセスを省略しない文化を醸成
不審なメール・電話の報告窓口と手順を明確にする
年1回以上、BEC詐欺を想定した訓練・ロールプレイを実施

対応体制

BEC詐欺被害発生時の初動対応フロー（金融機関連絡・警察通報）を策定
金融機関の緊急連絡先（振込停止依頼）を事前に確認・共有
サイバー保険の適用範囲にBEC詐欺が含まれているか確認

被害発生時の初動対応（タイムライン）

BEC詐欺の被害に気づいた場合、最初の数時間が資金回収の鍵です。

時間	対応
0〜1時間	送金した金融機関に緊急連絡し、振込停止・組み戻し依頼
1〜3時間	警察（サイバー犯罪相談窓口）に被害届の準備
3〜24時間	経営陣・法務・サイバー保険会社への報告
24時間以降	フォレンジック調査・再発防止策の策定

AI音声クローニング詐欺への対策

音声クローニング詐欺の特徴：

わずか3〜15秒の音声サンプルから高精度な音声複製が可能
電話越しでは肉眼・耳での判別がほぼ不可能
「緊急」「秘密で」という文言で確認プロセスをスキップさせようとする

対策の柱：

確認フロー：電話での送金指示は必ず登録済みの別番号に折り返す
AI検知ツール：spellbreakerなどのディープフェイク検知ツールで音声の真偽を自動判定
教育：「社長の声でも確認する」ことが失礼ではないという文化の醸成

まとめ：BEC詐欺対策の優先順位

すべての対策を一度に導入するのは現実的ではありません。以下の順序で段階的に実施することを推奨します。

フェーズ1（すぐに実施）

メールによる送金指示の単独完結を禁止
コールバック確認ルールの策定・周知
多要素認証（MFA）の全社導入

フェーズ2（1〜3ヶ月以内）

DMARC/DKIM/SPFの設定と監視
BEC詐欺訓練の実施
被害発生時の初動対応フロー策定

フェーズ3（3〜6ヶ月）

AI音声・映像検知ツールの導入検討
サイバー保険の見直し
定期的なセキュリティ監査

BEC詐欺・CEO詐欺を防ぐ内部統制チェックリスト【2026年版】経理・財務・コンプライアンス担当者向け

BEC詐欺の主な手口（2026年最新）

内部統制チェックリスト

▌業務プロセス編（最重要）

▌技術的対策編

▌組織・教育編

被害発生時の初動対応（タイムライン）

AI音声クローニング詐欺への対策

まとめ：BEC詐欺対策の優先順位

Protect Your Organization with spellbreaker

Related Articles

BEC詐欺・CEO詐欺を防ぐ内部統制チェックリスト【2026年版】経理・財務・コンプライアンス担当者向け

BEC詐欺の主な手口（2026年最新）

内部統制チェックリスト

▌業務プロセス編（最重要）

▌技術的対策編

▌組織・教育編

被害発生時の初動対応（タイムライン）

AI音声クローニング詐欺への対策

まとめ：BEC詐欺対策の優先順位

Protect Your Organization with spellbreaker

Related Articles