【事例】会計監査なりすましBEC攻撃:普段と違う支払い指示の手口と見抜く兆候
会計監査を装うBEC攻撃にご注意ください
BEC(ビジネスメール詐欺)は、巧妙な手口で組織を欺き、金銭を騙し取るサイバー犯罪です。その手口は多岐にわたりますが、特定の業務タイミングや状況を悪用するものも少なくありません。今回は、会計監査に関連する状況を装ったBEC攻撃の事例を取り上げ、その手口や見抜くべき兆候、そして中小企業が実践できる対策について解説いたします。
特に、IT専門の担当者がいない、あるいは限られたリソースで経営を行っている中小企業では、従業員一人ひとりの警戒心と、組織内のシンプルな確認ルールが重要になります。本事例を通じて、皆様のBEC対策の一助となれば幸いです。
会計監査なりすましBEC攻撃の概要と手口
この事例で想定される攻撃は、企業の会計監査が近づいている、または実施されている時期を狙って仕掛けられます。攻撃者は、企業の監査を担当している監査法人や、会計士、さらには社内の経理担当役員などに「なりすまし」、経理部門の担当者へ不正な送金指示を行うことを目的とします。
具体的な騙しの手口は以下の通りです。
- 監査法人や会計士のなりすまし: 攻撃者は、実在する監査法人名や会計士名を使い、メールアドレスも本物そっくりに偽装します。例えば、「@監査法人名.co.jp」を「@監査法人名-audit.co.jp」のように、わずかに異なるドメインを使用したり、「i」を「l」に変えるといったタイポ(入力ミス)を悪用したりします。
- 緊急性の演出: 監査の進行には時間的な制約があることを逆手に取り、「監査の最終確認のため、急ぎで処理が必要な費用がある」「この支払いが滞ると監査結果に影響する」といった緊急性を強調します。
- 普段発生しない費用の請求: 監査に関連すると称して、普段は発生しない種類の費用(例:特定の資料取得費用、外部専門家への一時的な協力金、システム利用料など)の支払いを求めてきます。
- 普段と異なる支払い方法の指定: 通常の取引で使用している銀行口座とは異なる、海外の銀行口座や、仮想通貨、あまり馴染みのないオンライン決済サービスへの送金を指示します。振込先名義が個人名になっている場合もあります。
- 社内役員へのCC偽装: 経理担当者を安心させるため、メールのCC(カーボンコピー)に、実在する社内役員のメールアドレスを偽装して含めることがあります。これも、正規のアドレスと微妙に異なる偽装アドレスであることが多いです。
- 情報の機密性強調: 「この件は監査に関わる機密情報であるため、関係者以外への共有は避けてほしい」といった文言を加え、経理担当者が他の従業員や経営層に相談・確認することを躊躇させようとします。
これらの手口を組み合わせることで、攻撃者は経理担当者を混乱させ、正規の確認プロセスを経ずに不正な送金を実行させようとします。
事例から学ぶ攻撃の兆候:ここが怪しい!
この種のBEC攻撃メールや不審なやり取りには、注意深く観察すれば必ず「いつもと違う点」や「怪しい点」が存在します。以下に、会計監査なりすましBEC攻撃において見抜くべき具体的な兆候を挙げます。
- 送信元メールアドレスの微細な違い: 最も重要な兆候の一つです。見た目は本物の監査法人や役員のアドレスに似ていても、よく見るとドメイン名にスペルミスがあったり、ハイフンやアンダーバーの位置が異なっていたりします。メールを開く前、あるいは返信する前に、アドレスを一文字ずつ確認する癖をつけましょう。
- 不自然な日本語表現: 翻訳ツールを使ったような不自然な言い回しや、普段のビジネスメールでは使わない単語、誤字脱字が多い場合があります。監査法人や役員からのメールとしては不自然ではないか、といった違和感を大切にしてください。
- 普段発生しない費用や手続きの要求: 監査に関連する費用だとしても、普段の取引や監査で発生したことのない種類の費用や、馴染みのない手続き(特定のウェブサイトでの登録、見慣れない形式の請求書など)を要求される場合は警戒が必要です。
- 普段と異なる送金先の指示: 海外の銀行口座や個人名義の口座、仮想通貨など、普段のビジネス取引では使用しない送金先を指定された場合は、最も疑うべき兆候です。
- 過度な緊急性や機密性の強調: 正当な業務指示でも緊急を要することはありますが、通常の確認や承認プロセスを飛ばさせようとするほどに「急いで」「他言無用」といった指示が強調されている場合は、不正の可能性が高いです。
- CCに含まれるアドレスの偽装: CCに入っている役員のアドレスも、送信元アドレスと同様に偽装されている可能性があります。必ず正規の登録情報と照合してください。
- 過去のやり取りとの整合性: 監査法人や役員との過去の正規のメールのやり取りと比較し、文体、署名、メールフッターなどが一致しているか確認してください。
これらの兆候が一つでも見られた場合は、「これは怪しい」と立ち止まり、決して即座に指示に従わないことが重要です。
事例から学ぶべき教訓と対策のヒント(コストをかけずにできること)
この事例から学ぶべき最も重要な教訓は、「焦らず、確認を怠らないこと」です。特に中小企業においては、以下のようなコストをかけずにできる基本的な対策や、従業員全体で意識すべき行動指針を徹底することが、BEC攻撃からの防御につながります。
- 【最重要】支払い指示は「電話で直接確認」を徹底する: メールやメッセージで、特に金額や送金先が普段と異なる支払い指示を受け取った場合は、必ず正規の電話帳などに登録された電話番号を使って、指示元本人(この事例なら監査法人の担当者や社内役員)に電話をかけ、指示の真偽を確認してください。メールに記載されている電話番号は偽装されている可能性があるため使用しないでください。これが最も効果的で、かつコストのかからない対策です。
- 「二段階承認」のルールを設ける: 重要な支払いに関しては、経理担当者だけでなく、経営者や別の担当者など、複数人で承認するルールを設けてください。これにより、一人の担当者が騙されてしまっても、他の担当者が不審な点に気づく可能性が高まります。
- 社内でBEC攻撃の手口や兆候を共有する: 実際に受け取った不審なメールの事例などを、従業員全体で共有する機会を設けてください。「こんなメールが来たら要注意」といった具体例を知っておくことで、警戒心が高まります。
- 「いつもと違う」に気づく意識を持つ: メールアドレス、文体、内容、支払い方法、指示のトーンなど、普段の業務プロセスややり取りと比べて「何かおかしい」と感じたら、それは重要なサインです。その違和感を無視せず、必ず確認する勇気を持つことが大切です。
- 不審なメールを見つけた場合の報告ルールを決める: 怪しいメールを受け取った場合に、誰に、どのような方法で報告するかを事前に決めておき、従業員に周知してください。早期に情報を共有することで、他の従業員が同じ手口に騙されることを防げます。
- 公開情報の見直し: 会社のウェブサイトやSNSなどで、監査時期や具体的な担当者名、部署間の連携について詳細に公開しすぎていないか確認し、攻撃者に悪用されうる情報を減らすことも検討できます。
これらの対策は、特別なITツールを導入する必要はありません。日々の業務における「確認の習慣」と、組織内の「情報共有と連携」によって実践できるものです。
まとめ
会計監査を装うBEC攻撃は、企業の信頼性や手続きの煩雑さを逆手に取る巧妙な手口です。攻撃者は、経理担当者が監査に関連する支払いを「当然のもの」と捉え、急ぎの対応を迫られる状況で冷静な判断力を失うことを狙います。
しかし、冷静にメールの送信元や内容をチェックし、「普段と違う点」に気づく意識を持つこと、そして最も重要な「支払い指示は電話で直接確認する」という基本的なルールを徹底することで、多くのBEC攻撃は防ぐことができます。
BEC攻撃の手口は日々変化しますが、基本的な対策は変わりません。今回ご紹介した事例と教訓を参考に、皆様の組織におけるセキュリティ対策、特に従業員への注意喚起と確認ルールの徹底に改めて取り組んでいただければ幸いです。