【事例】銀行なりすましBEC攻撃:緊急送金を騙る手口と見抜く兆候
【事例】銀行なりすましBEC攻撃:緊急送金を騙る手口と見抜く兆候
BEC攻撃(ビジネスメール詐欺)は、年々巧妙化しており、中小企業にとっても決して他人事ではありません。特に、普段から信頼している相手、例えば取引先や経営者、あるいは銀行からの連絡を装われると、つい油断してしまうものです。
この記事では、「銀行なりすまし」という手口を用いたBEC攻撃の事例を取り上げ、その具体的な手口や、攻撃メールに隠された「見抜くべき兆候」を詳しく解説します。この事例から学び、コストをかけずにできる自社の対策に役立ててください。
事例の概要:銀行を騙った緊急送金指示
この事例では、攻撃者はターゲットとなる中小企業の経理担当者に対し、その企業が普段利用している銀行を装ったメールを送信しました。
メールの内容は、あたかも銀行の正規の手続きであるかのように装われており、「システム変更に伴う緊急の対応が必要」「セキュリティ上の理由から、現在保留になっている送金がある」といった理由を付け、指定口座への緊急送金を指示するというものでした。
経理担当者は、普段から取引のある銀行からのメールだったこと、そして「緊急対応」「送金保留」という言葉に焦燥感を抱き、指示された通りに対応しようとしてしまったのです。
騙しの手口:信頼と緊急性を悪用する巧妙さ
この銀行なりすましBEC攻撃で用いられた主な手口は以下の通りです。
- 銀行名の悪用: ターゲット企業が実際に利用している銀行名をメールの差出人として表示し、信頼性を偽装しました。表示名だけでなく、メールアドレスも一見正規のものと区別がつきにくいよう、非常に類似したドメイン名を使用していたケースも見られます。
- 「緊急」と「問題発生」の強調: 「システム変更」「セキュリティ問題」「送金保留」といった言葉で緊急性を煽り、冷静な判断を奪おうとしました。考える時間を与えず、すぐに行動させるのが攻撃者の常套手段です。
- 具体的な送金指示: 偽装した銀行口座情報とともに、具体的な送金額や送金期日を明記していました。これにより、経理担当者は「正規の業務指示である」と思い込みやすくなります。
- 巧妙な偽装: メール本文のフォーマットや言葉遣いを、本物の銀行からの連絡文に似せて作成していました。企業のロゴなどが使用されていた場合もあり、ぱっと見では偽物と見分けがつきにくいように工夫されていました。
攻撃の兆候:見抜くべき「いつもと違う点」
この事例において、経理担当者がもし注意深く確認していれば、攻撃メールやその後のやり取りの中に、いくつかの不審な兆候を見つけることができたはずです。中小企業の従業員が日々の業務でチェックすべき具体的なポイントを見ていきましょう。
- メールアドレスの不一致:
- 差出人の表示名が銀行名になっていても、実際に使用されているメールアドレスのドメイン名(@の後ろの部分)が、銀行の正式なドメイン名とわずかに違う場合があります。(例: 銀行のドメインが
@bank-taro.co.jpなのに、メールが@bank-taro-info.comや@bank-taro.jpから来ているなど) - あるいは、銀行からの連絡にも関わらず、GmailやYahoo!メールなどのフリーメールアドレスが使われている場合もあります。
- 過去に銀行から届いた正規のメールと見比べることで、違いに気づけることがあります。
- 差出人の表示名が銀行名になっていても、実際に使用されているメールアドレスのドメイン名(@の後ろの部分)が、銀行の正式なドメイン名とわずかに違う場合があります。(例: 銀行のドメインが
- 不自然な日本語や表現:
- プロの翻訳ツールを使っているような、あるいはどこかぎこちない不自然な日本語が使われていることがあります。
- 普段の銀行からの連絡では使われないような、妙に強い口調や不自然な言い回しが見られることもあります。
- 普段と異なる手続きや送金先:
- 「緊急だから」という理由で、普段の送金手続きと異なる手順や承認プロセスを省略させようとします。
- 指示された送金先の口座名義や銀行名が、過去に取引したことのない、あるいは普段使用している銀行ではない場合があります。銀行の口座名義が個人名になっている、普段とは違う支店になっているなども怪しい兆候です。
- 連絡手段の限定:
- 「このメールに返信するように」「記載されている電話番号に連絡するように」など、特定の連絡手段に限定させようとします。正規の銀行のウェブサイトに掲載されている電話番号や、普段から連絡を取っている担当者の番号にかけ直して確認することを避けさせようとしている可能性があります。
- 過度な緊急性の強調:
- 「本日中に」「数時間以内に」など、異常に短い期限を切って対応を急かせる場合、詐欺の可能性が高いです。
これらの「いつもと違う点」は、攻撃者が正規の連絡になりすます際に避けられない不自然さやミスから生じることが多いです。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業経営者や従業員がBEC攻撃を防ぐために学ぶべき重要な教訓と、コストをかけずにできる対策のヒントは以下の通りです。
- 「差出人」は必ず複数で確認する: メールに表示されている差出人名だけを鵜呑みにせず、メールアドレスのドメイン名までしっかりと確認する癖をつけましょう。過去の正規のメールと見比べるのが有効です。少しでもおかしいと感じたら、対応を止めてください。
- 「緊急」の指示こそ疑う: BEC攻撃の常套手段は「緊急性」を装うことです。「今日中に送金が必要」「今すぐ対応しないと問題が起きる」といった指示を受けたら、「これはBEC攻撃かもしれない」と一旦立ち止まって疑うようにしましょう。
- 送金指示は必ず二重確認: 特に高額な送金指示や、普段とは異なる口座への送金指示は、メールや電話だけで完結させないようにします。
- 指示元(この場合は銀行を装った相手)に対し、過去にやり取りしたことのある正規の電話番号やメールアドレスを用いて、改めてその指示が正規のものかを確認する。
- 社内で、経理担当者だけでなく、経営者や他の担当者など、複数人で送金指示の内容や送金先をチェックするルールを作る。少人数の中小企業でも、例えば社長と経理担当者の両方が承認するプロセスを導入するなど工夫できます。
- 不審なメールや連絡は共有する: 従業員一人ひとりが「これは怪しいかも」と感じたメールや連絡は、担当者や経営者にすぐに報告・相談できる体制を作りましょう。不審な情報の共有は、他の従業員が同様の攻撃に引っかかるのを防ぐことに繋がります。
- 従業員への定期的な注意喚起: BEC攻撃の手口は変化します。過去の事例(自社の事例でなくても良い)を共有したり、チェックすべきポイントを再確認したりする機会を定期的に設け、従業員のセキュリティ意識を高めることが重要です。朝礼での一言や、月に一度の短いミーティングでも効果があります。
これらの対策は、特別なITシステムを導入したり、高額な費用をかけたりすることなく、社内の意識と行動のルール変更によって実践できます。
まとめ
「銀行なりすましBEC攻撃」は、私たちの最も信頼している相手になりすまし、巧妙に金銭を騙し取ろうとする悪質な手口です。このような攻撃から会社を守るためには、個々の従業員が攻撃の「兆候」を見抜く目を養い、組織として「確認を怠らない」という基本的なルールを徹底することが何よりも重要ですし、コストをかけずに実践できる有効な対策です。
この記事で紹介した「メールアドレスの不一致」「不自然な日本語」「普段と異なる手続き」「過度な緊急性」といった兆候に気づけるよう、日頃から意識しておくことが、BEC攻撃から自社を守る第一歩となります。ぜひ、この事例を参考に、社内での注意喚起や対策ルールの見直しを進めていただければ幸いです。