【事例】従業員の退職・入社を狙うBEC攻撃:見抜くべき巧妙な手口と兆候
従業員の退職・入社時、あなたの会社は狙われていませんか?
BEC(ビジネスメール詐欺)攻撃は、巧妙な手口で会社の資金を騙し取る犯罪です。多くの場合、役員や取引先になりすまして緊急の送金を指示する手口が知られていますが、実は従業員の退職や入社といった社内の動きを悪用するケースも発生しています。
特に、ITの専門部署を持たない中小企業では、人事や経理担当者が直接狙われることが多く、見慣れないメールの指示にうっかり従ってしまうリスクがあります。
この記事では、従業員の退職や入社のタイミングを狙ったBEC攻撃の具体的な事例を通して、どのような手口が使われ、どのような兆候に気づくべきか、そしてコストをかけずにできる対策にはどのようなものがあるのかを解説します。この事例から学び、大切な会社の資産を守るためのヒントを得てください。
事例の概要:退職者への支払いを騙るBEC攻撃
ある中小企業で、長年勤めた従業員が退職することになりました。経理担当者は、最終給与や退職金の支払い準備を進めていました。
攻撃者はこの情報(おそらく企業の公開情報やSNSなどから推測、あるいは過去の情報漏洩などで入手)を知っていたかのように装い、退職する従業員本人になりすましたメールを経理担当者宛てに送りました。
メールの件名は「【重要】最終給与・退職金振込口座のご変更について」といった、もっともらしいものでした。
騙しの手口:退職者なりすましと振込先変更指示
攻撃者が用いた手口は、主に以下の点でした。
- 退職者本人へのなりすまし: メールアドレスは、退職する従業員の氏名を含んでいましたが、会社の正式なドメインではなく、Gmailなどの無料メールサービスが使われていました。しかし、表示名が退職者本人の氏名になっていたため、深く確認しないと気づきにくい作りでした。
- 振込口座変更の指示: メール本文では、「引っ越しに伴い、現在の口座が使えなくなるため、大変お手数ですが、最終給与と退職金は下記の新しい口座へ振り込んでいただけますでしょうか。」といった内容で、新しい振込先口座情報(多くの場合、個人名義の口座や、普段取引のない銀行の口座)が記載されていました。
- 緊急性や秘密性の示唆: 「手続きの都合上、〇〇日までに処理をお願いいたします」といった期日を設けたり、「この件について、社内にはまだ伝えておりません」といった秘密を示唆したりする場合もあります。
- 自然なやり取りの偽装: 経理担当者がメールに返信すると、攻撃者は退職者本人になりすまして返信を続け、疑念を抱かせないように自然なやり取りを装います。
経理担当者は、退職者本人からのメールだと思い込み、社内の正規の手続きフローを確認せず、記載された新しい口座へ送金してしまいました。
攻撃の兆候:見抜くべき「いつもと違う点」
この事例において、攻撃メールやその後のやり取りの中に、実はいくつかの「いつもと違う点」や「怪しい点」がありました。早期に気づけば、被害を防ぐことができた可能性が高い兆候です。
- 送信元メールアドレスのドメイン: 最も重要な兆候は、メールアドレスのドメインが会社の正式なものではなく、GmailやYahoo!メールなどの無料メールサービスだった点です。退職者が個人的なアドレスを使う可能性もゼロではありませんが、会社の支払いに関する重要な指示を個人的なメールアドレスから送ってくるのは非常に不自然です。たとえ表示名が正しくても、必ず「@」以降のドメインを確認する習慣をつけましょう。
- 普段と違う連絡方法: 通常、退職に伴う手続きや支払いに関する指示は、社内の正式なメールアドレスを使用するか、口頭や社内のコミュニケーションツールを通じて行われるはずです。普段と違う経路で、しかも個人的なメールアドレスから指示が来た点は、警戒すべき兆候です。
- 不自然な振込先情報: 指示された振込先口座が、普段従業員への給与振込に使っている口座情報と異なる場合、あるいは個人名義や普段取引のない銀行の場合は、特に注意が必要です。退職者からの変更依頼であっても、安易に受け入れるべきではありません。
- 手続きフローからの逸脱: 会社の経費精算や給与支払い、退職金支払いには、通常、承認プロセスや本人確認の手続きが定められています。メールでの指示だけで、定められたフローを飛ばして手続きを進めようとするのは、明らかに異常な兆候です。
- 文面の微妙な不自然さ: 攻撃者は海外にいることが多く、日本語の表現や言い回しに微妙な間違いや不自然さが見られることがあります。また、普段その従業員が使う言葉遣いと違う場合もあります。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業の経営者や従業員がBEC攻撃を防ぐために学ぶべき重要な教訓と、コストをかけずにできる対策のヒントがあります。
経営者として取り組むべきこと:
- 社内ルールの周知徹底: 給与、経費、請求書支払いなど、お金に関わる重要な手続きについては、必ず定められた社内ルール(承認フロー、本人確認方法、使用する連絡手段など)に従うことを全従業員に徹底してください。メールでの指示だけで重要な手続きを行わないルールを明確に定めましょう。
- 従業員への定期的な注意喚起: BEC攻撃の手口は変化し続けます。今回の事例のように、身近な社内の動き(退職・入社だけでなく、人事異動や新しいプロジェクト開始なども)を悪用するケースがあることを従業員に知らせ、常に警戒心を持つよう促してください。不審なメールや普段と違う指示があった場合は、一人で判断せず必ず責任者や他の担当者に報告・相談する体制を作りましょう。
- 確認文化の醸成: 「ちょっとおかしいな」と感じた場合に、ためらわずに確認できる風通しの良い組織文化を作りましょう。「確認してよかった」という経験を共有することで、従業員のセキュリティ意識は高まります。
- 無料・低コストツールでの補強: 会社の正式なメールアドレス以外からの指示については、必ず電話やチャットツールなど、別の手段で本人に直接確認するルールを導入しましょう。これは特別なコストをかけずにできる非常に有効な対策です。また、重要なメールアドレスには多要素認証(ID/パスワードだけでなく、スマートフォンへのコード入力なども必要にする仕組み)を設定することも検討してください。
従業員(特に人事・経理担当者)が注意すべきこと:
- メールアドレスの確認を徹底: 送信者の「表示名」だけを鵜呑みにせず、「@」以降のドメインまでしっかり確認する習慣をつけましょう。会社のドメインと少しでも違う場合(例: 会社のドメインが
example.co.jpなのにexanple.co.jpとなっている、あるいはGmailなどの無料メールサービスが使われている)は、強く警戒してください。 - 「いつもと違う」に気づく: 普段のやり取りと比べて、メールの件名、本文の言い回し、送金先、手続きなどが少しでもおかしいと感じたら、それは攻撃の兆候かもしれません。直感も大切にしましょう。
- 必ず本人に確認する: 特に、支払いに関する重要な指示や振込先変更の依頼があった場合は、メールの返信だけで済まさず、必ず会社の正式な電話番号や内線番号、あるいは会社のコミュニケーションツールを通じて、本人に直接連絡を取り、事実を確認してください。メールに記載されている電話番号に連絡するのは危険です。
- 社内ルールに従う: 忙しい時でも、定められた社内ルールや承認フローを省略せず、正規の手順で手続きを進めましょう。
まとめ:油断せず、基本の確認を徹底することが鍵
従業員の退職や入社といった、一見すると日常的な社内イベントも、BEC攻撃者にとっては格好の機会となり得ます。今回の事例からわかるように、攻撃者は巧妙になりすまし、緊急性や秘密性を示唆することで、受信者の冷静な判断を鈍らせようとします。
しかし、攻撃メールには必ずと言っていいほど、送信元アドレスの不自然さや、普段と違う指示内容、手続きフローからの逸脱といった「兆候」が含まれています。これらの兆候にいち早く気づくためには、日頃からの注意深い観察と、基本的な確認作業を徹底することが何よりも重要です。
「会社の正式なメールアドレスか確認する」「メールの指示だけで手続きを進めず、別の方法で本人確認をする」「少しでも不審に思ったら必ず報告・相談する」。これらのコストをかけずにできる基本的な対策と、従業員への継続的な注意喚起こそが、BEC攻撃から会社を守る最も有効な盾となります。