【事例】人事部門へのBEC攻撃:急な研修費用送金指示の手口と見抜く兆候
人事部門も狙われるBEC攻撃のリアル
BEC(ビジネスメール詐欺)攻撃は、主に企業の経理部門を標的として、取引先への支払いや役員からの緊急送金指示などを装って金銭を騙し取るもの、というイメージをお持ちかもしれません。しかし、攻撃者は常に新たな手口を探っており、経理部門以外の部署も攻撃対象となることがあります。
特に人事部門は、採用活動、研修、福利厚生、給与関連など、外部への支払いが発生する機会があり、また従業員の個人情報といった機密性の高い情報を取り扱います。このような業務フローや情報に着目したBEC攻撃事例も報告されています。
今回は、人事部門が「急なオンライン研修の参加費用」の支払いを指示されるという手口のBEC攻撃事例を取り上げ、その具体的な手法や、攻撃を見抜くための「兆候」について解説します。この事例から、皆様の会社がBEC攻撃の被害に遭わないための対策のヒントを得ていただければ幸いです。
事例の概要と騙しの手口
この事例では、攻撃者はまず標的となる企業の人事担当者の情報や、役員のメールアドレスなどの情報を事前に収集していたと考えられます。情報収集は、企業のウェブサイトやSNSなど、公開されている情報から行うことも可能です。
攻撃は、人事担当者に対して、経営者や役員になりすました巧妙な偽装メールが送られてくる形で始まります。メールの内容は、例えば以下のようなものです。
「件名:【重要】緊急のオンライン研修参加について(△△様)
△△さん
〇〇(役員名)です。
来週急遽実施される、海外の最新の人事トレンドに関するオンライン研修に、あなたの参加が必須となりました。参加登録と費用支払いを至急行ってください。
参加費用は〇〇ドル(または〇〇円)です。支払いはこちらの口座へ振り込んでください。
[攻撃者が指定する振込先情報]
これは非常に重要な研修で、他言無用でお願いします。参加登録完了後、私に報告してください。
よろしくお願いいたします。
〇〇(役員名) 役職」
このように、攻撃者は以下の要素を盛り込むことで、人事担当者を騙そうとします。
- 役員・経営者へのなりすまし: 普段やり取りのある役員や経営者の氏名を使用し、信頼させようとします。
- 緊急性の強調: 「至急」「緊急」「来週急遽」といった言葉で、冷静に考える時間や周囲に相談する時間を与えないように仕向けます。
- 内密性の強調: 「他言無用」「私に報告」といった指示で、他の従業員や上司への確認を牽制します。
- 具体的な送金指示: 金額や振込先を明確に示し、すぐに手続きに移らせようとします。
- 業務との関連付け: 人事担当者の業務に関連する「研修」というテーマを用いることで、不審に思われにくくしています。
人事担当者は、普段から上司である役員からの指示に迅速に対応することに慣れているため、このようなメールを受け取ると、深く考えずに指示通りに動いてしまう危険性があります。
攻撃の兆候:いつもと違う「怪しい点」は?
しかし、このような偽装メールには、注意深く確認すれば気づける不審な「兆候」が隠されています。この事例における具体的な兆候は以下の通りです。
- 送信元メールアドレスの微細な違い: 表示されている名前は役員名であっても、実際のメールアドレスを確認すると、役員の正規のアドレスとスペルがわずかに違っていたり(例: 「.co.jp」が「.ne.jp」になっている、アルファベットが一文字違う)、フリーメールアドレスや見慣れないドメインになっている場合があります。
- 普段と異なる文体や言葉遣い: 役員からのメールにしては、普段のやり取りよりも丁寧すぎる、あるいは逆に不自然に威圧的であるなど、文体や言葉遣いに違和感がある場合があります。敬称が不自然だったり、日本語の表現におかしい箇所があることもあります。
- 普段と異なる支払い手続き: 会社の経費精算や支払いには、通常定められた手続きや承認フローがあるはずです。メールで突然、普段と異なる振込先への支払いを求められたり、事前の稟議や承認プロセスを無視するように指示されたりした場合は、非常に怪しい兆候です。
- 不審な振込先情報: 振込先が個人の氏名になっていたり、海外の口座であったり、会社の通常の取引先とは全く異なる情報であったりしないか確認が必要です。特に、振込先の銀行名や支店名、口座名義などが、送金を求められている内容(この事例ではオンライン研修)と関連があるかどうかも一つの判断材料になります。
- 過度な緊急性と確認の制限: 「今すぐ」「至急」といった言葉で強く急かされ、かつ「他の誰にも言わないで」「電話はしないでメールで連絡して」のように、他の人に相談したり、電話で本人に確認したりすることを避けさせるような指示が含まれている場合は、攻撃である可能性が極めて高いです。攻撃者は、被害者が冷静に判断したり、事実確認をしたりする時間を与えないように焦らせます。
- 不審な添付ファイル: もし請求書などが添付されている場合、ファイル名や拡張子がおかしくないか、開く前に送信元を慎重に確認する必要があります。ただし、最近の攻撃メールは添付ファイルをつけずに本文中に振込先を記載する形式も増えています。
これらの兆候のいずれか一つでも見られた場合、それはBEC攻撃の可能性を示す強い警告信号です。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業経営者や人事担当者、そして全従業員が学ぶべき重要な教訓と、コストをかけずにできる対策のヒントがあります。
経営者が認識すべきこと・主導すべきこと
- 攻撃は経理部門だけではない: BEC攻撃は会社のあらゆる部署、あらゆる従業員を標的とする可能性があることを経営者自身が認識し、組織全体に注意喚起する必要があります。
- 従業員への教育は必須: IT専門知識がない従業員でも、不審なメールを見分けるための基本的なチェックポイント(メールアドレスの確認方法、不審な日本語の例、焦らせる手口など)を学ぶ研修や情報共有の場を定期的に設けることが重要です。専門業者に依頼せずとも、社内で具体的な事例(本記事のような情報)を共有するだけでも効果があります。
- 支払い承認フローの見直しと徹底: 金銭が関わる手続きについては、必ず複数の担当者による確認や承認が必要となるようなルールを設け、それを徹底することが不可欠です。特に、普段と異なる振込先や手続きが指示された場合は、普段以上に慎重な確認を義務付けるべきです。
- 「二段階認証」ルールの導入: メールで送金や支払いに関する指示を受けた場合、必ず電話や社内チャットツールなど、メールとは別の手段で、本当に本人からの指示であるかを確認するルールを組織全体で徹底してください。これは、コストをかけずに実施できる最も効果的な対策の一つです。
従業員(特に人事担当者など支払いに関わる可能性のある方)が注意すべきこと
- メールを鵜呑みにしない習慣: 役員や取引先など、普段信頼している相手からのメールであっても、内容が金銭に関わることであったり、緊急性を強調していたりする場合は、一度立ち止まって冷静に考える習慣をつけましょう。
- 「いつものやり方」と比べる: 受け取った指示が、普段の業務フローや手続きと異なっていないかを確認してください。普段は電話で指示があるのにメールだけ、承認が必要なのに不要と言われている、振込先がいつもと違う、といった点は重要な兆候です。
- 「怪しい」と感じたらすぐに相談・報告: 攻撃者は「内密に」と指示して孤立させようとします。しかし、少しでも不審に感じたら、決して一人で判断せず、すぐに直属の上司や同僚、あるいは会社で定められた相談窓口に報告・相談してください。攻撃に気づく最も重要なタイミングは、担当者が「何かおかしい」と感じたその瞬間です。
- メールアドレスの確認方法を覚える: スマートフォンやパソコンでのメールアドレスの正確な確認方法を知っておきましょう。表示名だけではなく、詳細なアドレス表示を見て判断することが重要です。
まとめ
BEC攻撃は巧妙化しており、人事部門を含む様々な部署が標的となり得ます。特に、緊急性を装った送金指示は、担当者を焦らせて正常な判断力を奪う典型的な手口です。
今回ご紹介した「急な研修費用送金指示」の事例のように、一見業務に関連する内容でも、メールアドレスの不審な点、普段と異なる手続き、過度な緊急性といった「兆候」を見逃さないことが、攻撃を防ぐ第一歩となります。
最も効果的でコストのかからない対策は、従業員一人ひとりのセキュリティ意識を高め、疑わしいメールや指示に気づく能力を養うことです。そして、金銭に関わる指示については、必ずメール以外の手段(電話など)で本人に確認する「二段階認証」のルールを徹底することが、被害を防ぐための鍵となります。
本記事が、皆様の会社のBEC攻撃対策を見直すきっかけとなれば幸いです。