【事例】「法務部門からの緊急指示」を騙るBEC攻撃：訴訟関連費用詐欺の手口と見抜く兆候

BEC攻撃事例ファイル：法務部門なりすましによる訴訟関連費用詐欺

BEC攻撃は、メールを悪用して企業から不正に金銭を騙し取る詐欺です。近年、その手口は多様化・巧妙化しており、特に中小企業も例外なく狙われています。今回は、「法務部門からの緊急指示」を装うBEC攻撃の事例を取り上げ、その具体的な手口、攻撃を見抜くための兆候、そして中小企業が取るべき対策について解説します。

事例の概要：法務部門なりすましによる訴訟費用詐欺

この事例では、経理担当者や経営層宛てに、まるで法務部門の担当者や役員、あるいは顧問弁護士から送られてきたかのようなメールが届きます。メールの内容は、「係争案件が発生し、緊急で裁判関連費用（例えば、示談金、訴訟費用の一部、専門家への着手金など）の支払いが必要になった」というものです。

攻撃者は、この支払いが「緊急を要する」「部外秘である」と強調し、通常とは異なる手続きでの即時送金を指示してきます。ターゲットとなるのは、法務関連の知識が少なく、また通常の支払いフローとは異なる緊急対応に不慣れな担当者であるケースが多く見られます。

騙しの手口：巧妙ななりすましと緊急性の悪用

攻撃者は、被害者を騙すために以下のような手口を組み合わせます。

• 送信元なりすまし:
  • メールアドレスの偽装: 法務部門の担当者や役員のメールアドレスと酷似したアドレスを使用します。例えば、ドメイン名のスペルを微妙に変えたり（例: company.co.jp を compnay.co.jp）、サブドメインを悪用したり、あるいはメールソフト上の「表示名」だけを正規のものに偽装し、実際の送信元アドレスは異なるものにするなど、様々な手法が使われます。
  • 氏名や役職の詐称: メール本文や署名で、法務部門の信頼できる担当者や役員の氏名、役職を名乗ります。
• メール内容の作り込み:
  • 専門用語の混入: 法務関連の専門用語を部分的に使い、メール内容に信憑性を持たせようとします。
  • 秘密保持の強調: 「この件は秘密厳守」「関係者以外には口外しないように」といった文言を使い、被害者が他の従業員や上司に相談したり、正規の法務部門に確認したりするのをためらわせます。
  • 緊急性の強調: 「明日までに」「本日中に」「期限が迫っている」といった言葉を多用し、被害者を焦らせて冷静な判断力を奪います。
• 不審な送金指示:
  • 普段と違う送金先: 通常の取引では使用しない、海外の銀行口座や個人名義の口座への送金を指示してきます。
  • 通常と異なる手続き: 会社の正規の支払い承認フローや経理システムを通さず、直接銀行窓口やオンラインバンキングでの即時送金を求めます。
  • 添付ファイルの偽装: 偽の請求書や、それらしい体裁の「裁判所からの通知」「和解合意書」といった偽造書類を添付することがあります。

これらの手口により、攻撃者は被害者が「これは本当に会社にとって重要な、緊急の支払いなのだ」と信じ込み、疑いなく送金手続きを行ってしまうよう誘導します。

攻撃の兆候：いつもと違う点を見抜く

このようなBEC攻撃メールには、注意深く観察すれば気づくことができる不審な兆候が隠されています。以下の点に注意してください。

• 送信元メールアドレスの不一致: メールソフトの表示名が正しくても、実際の送信元メールアドレスが正規のものと微妙に異なっています。例えば、アルファベット一文字が違う、ドメインの末尾が違う（.com が .co.jp になっているなど）、見慣れないサブドメインが付いている、といった違いが見られます。
• 不自然な日本語や表現: メール本文に、普段社内で使われる言葉遣いと違う点や、日本語としてどこか不自然な箇所が見られることがあります。また、専門用語の使い方が間違っている場合もあります。
• 過度な秘密保持や緊急性の強調: 必要以上に「秘密」「至急」「緊急」といった言葉が多用され、冷静な対応を阻むような指示が含まれています。
• 普段と異なる連絡手段の要求: メールでのやり取りのみを強要し、電話での確認や対面での説明を避けようとする場合があります。
• 不審な送金先情報:
  • 指定された振込先口座が、普段取引のない銀行（特に海外の銀行）である。
  • 口座名義が会社名ではなく、個人名義や見慣れない会社名義になっている。
• 通常と異なる支払い手続きの指示:
  • 定められた支払い承認フローを省略して、すぐに振り込むよう指示されている。
  • 請求書の内容や金額に不明瞭な点が多いにも関わらず、詳細確認を急がせないように仕向けられる。
  • 経理システムへの登録をせず、直接銀行への振り込みを指示される。
• 添付ファイルの怪しさ: 添付ファイル名が不自然、見慣れないファイル形式、あるいは添付ファイル自体にパスワードがかかっているがパスワードが別に知らされていない、といった点も兆候です。

これらの「いつもと違う点」「怪しい点」に気づくことが、被害を防ぐための最初の重要なステップです。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員は、BEC攻撃の予防や早期発見のために以下の点を意識し、対策を講じることが重要です。コストをかけずにできる基本的な対策に焦点を当てます。

1. 「いつもと違う」に気づく習慣をつける:
   • 届いたメールの送信元アドレスを、表示名だけでなく必ず実際のメールアドレスまで確認する習慣をつけましょう。スマホの場合、表示を切り替える操作が必要な場合があります。
   • メールの内容に不自然な日本語や表現がないか、普段のやり取りと比べて違和感がないか注意深く読むようにしましょう。
2. 「緊急」「秘密」の指示でも必ず確認するルールを作る:
   • 特に送金指示や秘密保持を伴う重要な指示については、メールで返信するのではなく、普段使っている電話番号や社内チャットなど、別の安全な手段で、指示の本人に直接「メールの送金指示、間違いないですか？」と確認するようにしましょう。
   • 攻撃者は確認されることを最も嫌がります。この一手間が、被害を防ぐ鍵となります。
3. 支払い承認フローを徹底する:
   • 会社で定めている支払い承認のルール（担当者、金額に応じた承認者、経理システムへの登録など）は、緊急の場合であっても原則として省略しないようにしましょう。
   • 特別な手続きが必要な場合でも、必ず関係者間での複数確認を義務付けるルールを設けるとより安全です。
4. 従業員への定期的な注意喚起と教育:
   • BEC攻撃の手口や、この事例のようななりすましがあることを従業員全体に周知しましょう。
   • 特に経理担当者や、社長・役員のメール対応を行う担当者には、重点的に注意喚起を行い、不審なメールが届いた場合の相談・報告先を明確にしておきましょう。
   • 「不審に思ったらすぐに上司に相談する」「勝手に判断しない」といった行動指針を徹底させることが重要です。
   • 大掛かりな研修でなくても、朝礼での簡単な呼びかけ、社内掲示での情報提供、簡単なマニュアルの配布など、コストをかけずにできる啓発活動から始めましょう。

これらの対策は、特別なITシステムを導入するものではなく、従業員一人ひとりの意識と、組織内のコミュニケーションルールを改善することで実現可能です。

まとめ

「法務部門からの緊急指示」を装うBEC攻撃は、企業の隙を突く巧妙な手口です。本事例のように、法務関連という専門性の高い内容や、「緊急」「秘密」といった心理的な圧力を利用して、冷静な判断を奪おうとします。

被害を防ぐためには、届いたメールの「いつもと違う点」に気づく注意深さ、特に送信元アドレスの正確な確認、そしてメール以外の手段での本人確認が極めて有効です。従業員への継続的な注意喚起と、不審なメールに対しては必ず社内で相談・報告する体制を整えることが、中小企業がBEC攻撃から自社を守るための重要な一歩となります。

今回の事例が、皆様の会社のセキュリティ対策強化の一助となれば幸いです。