【事例】長期休暇前の緊急送金指示を騙るBEC攻撃:担当者不在を突く手口と見抜く兆候
長期休暇前に潜む危険:担当者不在を悪用するBEC攻撃とは
BEC(ビジネスメール詐欺)は、巧妙な「なりすまし」メールを用いて企業の担当者を騙し、不正な送金などを実行させるサイバー犯罪です。中でも、年末年始や夏休みといった長期休暇前は特に注意が必要です。なぜなら、担当者が休みに入る前に業務を片付けようと急いでいたり、休暇中は関係者への確認がすぐに取れなくなる状況を、攻撃者は悪用しようとするからです。
ここでは、長期休暇前を狙ったBEC攻撃の具体的な事例を通して、その手口や見抜くべき兆候、そして中小企業がコストをかけずに実践できる対策について解説します。
事例の概要:長期休暇直前の「緊急」送金指示
ある中小企業で実際に発生した事例です。経理担当者が長期休暇に入る直前、普段やり取りをしている取引先の担当者から、急ぎのメールが届きました。内容は、取引条件の変更に伴う支払先の口座変更と、休暇前にどうしても完了させたい「緊急の」支払いに関する指示でした。金額は普段の取引額と同程度でしたが、振込先がいつもと違う名義と銀行口座でした。
経理担当者は、休暇前の慌ただしさもあり、「いつもの取引先からの指示だから大丈夫だろう」「急ぎのようだし、早く処理して休みに入りたい」と考え、確認を怠ったまま指定された口座へ送金手続きを行ってしまいました。しかし、休暇明けにその取引先に確認したところ、そのようなメールも口座変更の連絡も一切行っていないことが判明し、BEC攻撃による詐欺であったことが発覚しました。
騙しの手口:担当者不在と緊急性を突く巧妙さ
この事例で攻撃者が用いた主な手口は以下の通りです。
- 担当者不在のタイミングを狙う: 長期休暇前という、担当者が不在になりやすく、かつ業務が立て込んで確認が疎かになりがちな時期を選んでいます。
- 取引先担当者へのなりすまし: 普段からメールのやり取りがある取引先の担当者に巧妙になりすますことで、受信者の警戒心を和らげました。メールアドレスを偽装したり、ドメイン名をわずかに変えたりする手法が使われます(例:「co.jp」を「ne.jp」にする、アルファベット1文字を変えるなど)。
- 「緊急」を装う心理的な圧力: 休暇前の限られた時間内で処理を迫ることで、「後で確認する時間がない」「早く対応しなければ」という焦りを生み出し、冷静な判断を妨げます。
- 振込先の変更指示: 通常の取引では発生しない、または頻繁には変更されない振込先の変更を指示することで、不正送金を実行させようとします。この時、個人名義の口座や普段利用しないような銀行口座を指定することがあります。
- 普段と違うコミュニケーション: 電話での確認を避けるように誘導したり、「出先なのでメールで連絡している」といった理由を付け加えたりすることもあります。
攻撃の兆候:いつもと違う「怪しい点」に気づく
この事例において、経理担当者が早期に攻撃を見抜くための兆候はいくつかありました。これらは、ITの専門知識がなくても誰でも気づける可能性のある「いつもと違う点」です。
- 差出人メールアドレスの微細な違い: よく見ると、取引先の正規のメールアドレスと比べて、ドメイン名やユーザー名にスペルミスがあったり、普段使わないフリーメールのアドレスだったりすることがあります。
- メールの文面: 普段の取引メールに比べて、不自然な日本語、あるいは逆に丁寧すぎる・事務的すぎる不慣れな言い回しが見られることがあります。署名情報が不完全だったり、普段のメールで使われる定型文が入っていなかったりする場合もあります。
- 過度な緊急性の強調: 「至急」「最重要」「明日まで」「休暇前に必ず」など、普段のやり取りでは見られないほど強く緊急性を求める表現が多く使われています。
- 普段と異なる送金先: これまで取引で使用したことのない銀行名や支店名、あるいは取引先の会社名とは異なる個人名義の口座への振込指示は、極めて高い確率で不審な兆候です。
- 手続きの不自然さ: 普段は口頭や電話で確認するような重要な手続き(例:振込先の変更)を、メールだけで完結させようとする指示は怪しいと言えます。
- 添付ファイルの不審さ: 請求書などが添付されている場合、ファイル名やファイルの形式が普段と違ったり、内容に不備があったりすることがあります。
これらの兆候のうち、一つでも当てはまる点があれば、「いつものことではない」と立ち止まって考えることが非常に重要です。
事例から学ぶ教訓と対策のヒント:コストをかけずにできること
この事例から、中小企業経営者や従業員が学ぶべき教訓と、コストをかけずにできる具体的な対策のヒントをご紹介します。
- 「二重確認」ルールの徹底: 特に送金や支払いに関する重要な指示については、メールだけを鵜呑みにせず、必ず別の手段(電話や会社のチャットツールなど)で、差出人本人に直接確認するルールを徹底してください。このルールは、長期休暇中など担当者が不在の場合でも、代理の担当者や責任者が必ず行うべき基本的な手順として定めることが重要です。
- メールアドレスの確認習慣: 受信したメールの差出人アドレスを、毎回意識的に確認する習慣をつけましょう。特に取引先や役員からのメールの場合、正規のアドレスと微妙に異なっていないか、目で見て確認するだけでもリスクを減らせます。
- 「いつもと違う」に気づく意識: 普段の業務で「いつもと違うな」と感じる点があれば、すぐに処理を進めず立ち止まる勇気を持つことが大切です。些細な違和感でも、BEC攻撃の兆候かもしれません。
- 社内での情報共有と注意喚起: 長期休暇前など、組織全体としてBEC攻撃のリスクが高まる時期があることを従業員に周知し、注意を呼びかけましょう。過去の事例や見抜くべき兆候を共有する簡単な勉強会も有効です。
- 会社の承認プロセスを守る: 会社の定める支払い承認プロセスやルールを改めて確認し、どんなに急ぎの指示であっても、そのプロセスを飛ばしてはいけないことを徹底してください。
- 休暇中の連絡体制の確認: 担当者が休暇中の緊急連絡先や、誰がどのような確認を引き継ぐのかを明確にしておくことも、不正な指示への対応漏れを防ぐ上で役立ちます。
これらの対策は、特別なITシステムを導入したり多額の費用をかけたりすることなく、従業員一人ひとりの意識と組織内の簡単なルール作りで実践できるものです。しかし、その効果は非常に大きく、大切な会社の資産を守るための第一歩となります。
まとめ:長期休暇中も安心できる体制づくりを
長期休暇前は、誰もが業務を急ぎがちで、心にも隙ができやすい時期です。攻撃者はそのような人間の心理や組織の状況を巧みに突いてきます。
今回ご紹介した事例のように、BEC攻撃は巧妙な手口で迫ってきますが、その多くには「いつもと違う点」という兆候が必ず存在します。この「違い」に気づき、立ち止まって確認する習慣を組織全体で共有することが、何よりも効果的な対策となります。
大切な従業員と会社を守るためにも、日頃からBEC攻撃のリスクを意識し、特に長期休暇前には改めて注意を喚起し、確認体制を徹底することをお勧めします。