【事例】新規取引開始を騙るBEC攻撃:急な小口支払いの手口と見抜く兆候
新規取引開始を装うBEC攻撃とは?急な小口支払いの事例から学ぶべきこと
BEC(ビジネスメール詐欺)は、メールを悪用して企業の担当者を欺き、不正な送金などを行わせようとするサイバー犯罪です。その手口は巧妙化しており、特に中小企業も標的となっています。本稿では、「新規取引開始」という、一見ビジネスチャンスに見える状況を悪用し、少額の支払いを急がせるBEC攻撃の事例を取り上げ、その手口と見抜くための兆候、そしてコストをかけずにできる対策のヒントをご紹介します。
この事例から学ぶことは、単に新しい取引に注意するというだけでなく、日常業務における「いつもと違う」サインを見落とさないことの重要性です。経営者や従業員の皆様が、日々の業務の中でBEC攻撃の脅威を認識し、被害を防ぐための具体的な行動につなげる一助となれば幸いです。
事例の詳細分析:攻撃の手口と具体的な兆候
この事例で発生したBEC攻撃は、以下のような流れで進行しました。
事例の概要
ある中小企業の経理担当者のもとに、以前からコンタクトはあったものの、まだ正式な取引には至っていなかった海外企業を名乗る担当者からメールが届きました。メールは新規取引開始に向けた最終調整に関する内容で、スムーズな開始のために「少量サンプルの提供に必要な初期費用」として、少額の支払いを急ぐよう指示していました。
騙しの手口
攻撃者は、新規取引開始という状況を巧妙に利用しました。
- 既存の関係性の悪用: 全く知らない相手ではなく、過去にコンタクトがあった、あるいは見込み顧客として認識していた企業になりすますことで、警戒心を抱かせにくくしました。
- 表示名詐欺とドメイン酷似: メールは、正規の企業名や担当者名で表示されていました。しかし、実際のメールアドレスは、正規のドメインと酷似しているものの、よく見るとスペルミスがある、あるいは無料メールサービスのアドレスが使われているなど、正規ではないものでした。表示名だけを見て、アドレスの詳細を確認しないことを狙っています。
- 少額支払いの指示: 通常の取引契約や大規模な発注とは異なり、「サンプル費用」「初期登録料」といった名目で、比較的小額の支払いを要求しました。これにより、高額な取引よりも確認が甘くなる可能性を狙っています。
- 緊急性の強調: 「新規取引を迅速に進めるため」「期日が迫っている」などと、支払いを急がせるメッセージが含まれていました。考える時間を与えず、すぐに手続きさせようとします。
- 普段と異なる送金指示: 振込先として指定された口座は、以前のやり取りでは使われていないものでした。多くの場合、海外の銀行口座や、個人名義の口座が指定されます。
攻撃の兆候:見抜くべき「いつもと違う点」
この事例において、攻撃を見抜くための具体的な手がかりはいくつかありました。
- メールアドレスの微細な違い: メールクライアントによっては表示名だけが表示されるため見落としがちですが、詳細を確認すると、正規の企業ドメインとは異なる、一見すると分かりにくいスペルミス(例:
company.comがcornpany.com)や、全く関係のないドメイン、あるいはGmailなどの無料メールアドレスが使われていました。 - 普段の取引プロセスとの乖離: 新規取引を開始する際、通常であれば契約書の締結や会社の与信確認、正式な発注書・請求書の手順があるはずです。しかし、このメールではそうした正規の手続きが省略され、いきなり支払いを要求してきました。普段行っている業務プロセスと違う点は、重要なサインです。
- 不自然な日本語表現: 海外からのメールでも、ビジネスメールであればある程度整った文章が多いものですが、不自然な言い回しや、本来使わない漢字など、翻訳ツールを使ったような違和感のある日本語が混じっている場合があります。
- 振込先の不審さ: これまでのやり取りで提示されたことのない振込先、特に個人名義や初めて聞く国の銀行口座などは非常に怪しい兆候です。
- 過度な緊急性の強調: 通常のビジネスコミュニケーションでは考えられないほど、不自然に支払いを急がせる表現や、強いプレッシャーをかける内容は警戒が必要です。
これらの「いつもと違う点」や「怪しい点」に気づき、立ち止まることが、被害を防ぐ第一歩となります。
事例から学ぶ教訓と対策のヒント
この事例から、私たち中小企業経営者や従業員が学び、日々の業務で実践できる教訓と対策のヒントは多くあります。特にコストをかけずにできる基本的な対策が重要です。
経営者や従業員が取るべき具体的な行動・注意点
- メールアドレスの徹底確認: メールを開く前に、表示名だけでなく、実際のメールアドレスを必ず確認する習慣をつけましょう。正規の取引先や役員からのメールであっても、アドレスが普段と異なっていないか、微妙なスペルミスがないかを確認することが極めて重要です。これは最も基本的で、かつ非常に効果的な対策の一つです。
- 急な支払いや振込先変更指示の厳格な確認ルール: 特に「急ぎの支払い」「普段と異なる振込先への送金」「少額だからと安易に処理しない」といった指示があった場合は、必ずメール以外の手段(電話で直接担当者に確認する、会社の公式サイトに記載されている電話番号にかけるなど)で、その指示が正規のものであるかを確認するルールを徹底します。電話で確認する際は、メールに記載されている電話番号ではなく、事前に知っている正規の電話番号を使用することがポイントです。
- 新規取引開始プロセスの確認: 新規取引を開始する際は、必ず正式な手続き(契約書締結、担当者の確認、会社の正規連絡先の確認など)を踏むことを基本とします。普段のプロセスと異なる流れで支払いを要求された場合は、特に慎重になります。
- 不審なメールはすぐに報告・共有: 少しでも「怪しい」「いつもと違う」と感じるメールや指示があった場合、決して自己判断せず、すぐに責任者や同僚に報告し、情報を共有する体制を作りましょう。組織内で情報を共有することで、他の従業員が同様の攻撃を受けた際に気づきやすくなります。
- 従業員への継続的な注意喚起と教育: 定期的にBEC攻撃の手口や最近の事例について従業員に情報提供し、注意喚起を行います。「自分は大丈夫」と思わず、常に警戒心を持つことの重要性を伝えましょう。大がかりな研修でなくても、朝礼での一言や、社内メールでの注意喚起でも効果があります。
- パスワードの管理徹底: BEC攻撃はメールアカウントの乗っ取りから始まることもあります。推測されにくい複雑なパスワードを設定し、二段階認証を利用するなど、メールアカウントのセキュリティを強化することも間接的ながら重要な対策です。
これらの対策は、特別なシステム導入などのコストをかけずとも、日々の意識と社内ルールの徹底によって実践可能です。最も重要なのは、「おかしい」と感じる感覚を大切にし、立ち止まって確認する習慣を組織全体で身につけることです。
まとめ
新規取引開始というビジネスチャンスを悪用するBEC攻撃は、中小企業にとって現実的な脅威です。特に「少額だから大丈夫だろう」「急ぎだから仕方ない」といった心理に付け込む手口には十分な注意が必要です。
今回ご紹介した事例から、攻撃メールに潜む「メールアドレスの微妙な違い」「普段と違うプロセス」「不自然な表現」「怪しい振込先」「過度な緊急性の強調」といった兆候を早期に見抜くことの重要性を改めて認識いただけたかと思います。
BEC攻撃から会社を守るためには、経営者だけでなく、従業員一人ひとりがセキュリティ意識を持ち、「怪しい」と感じたら立ち止まり、定められた手順で確認を行うことが何よりも重要です。コストをかけずにできる基本的な対策の徹底が、何百万円、何千万円といった被害を防ぐ盾となります。
本記事が、皆様の会社のBEC対策を見直すきっかけとなれば幸いです。