BEC攻撃事例ファイル

【事例】内定者向け連絡を装うBEC攻撃：偽の案内と見抜く不審な兆候

はじめに

「BEC攻撃事例ファイル」をご覧いただきありがとうございます。本日は、採用活動、特に内定者への連絡を装ったBEC攻撃の事例を取り上げ、その手口や見抜くべき兆候、そして私たち中小企業がどのように対策できるのかについて解説いたします。

新しい人材を迎える時期は、社内外のやり取りが増え、普段と異なる手続きが発生しやすいものです。攻撃者はこうした隙を狙ってきます。特に、内定者への連絡は機密性の高い情報を含む場合もあり、これを悪用されると大きな被害につながる可能性があります。この事例から、貴社の採用活動や日々の業務におけるセキュリティ意識を高めるヒントを得ていただければ幸いです。

事例の概要と攻撃の手口

この事例では、攻撃者は企業の採用担当者や経営者に対し、内定者からの連絡や、内定者に向けた重要な案内を装ったメールを送信してきました。攻撃の目的は、偽の手続き費用や研修費用、あるいは内定者向け機材購入費といった名目で、企業から金銭を騙し取ることです。

具体的な手口としては、以下のようなものが確認されています。

• 内定者本人や人事担当者になりすまし: 内定者の氏名や所属大学、あるいは過去にやり取りした人事担当者の名前を騙り、信頼させようとします。メールアドレスは、内定者の個人メールアドレスに似せたものや、人事担当者のアドレスのドメインを微細に変えたもの（例: @co-jp.com を @cojp.com にするなど）が使われることがあります。
• 偽の案内や指示: 「入社前研修の費用を振り込んでほしい」「入社に必要なPC購入のため、指定業者に前払金が必要」「秘密保持契約書にサイン・返送してほしい」など、内定者が対応しそうな手続きを装います。
• 緊急性を強調: 「〇日までに手続きをしないと入社に影響する」「すぐに送金してほしい」などと、被害者が冷静に確認する時間を与えないよう、緊急性を強くアピールします。
• 巧妙なメール内容: 内定者との過去のやり取りを把握しているかのように見せかけたり、企業内で実際に使われている用語や役職名を盛り込んだりするなど、本物らしく見せる工夫が凝らされています。
• 添付ファイルやリンクの悪用: 偽の契約書や請求書を添付したり、偽の手続きサイトへのリンクを貼ったりします。これらのファイルやサイトには、マルウェアが仕込まれていたり、機密情報を抜き取ろうとする罠が隠されていたりする場合があります。
• 振込先の指定: 最終的に、指定された口座への送金を指示します。この口座は攻撃者が用意したものであるため、一度振り込んでしまうと取り戻すことは非常に困難です。

攻撃の兆候：見抜くべき「いつもと違う点」

この事例から学ぶべき最も重要な点は、攻撃メールや不審なやり取りの中に潜む「いつもと違う点」や「怪しい点」を見抜くことです。中小企業においては、従業員一人ひとりがこれらの兆候に気づくことが、被害を防ぐ最初の、そして最も重要な防衛線となります。具体的に注意すべき兆候は以下の通りです。

• 送信元のメールアドレス: 最も分かりやすい兆候の一つです。内定者の個人メールアドレスからの連絡のはずなのにフリーメールだったり、企業の公式ドメイン（@yourcompany.comなど）と一文字だけ違う（例: @yourconpany.com）など、微細な違いがないか注意深く確認してください。
• 件名や本文の不自然さ: 日本語の敬語がおかしかったり、不自然な言い回しや誤字脱字が多い場合は注意が必要です。また、普段のやり取りとは異なる妙に丁寧すぎる、あるいは逆にぶっきらぼうな口調なども違和感の手がかりになります。内定者や関係部署からのメールにしては、内容が唐突だったり、情報が不足していたりしないか確認してください。
• 要求内容の違和感: 内定者から直接、金銭の振込やPCの購入を依頼されることは、一般的な企業の採用プロセスでは稀です。もしそうした要求があれば、まず疑うべきです。また、普段とは異なる支払方法や手続き（通常は経理部が処理するはずが、直接個人宛てに指示が来るなど）を求められていないか確認してください。
• 強い緊急性の強調: 必要以上に「緊急」「至急」「すぐに対応が必要」といった言葉が多用されている場合は、相手を焦らせて冷静な判断力を奪おうとする攻撃の兆候かもしれません。
• 添付ファイルやリンクの怪しさ: 身に覚えのない添付ファイルや、クリックを促すリンクには警戒が必要です。ファイル名や拡張子が普段と違う形式だったり、リンク先のURLが企業の公式ドメインではない、あるいは不審な文字列が含まれている場合は、絶対に開いたりクリックしたりしないでください。
• 連絡手段の変更: 「このメールアドレスに返信してください」「電話ではなく、このメールでやり取りしたい」など、これまでの連絡方法から一方的な変更を求めてくる場合も要注意です。

これらの兆候は単独で見られる場合も、複数組み合わされている場合もあります。「何かおかしいな」という直感を大切にしてください。

事例から学ぶ教訓と対策のヒント

この事例から、読者ペルソナである中小企業経営者やその従業員が、今すぐできる対策や意識すべき行動指針を学ぶことができます。コストをかけずに始められることも多くあります。

• 常に「二段階確認」を習慣にする: 特に金銭の振込指示や重要な情報のやり取りが含まれるメールについては、メールの送信元が本当に正規の相手かどうか、メールの内容が本当に正しい指示であるかどうかを、メール以外の手段で確認する習慣をつけてください。例えば、過去に登録した正規の電話番号にかけ直す、別のチャットツールで確認する、直接本人や関係部署に会いに行くなどです。手間がかかるように思えるかもしれませんが、この一手間が大きな被害を防ぎます。
• 社内ルールを明確にし、周知徹底する: 重要な支払いに関する承認フローや手続き方法、あるいは社内外との公式な連絡手段（どのメールアドレスを使うか、社内システムを利用するかなど）を文書化し、従業員全員がいつでも確認できるようにしておくことが重要です。ルールがあることで、「この指示はいつもと違う」という違和感に気づきやすくなります。
• 採用プロセスの情報共有: 採用担当者だけでなく、経理担当者や経営者など、採用プロセスに関わる可能性のある部署や人に、内定者の情報や今後の手続きスケジュールについて共有しておきましょう。情報が共有されていれば、不審なメールが来た際に「そのような予定はない」「その手続きはまだ先だ」といった違和感に気づきやすくなります。
• 定期的な注意喚起と従業員教育: 特別な研修を実施するのが難しい場合でも、社内での朝礼や会議の際に、BEC攻撃の手口や最近の事例について情報共有し、注意喚起を行うだけでも効果があります。「怪しいメールを見たら誰に相談するか」といった相談体制についても決めておくと良いでしょう。
• 基本的なメールセキュリティ意識の向上: 安易に添付ファイルを開かない、リンクをクリックしない、といった基本的なインターネット利用の注意点を改めて従業員に周知徹底してください。特に、個人情報や機密情報を入力させるようなサイトへの誘導には十分注意が必要です。

これらの対策は、特別なシステム導入などに多額のコストをかけることなく、従業員一人ひとりの意識と行動を変えることで実施可能です。しかし、その効果は非常に大きいと言えます。

まとめ

今回は、内定者向け連絡を装ったBEC攻撃の事例をご紹介しました。攻撃者は巧妙な手口で私たちの油断を誘いますが、メールアドレスの微細な違い、不自然な日本語、普段と異なる手続きの要求など、見抜くための「兆候」は必ず存在します。

「いつもと違う」「何かおかしい」と感じたときは、すぐに判断せず、必ず別の手段で確認する習慣をつけましょう。そして、社内で情報共有を行い、従業員全員がセキュリティ意識を持って日々の業務に取り組むことが、BEC攻撃から会社を守るための最も確実な方法です。

貴社のセキュリティ対策の一助となれば幸いです。