BEC攻撃事例ファイル

【事例】業務委託先なりすましBEC攻撃：偽の請求書と見抜くべき兆候

BEC攻撃は日々巧妙化しており、様々な手口で企業から金銭を騙し取ろうとします。特に、普段からやり取りのある取引先や業務委託先を装う手口は、担当者が疑うことなく指示に従ってしまう危険性があります。

この記事では、「業務委託先なりすまし」によるBEC攻撃の実際の事例を取り上げ、その騙しの手口や、攻撃メールや不審なやり取りの中に潜む「見抜くべき兆候」を詳しく解説します。この事例から、皆さんの会社でBEC攻撃を防ぐために、コストをかけずにできる対策や従業員への注意喚起のヒントを学んでいただければ幸いです。

事例の概要：業務委託先からの偽装請求

ある中小企業（仮にA社とします）では、ウェブサイトの保守・運用を外部の業務委託先（仮にB社とします）に依頼していました。毎月、B社からメールで送られてくる請求書に基づき、経理担当者が支払い処理を行っていました。

ある日、A社の経理担当者は、いつも利用しているB社のアドレスから送られてきた「〇月分の保守費用ご請求」という件名のメールを開きました。メールにはPDF形式の請求書ファイルが添付されており、本文には「誠に恐縮ですが、振込先口座が変更となりましたので、添付の請求書にてご確認の上、お手続きをお願いいたします。」と記載されていました。

請求金額は普段と大きく変わりませんでしたが、振込先口座が普段とは異なる銀行、そして法人名義ではなく個人名義になっていることに経理担当者は一瞬戸惑いました。しかし、メールアドレスはB社のものでしたし、件名も自然だったため、「何か手続き上の変更があったのだろうか」と考え、特に深く確認することなく、添付された請求書に記載された個人名義の口座に送金処理を行ってしまいました。

後日、B社から「〇月分の保守費用のお振込みが確認できません」と連絡があり、A社は初めて自分がBEC攻撃の被害に遭ったことに気づいたのです。

騙しの手口：巧妙ななりすましと「振込先変更」指示

この事例で用いられた騙しの手口は、BEC攻撃でよく見られる典型的なものです。

1. メールアドレスの巧妙な偽装: 攻撃者は、A社が普段利用しているB社のメールアドレスによく似たアドレスを作成しました。例えば、「@b-company.co.jp」という正規のアドレスに対し、「@b_company.co.jp」（ハイフンがアンダーバーになっている）や、「@b-campany.co.jp」（スペルミス）といった、注意深く見なければ気づかないようなアドレスを使用します。メールソフトによっては、表示名（例：「株式会社B社 経理部」）だけを正規のものと同じにし、実際のアドレスは少し違うものに設定することで、視覚的な確認をすり抜けようとします。
2. 普段のやり取りの模倣: メール本文は、B社が普段送ってくる請求メールの文体や形式を模倣しています。これにより、受信者である経理担当者に「いつものメールだ」と思わせ、警戒心を低下させます。
3. 偽の請求書の添付: 添付された請求書は、デザインや項目など、見た目は本物の請求書とそっくりに作られています。しかし、最も重要な「振込先口座情報」だけが、攻撃者が用意した口座になっています。
4. 「振込先変更」の指示: 支払い方法が変更された、口座が変更されたといった理由をつけ、普段と異なる口座への送金を指示します。特に業務委託契約においては、担当者の変更や事業所の移転などを理由にこうした変更が行われる可能性もゼロではないため、疑念を抱きにくい状況を作り出します。
5. 緊急性のほのめかし: 直接的な「緊急」指示ではなくても、「支払い期日が迫っている」「お早めにお手続きください」といった表現で、受信者に焦りを感じさせ、確認を怠るように仕向けます。

攻撃の兆候：ここが怪しい！見抜くべきポイント

この事例において、攻撃を早期に見抜くための「いつもと違う点」や「怪しい点」はいくつかありました。

1. メールアドレスの微細な違い: 最も重要な兆候の一つです。表示名だけでなく、必ずメールアドレスのドメイン部分をしっかりと確認する習慣をつけましょう。ほんの少しのスペルミスや、見慣れないドメイン（例：「.co.jp」ではなく「.jp」になっている、「-co-jp」のようになっているなど）がないか注意が必要です。
2. 普段と異なる振込先情報:
   • 名義: 普段は法人名義なのに個人名義になっているのは、非常に怪しい兆候です。
   • 銀行: 見慣れない銀行だったり、普段利用している銀行と違う支店だったりする場合も注意が必要です。
   • 国: 海外の銀行口座を指定している場合は、さらに強い警戒が必要です（今回の事例では国内の個人口座でした）。
3. 請求書のフォーマットや記載内容の不自然さ: 本物そっくりでも、フォントが普段と違う、ロゴの解像度が低い、記載されている連絡先電話番号が普段のものと違うなど、細部に不自然な点がないか確認しましょう。
4. メールの文体・日本語の違和感: 普段やり取りしている担当者とは違う言い回し、不自然な日本語、丁寧さに欠ける表現などがないか、よく読んでみましょう。担当者が変更になったという説明がないのに、突然文体が変わるのも不審です。
5. 普段のコミュニケーションとの乖離: いつもは請求書が来る前に電話で連絡があるのに今回はメールだけ、普段は特定の担当者とだけやり取りしているのに別の担当者名義で来ている、といった「いつもと違う」点に気づくことが重要です。
6. 請求のタイミングや内容の不一致: 契約内容や実際の作業進捗から考えて、請求のタイミングが早すぎる、金額が普段と大きく異なる（今回の事例では金額は同じでしたが）、内訳が不明瞭といった点も疑うべきです。

事例から学ぶ教訓と対策のヒント

この事例から、読者ペルソナである中小企業経営者やその従業員が学ぶべき教訓と、コストをかけずにできる対策のヒントを以下に示します。

• 「いつもと違う」に気づく意識を持つ: 些細な違和感を見過ごさないことが何よりも重要です。人間の「いつものことだから大丈夫だろう」という心理を攻撃者は巧妙に突いてきます。普段と少しでも違うと感じたら、「なぜだろう？」と立ち止まる習慣をつけましょう。
• 最も重要な対策：多要素確認の徹底: メールやチャットで送られてきた送金指示や振込先変更の連絡は、必ず別の手段で、普段から知っている担当者に直接確認を取りましょう。電話、普段使っている別のチャットツール、信頼できる電話番号（請求書やメールに記載された番号ではなく、過去の正規の連絡先や会社の代表番号など）を使って確認することで、偽装を見破ることができます。特に振込先変更の連絡や高額な支払い指示があった場合は、確認を必須とするルールを徹底してください。
• メールアドレスを丁寧に確認する習慣をつける: メールの差出人名だけでなく、そのメールアドレスが普段取引している正規のアドレスと完全に一致するか、意識的に確認する習慣をつけましょう。
• 請求書や支払いに関するルールを明確にする: 誰が支払い指示を出し、誰が支払い処理を行うのか、どのような場合に確認が必要なのかといった社内ルールを明確にし、担当者間で共有します。特に振込先変更には特別な確認フローを設けるべきです。
• 従業員への継続的な啓発と訓練: BEC攻撃の手口や具体的な事例を従業員に共有し、注意を促すことが不可欠です。定期的に情報共有会を開いたり、怪しいメールの例を見せたりすることで、従業員のセキュリティ意識を高めることができます。「怪しいと思ったら一人で判断せず、必ず誰かに相談する」という文化を醸成しましょう。
• 怪しい連絡の報告先を明確にする: 「このメール、ちょっと怪しいかも」と感じた場合に、誰に相談すれば良いのか、誰に報告すれば良いのかを社内で明確にしておきましょう。

まとめ

業務委託先なりすましによるBEC攻撃は、多くの企業にとって現実的な脅威です。攻撃者はメールアドレスを巧妙に偽装し、普段のやり取りを模倣したメールで偽の請求書を送りつけ、振込先変更という形で金銭を騙し取ろうとします。

このような攻撃を防ぐためには、高度なセキュリティシステムよりも、従業員一人ひとりの「いつもと違う」に気づく意識と、「送金指示は必ず別の手段で確認する」という基本的な行動ルールが非常に重要です。特にコストをかけずにできる対策として、多要素確認の徹底と従業員への継続的な注意喚起は、BEC攻撃対策の要となります。

この記事で紹介した事例と見抜くべき兆候を参考に、ぜひ皆さんの会社でもBEC攻撃から大切な資産を守るための対策を見直してみてください。