【事例】新しいSaaSトライアル費用を騙るBEC攻撃:偽請求の手口と見抜く不審な兆候
【事例】新しいSaaSトライアル費用を騙るBEC攻撃:偽請求の手口と見抜く不審な兆候
BEC攻撃、すなわちビジネスメール詐欺は、企業のメールを悪用して従業員を騙し、不正な送金などを実行させるサイバー犯罪です。手口は日々巧妙化しており、特に中小企業では、IT専門の担当者がいない場合も多く、被害のリスクが高まっています。
この「BEC攻撃事例ファイル」では、実際に発生した、あるいは発生しうる具体的なBEC攻撃事例を分析し、その騙しの手口や攻撃の兆候、そして私たち中小企業がすぐに取り組める対策のヒントをご紹介しています。今回は、「新しいSaaS(クラウドサービス)のトライアル導入」という、多くの企業で日常的に起こりうる状況を悪用したBEC攻撃事例を取り上げます。
事例の概要:新しいSaaSトライアル費用を騙る攻撃
ある中小企業では、業務効率化のため、新しいSaaSサービスのトライアル導入を進めていました。担当部署のAさんは、提供元企業とメールでやり取りしながら、数週間のトライアル期間を経て、サービス導入を検討していました。
攻撃は、このトライアル期間中に発生しました。Aさんの元に、まるでサービス提供元からの正規のメールのように見えるメールが届いたのです。そのメールは、トライアル期間中の確認や、簡単なフィードバックを求める内容に見せかけつつ、突如として「トライアル期間終了後の設定費用」や「特別な機能の有効化に伴う費用」といった名目で、請求書が添付されていました。
Aさんは、トライアル期間中に追加費用が発生するとは聞いていなかったため、不審に思いつつも、「本導入に向けての最終調整費用だろうか」と考え、メールに添付されていた請求書を開封してしまいました。請求書には、指定された銀行口座への送金指示が記載されており、メールでは「期日が迫っているため、速やかに処理をお願いします」と緊急性が強調されていました。
幸いこの事例では、Aさんが念のため上司に確認したことで、詐欺であることが発覚し、被害は免れました。しかし、もし確認を怠り、請求書に記載された口座へ送金してしまっていたら、企業の金銭的損失につながるところでした。
騙しの手口:正規の状況に便乗する巧妙さ
この事例に見られる攻撃者の手口は、以下の点が特徴的です。
- 正規の業務プロセスへの便乗: 企業が新しいサービス導入を検討しているという、日常的かつ具体的な状況を把握し、その流れに便乗しています。これにより、受信者はメールの内容を比較的受け入れやすくなります。
- なりすましの巧妙さ:
- メールアドレスの偽装: サービス提供元の公式メールアドレスに似た、微妙に異なるメールアドレス(例: 公式が
@service.comなら@servicce.comや@service-co.comなど)を使用します。表示名だけをサービス提供元名にする手口も考えられます。 - メール内容の偽装: トライアルの進捗確認やフィードバックなど、正規のやり取りで使われそうな内容を含めることで、メール全体の信憑性を高めます。
- メールアドレスの偽装: サービス提供元の公式メールアドレスに似た、微妙に異なるメールアドレス(例: 公式が
- 予期せぬ請求と緊急性の強調: トライアル期間中には通常発生しない費用や、曖昧な名目の費用(設定費用、有効化費用など)を請求します。「速やかに」「期日が迫っている」といった言葉で緊急性を強調し、受信者に考える時間を与えないように仕向けます。
- 偽の請求書添付: 正規の請求書を模倣した偽の請求書を添付します。請求書には攻撃者が指定する不正な振込先口座が記載されています。PDFファイルだけでなく、WordやExcelファイル形式の偽請求書の場合もあります。
攻撃者は、企業の新しい取り組みに関する情報(トライアル中のサービス名、担当者名など)を、企業のWebサイト、SNS、あるいは別の経路で入手した情報などを基にしている可能性があります。
攻撃の兆候:いつもと違う「怪しい点」を見抜く
この事例において、攻撃メールや不審なやり取りの中にあった「いつもと違う点」や「怪しい点」は、攻撃を見抜くための重要な手がかりとなります。中小企業経営者や従業員の方は、特に以下の点に注意が必要です。
- メールアドレスの微細な違い: 差出人名だけではなく、必ずメールアドレスの文字列全体を確認する習慣をつけましょう。正規のアドレスと一文字でも違っていないか、見慣れないドメインになっていないかを確認します。
- 不自然な日本語や表現: メール全体の日本語に、不自然な言い回しや誤字脱字が多くないか確認します。海外からの攻撃である場合、翻訳ツールを使ったような不自然な表現が見られることがあります。
- 普段と異なる請求や送金指示:
- 予期せぬ請求: トライアル期間中や特定のタイミングで請求が発生する予定だったか、事前に確認します。今回の事例のように、事前の情報にない請求は特に疑うべきです。
- 普段と異なる振込先: 過去に取引のある企業からの請求であれば、請求書に記載された振込先が過去の取引と一致するか確認します。新しい取引の場合でも、国内のサービス提供元なのに海外の銀行口座が指定されているなど、不自然な点がないか確認します。
- 普段と異なる送金手続き: 社内で定められた請求書承認フローや支払い手続きと異なる指示(例: メールでの指示だけで支払い承認を得ずに送金する)は危険な兆候です。
- 緊急性を過度に煽る表現: 「本日中に」「至急対応してください」など、異常な速さを求める指示には注意が必要です。これは冷静な判断を奪うための手口です。
- 添付ファイルの不審な点: 添付ファイルを開く前に、ファイル名や拡張子(例: .pdf, .doc, .xls)を確認します。見慣れない拡張子のファイルや、ファイル名が不自然な場合は、開封を控えるべきです。可能であれば、添付ファイルは開かずに、本文中のURLリンクなども安易にクリックしない方が安全です。
事例から学ぶ教訓と対策のヒント:コストをかけずにできること
この事例から、読者ペルソナである中小企業経営者やその従業員の方が、BEC攻撃の予防や早期発見のために学ぶべき教訓と、コストをかけずにできる対策のヒントを以下に示します。
- 「確認する」を徹底する文化を醸成する:
- 最も効果的な対策の一つは、「メールや書類の指示を鵜呑みにせず、必ず別の方法で事実確認を行う」という習慣を組織全体で徹底することです。特に、金銭の支払いに関わる指示や、普段と違う手続きを求める指示の場合は、必ず電話など別の手段で指示元に確認を取りましょう。メールへの返信で確認しても、なりすまし相手からの返信が来るだけで意味がありません。
- 従業員には、「怪しい」「いつもと違う」と感じたら、遠慮なく上司や責任者に報告・相談することを推奨しましょう。「こんなことで聞いていいのだろうか」と従業員が躊躇しないような雰囲気づくりが重要です。
- メールの基本チェックを徹底する:
- 送金指示メールや請求書添付メールを受け取ったら、メールアドレス全体を必ず確認することを習慣にしましょう。ディスプレイに表示される「差出人名」は簡単に偽装できるため、その奥にあるメールアドレス本体を見ることが重要です。
- 本文の内容に不自然な点はないか、会社の過去のやり取りと比べて違和感がないか確認します。
- 支払い承認フローを明確にする:
- 誰が、どのような基準で支払いを承認するのか、その手続きはどうするのかを明確に定めます。メールだけの指示で高額な支払いが実行されないような多段階の承認プロセスを設けることが理想ですが、まずは「責任者の口頭または別の手段での承認が必要」というルールを徹底するだけでも効果があります。
- 新規取引や新しいサービスに関する支払いについては、事前に「いつ頃、どのような請求が発生しうるか」という情報を担当部署や経理担当者間で共有しておきましょう。
- 従業員への定期的な注意喚起:
- 専門的な研修を行う必要はありません。会議の冒頭などで、「最近、こういう手口の詐欺が増えているそうです。怪しいメールには注意してください」「特に、身に覚えのない請求書や、急ぎの送金指示には注意し、必ず報告・相談してください」といった簡単な情報共有を行うだけでも効果があります。具体的な事例(今回のSaaSトライアルの例など)を出すと、従業員は自分事として捉えやすくなります。
これらの対策は、特別なITシステムや大きなコストを必要としません。組織内で意識を変え、基本的な確認作業を習慣化することから始めることができます。
まとめ
今回のSaaSトライアル費用を騙るBEC攻撃事例は、企業が新しい取り組みを進めている状況を悪用する巧妙な手口を示しています。攻撃者は、正規の業務プロセスに便乗し、なりすましや緊急性の強調によって受信者を欺こうとします。
このような攻撃から会社を守るためには、メールアドレスの確認、不自然な点がないかのチェック、そして何よりも「怪しいと感じたら必ず別の方法で確認する」という基本的な行動を徹底することが非常に重要です。特に中小企業においては、コストをかけずに従業員一人ひとりの意識を高め、組織全体で確認文化を醸成することが、BEC攻撃対策の第一歩となります。
今後も様々なBEC攻撃事例をご紹介し、皆様のセキュリティ対策の一助となる情報を提供してまいります。