BEC攻撃事例ファイル

【事例】海外出張を悪用したBEC攻撃：普段と違う経費精算指示の手口と見抜く兆候

海外出張を悪用したBEC攻撃：普段と違う経費精算指示の手口と見抜く兆候

BEC攻撃は、日常業務の様々な隙間を狙って仕掛けられます。特に、普段あまり発生しないイレギュラーな業務や、特別な状況を悪用する手口は、被害者が「いつものことではないから」と深く確認せずに対応してしまうリスクを高めます。今回は、従業員の海外出張という状況を悪用し、経費精算を騙って金銭を詐取しようとしたBEC攻撃の事例をご紹介し、その手口と見抜くべき兆候、そして対策のヒントをお伝えします。

事例の概要：海外出張帰りの従業員を騙るメール

この事例は、ある中小企業の経理担当者に届いた一通のメールから始まりました。メールは、ちょうど海外出張から戻ったばかりの従業員Aさんから送られたように見えました。内容は「海外での立て替え経費の精算を急いでほしい」というものでした。

経理担当者は、Aさんが海外出張に行っていたことを知っていたため、特に疑うことなくメールを開封しました。メールには、具体的な経費内容についての記述は少なく、「添付ファイルを確認してください」と書かれており、添付ファイルを開くか、あるいは後続のやり取りで振込先が指示される流れでした。

騙しの手口：イレギュラーな状況と緊急性を悪用

攻撃者は、この攻撃で以下のようないくつかの手口を組み合わせて経理担当者を欺こうとしました。

1. タイミングと状況の悪用: 従業員Aさんが実際に海外出張に行っていたという事実を知っており、その「出張帰り」というタイミングを狙っています。海外出張関連の精算は国内出張に比べて手続きが特殊であったり、緊急性を伴う場合があることを踏まえた巧妙なタイミングです。
2. なりすまし: メールは従業員Aさん本人からのように見せかけられていました。具体的には、送信者の「表示名」をAさんの名前に設定し、あたかも本人からのメールであるかのように偽装しています。経理担当者は表示名を見て安心してしまった可能性が高いです。
3. 緊急性の演出: 件名や本文に「【緊急】」「至急」「急いでほしい」といった言葉を含めることで、担当者に冷静な判断をする時間を与えず、迅速な対応を促しています。
4. 通常のフローからの逸脱誘導: 通常の経費精算であれば、所定の申請書を作成し、領収書を添付して提出し、上長の承認を得てから経理部門で処理されるという流れがあります。しかし、攻撃者はこのメールで、通常のフローを無視してメールでのやり取りだけで完結させようとしました。「海外での特別な事情で」「時間がなくて」といった理由をつけて、正規の手続きを踏めない状況にあるかのように説明する場合があります。
5. 不審な振込先の指定: 最終的に、精算先として指定されるのは、従業員Aさんの個人口座ではなく、海外の銀行口座や、個人名義ではない見慣れない法人名義の口座、あるいは普段の取引とは無関係な国内の口座など、不審な振込先であることがほとんどです。この事例でも、海外の銀行口座への送金が指示されました。
6. 電話での確認回避: メール本文中に「今移動中で電話に出られません」「会議が立て込んでいるためメールでやり取りさせてください」といった記述を含め、経理担当者が電話で直接本人に確認を取ることを避けさせようとします。

攻撃の兆候：見抜くべき「いつもと違う点」

この事例において、経理担当者が攻撃を見抜くための具体的な兆候はいくつかありました。これらの兆候に気づくことが、被害を防ぐために非常に重要です。

• 送信元メールアドレスの違和感: 表示名は従業員Aさんでも、送信元のメールアドレスが会社の正式なドメイン（例: @yourcompany.com）ではなく、フリーメールアドレスや、会社のドメインと似ているが微妙に異なるドメイン（例: @yourcampany.co や @gmai.com など）になっていました。これが最も分かりやすい兆候の一つです。
• メールの日本語の不自然さ: メール本文の言い回しや漢字の使い方、句読点の打ち方などが、普段Aさんが使っている日本語と比べて不自然でした。これは攻撃者が日本語を母国語としない場合や、機械翻訳を利用している場合に多く見られます。
• 通常の経費精算フローとの違い: メールで直接送金指示があったり、申請書や領収書の提出を求められなかったりなど、会社の定める正規の経費精算手続きと異なる指示内容でした。
• 添付ファイルの形式: 添付ファイルがある場合、そのファイル名や拡張子（例: .exeや.zipなど）が通常、経費関連書類では使用されないものであることがあります。また、ファイルを開く前にセキュリティソフトのスキャンを行うことも有効です。
• 指定された振込先の不審さ: 従業員Aさんの個人名義口座ではなく、海外の銀行口座や、見慣れない口座名義が指定されていました。過去の精算履歴や従業員情報に登録されている口座情報と異なる点は、強い警戒信号です。
• 電話での確認を執拗に拒否する: メールで「電話は無理」と繰り返し伝えたり、指定した時間に電話をかけても繋がらなかったりする場合、怪しいと判断すべきです。

事例から学ぶべき教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃の予防や早期発見のために学ぶべき重要な教訓と、コストをかけずにできる対策のヒントがあります。

1. 「いつもと違う」に気づく意識を持つ: BEC攻撃は、巧妙になりすましますが、必ずどこかに不審な点があります。特に金銭の支払いや情報の提供を求めるメールに対しては、「普段と何か違う点はないか？」と意識的に確認する習慣を持つことが重要です。メールアドレス、日本語、指示内容、振込先など、細部まで確認する癖をつけましょう。
2. 金銭に関わる指示の「二重確認ルール」を徹底する: これが最も効果的で、コストのかからない対策です。特にメールでの送金指示や振込先変更の連絡があった場合は、必ずメール以外の手段（電話や社内チャットなど）で、正規の担当者本人に直接確認を取り直すというルールを組織全体で徹底してください。この際、メールに記載されている電話番号ではなく、事前に知っている正規の連絡先を使用することが重要です。
3. 不審なメールの報告ルールを明確にする: 従業員が「これ、ちょっと怪しいかも？」と感じた際に、誰に、どのように報告すれば良いのかを明確にしておきましょう。気軽に相談・報告できる体制があることで、早期に攻撃の兆候を発見し、被害を防ぐことができます。一人で抱え込まず、複数人でチェックすることが重要です。
4. 従業員への定期的な注意喚起: BEC攻撃の手口は常に変化しています。今回のような事例を共有したり、「最近こういう詐欺が増えているらしい」といった情報を定期的に共有したりすることで、従業員のセキュリティ意識を高めることが可能です。難しい技術的な話ではなく、「こんなメールが来たら気をつけて」という具体的な事例を伝えることが効果的です。
5. 社内プロセスの再確認: 通常の業務フロー（特に経費精算や支払承認プロセス）が明確になっているかを確認してください。イレギュラーな指示があった場合でも、安易に通常のプロセスをスキップせず、正規の手順を踏むよう指導してください。

まとめ

海外出張時の経費精算を悪用したBEC攻撃事例は、攻撃者が従業員の状況や社内プロセスに関する情報を収集し、普段と違う状況を突いてくることを示しています。このような巧妙な手口に対抗するためには、高度なセキュリティシステムだけでなく、従業員一人ひとりの「気づき」と、組織的な「確認ルール」が非常に重要です。

特に中小企業においては、高額なセキュリティ製品を導入することが難しい場合でも、今回ご紹介したような「不審な点に気づく意識」と「金銭に関わる指示の二重確認」という基本的な対策を徹底することで、BEC攻撃によるリスクを大幅に低減することが可能です。全ての従業員がBEC攻撃の手口と兆候を知り、日々の業務の中で少しでも「いつもと違う」と感じたら立ち止まり、確認を怠らないことが、会社を守る第一歩となります。