BEC攻撃事例ファイル - 【事例】採用活動を悪用するBEC攻撃：候補者なりすましの手口と見抜く兆候

【事例】採用活動を悪用するBEC攻撃：候補者なりすましの手口と見抜く兆候

Tags: BEC攻撃, 採用活動, なりすまし詐欺, 中小企業対策, 見抜く兆候

採用活動に潜むBEC攻撃のリスク：候補者なりすましの手口とは

BEC（ビジネスメール詐欺）は、巧妙な手口で企業の担当者を騙し、不正な送金を行わせようとするサイバー攻撃です。これまで、経営者や取引先、税理士など様々な人物や組織になりすます事例をご紹介してきましたが、攻撃はビジネスのあらゆる活動に潜んでいます。

今回は、一見セキュリティとは無関係に思える「採用活動」を悪用したBEC攻撃の事例を取り上げます。特に中小企業では、採用担当者が経理担当者を兼ねていたり、少人数で業務を回しているケースも多く、狙われやすいため注意が必要です。この事例から、どのような手口が使われ、どのような点に気をつければ攻撃を見抜けるのかを具体的に見ていきましょう。

事例の概要と候補者なりすましの手口

この事例は、企業が新しい人材の採用活動を行っている最中に発生しました。選考が進み、内定を出した候補者とのやり取りが行われている状況を攻撃者が狙ったものです。

攻撃者は、対象企業の採用候補者になりすまします。通常、攻撃者は何らかの方法で採用候補者の氏名や、企業との間でやり取りされているメールアドレスといった情報を事前に不正に入手していると考えられます。

具体的な騙しの手口としては、採用候補者になりすました攻撃者が、企業の人事担当者や経理担当者に対し、メールで連絡を取ります。そして、「入社に向けて必要なPCなどの機材を購入する必要があるが、一時的に費用を立て替えたので、指定の口座に送金してほしい」といった内容で、送金指示を出してくるのです。

攻撃メールは、候補者の氏名やこれまでのやり取りを匂わせる文面で書かれており、一見すると候補者本人からの正当な依頼のように見せかけています。「入社日までに必要なので急いでいる」「会社の経費精算は時間がかかるため、直接送金してほしい」など、緊急性や通常の社内手続きを経ない送金を促す理由付けが巧妙に行われることもあります。

攻撃の兆候：いつもと違う点に気づく

このような候補者なりすましによるBEC攻撃を見抜くためには、「いつもと違う点」や「怪しい点」に気づくことが重要です。この事例において、具体的にどのような兆候があったかを見ていきましょう。

メールアドレスの不一致: 候補者からのメールのはずなのに、これまでやり取りしていたメールアドレスと微妙に異なるアドレスから送信されている場合があります。（例: @co.jp が @ne.jp になっている、ドメイン名が似ているが違うなど）。あるいは、Gmailなどのフリーメールアドレスから送られてくる場合もあります。
依頼内容の不自然さ: 「PC購入費用を立て替えたので送金してほしい」という依頼自体が、会社の通常の採用プロセスや経費精算ルールから大きく外れている点です。通常、入社に必要な機材は会社が用意するか、経費精算の手続きを経て支払われるはずです。
送金先の違和感: 指定された送金先の口座名義が、候補者本人の氏名と異なっている、あるいは個人名義ではなく法人口座になっているといった不自然な点です。また、普段会社が取引に利用していない金融機関の口座を指定されることも兆候の一つです。
唐突な送金要求: これまで一切送金に関する話が出ていなかった候補者とのやり取りの中で、突然、金銭の支払いを要求されるのは極めて不自然です。
不自然な日本語や言い回し: 攻撃者が日本人でない場合、メールの日本語が不自然だったり、これまでの候補者とのやり取りのトーンと明らかに違う言い回しが使われたりすることがあります。
過度な緊急性の強調: 「期日が迫っている」「至急対応してほしい」など、確認や冷静な判断をする時間を奪うような形で、強く送金を急かされる表現が含まれていることがあります。

これらの「いつもと違う点」や「怪しい点」に一つでも気づくことができれば、立ち止まって考えるきっかけになります。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃の予防や早期発見のために学ぶべき教訓と、コストをかけずにできる対策のヒントを得ることができます。

「いつもと違う」を敏感に察知する習慣をつける: どんなに巧妙な攻撃メールでも、必ずどこかに不自然な点や普段との違いがあります。メールの送信元アドレス、件名、本文の内容、指示されている行動（特に送金や情報変更）、送金先など、普段のやり取りや社内ルールと照らし合わせて「何かおかしい」と感じる感覚を大切にしてください。
確認を徹底するルールを作る（二段階認証ならぬ二段階確認）: 特に送金指示や重要な情報変更の依頼については、メールやチャットだけを鵜呑みにせず、必ず別の手段（電話など）で本人に直接確認するルールを設けてください。この際、メールに記載されている電話番号ではなく、会社の連絡先リストに登録されている正規の電話番号を使用することが重要です。経営者が送金指示を出す場合も、担当者は必ず口頭などで確認する習慣をつけるべきです。
社内での情報共有と連携を強化する: 採用活動に関わる担当者（人事など）と経理担当者との間で、候補者とのやり取りの状況や、発生しうる費用の支払いフローについて日頃から情報共有を行っておくことで、不自然な送金依頼があった際に気づきやすくなります。不審なメールや連絡を受け取った場合の報告・相談先を明確にし、従業員に周知しておきましょう。
焦らず冷静に対応する: 攻撃者は「緊急性」を装って判断力を鈍らせようとします。「急いでいる」と言われても、正規の確認プロセスを省略せず、冷静に対応することが重要です。
基本的なセキュリティ意識を高める研修: 全従業員に対し、BEC攻撃のようなビジネスメールを悪用した詐欺の手口や、不審なメールの見分け方についての基本的な研修を定期的に実施することは、コストをかけずにできる有効な対策です。「自分は騙されない」と思わず、「誰もが狙われる可能性がある」という意識を持つことが第一歩です。

まとめ

採用活動中に発生した候補者なりすましのBEC攻撃事例は、攻撃がビジネスのあらゆる場面に潜んでいることを示しています。巧妙な手口で送金を促す攻撃メールには、メールアドレスの不一致、不自然な依頼内容、送金先の違和感、唐突な要求、不自然な日本語、過度な緊急性の強調といった兆候が見られます。

これらの攻撃を見抜くためには、「いつもと違う点」に気づく意識を持ち、送金指示など重要な依頼に対しては必ず別の手段で本人に確認するといった「二段階確認」のルールを徹底することが極めて重要です。また、関係部署間での情報共有や、全従業員のセキュリティ意識向上も、BEC攻撃の予防につながります。

コストをかけられるITセキュリティ対策は限られているとしても、従業員一人ひとりが詐欺の手口を知り、不審な点に気づき、確認を怠らないという意識を持つことが、中小企業にとって最も効果的なBEC対策の一つと言えるでしょう。