【事例】サプライヤーなりすましBEC攻撃:偽装された請求書と見抜く不審な兆候
BEC攻撃は、ビジネスメールを悪用して企業から不正に金銭を騙し取る詐欺です。取引先や経営者など、様々な人物になりすましますが、中小企業が特に注意すべき手口の一つに「サプライヤー(仕入先)なりすまし」があります。
普段から頻繁に取引があるサプライヤーからの請求書に関するメールは、従業員、特に経理担当者にとって日常業務の一部です。攻撃者はこの日常に紛れ込み、巧妙に偽装した請求書を使って unsuspecting な企業から送金させようとします。
本記事では、サプライヤーなりすましBEC攻撃の具体的な手口と、どのようにしてその兆候を見抜けば良いのか、そして中小企業としてどのような対策を講じうるのかについて、具体的な事例を基に解説します。
サプライヤーなりすましBEC攻撃の事例概要
ある中小企業A社では、日頃から複数のサプライヤーから資材を仕入れています。支払いは主に銀行振込で行われており、サプライヤーから送られてくる請求書に基づき、経理担当者が処理しています。
ある日、A社の経理担当者のもとに、普段取引のあるサプライヤーB社の名前で一通のメールが届きました。件名は「【重要】〇月度ご請求書およびお振込先変更のお知らせ」となっており、添付ファイルとして請求書らしきPDFファイルが含まれていました。メール本文には、「弊社の経理システム移行に伴い、一時的にお振込先口座が変更となりました。新しい口座情報は添付の請求書をご確認ください。お手数をおかけしますが、〇月〇日までにお振込みをお願いいたします。」といった内容が書かれていました。
経理担当者は、普段と違う振込先ではあるものの、システム移行という理由付けに納得し、特に疑うことなく添付ファイルを開き、記載されていた新しい口座へ指定された金額を送金してしまいました。数日後、正規のサプライヤーB社から「〇月分の入金が確認できません」との連絡があり、このBEC攻撃が発覚したのです。
騙しの手口:巧妙に偽装された請求書とメール
この事例における攻撃者の騙しの手口は、以下の点が特徴的です。
- なりすましの巧妙さ: 送信元のメールアドレスは、正規のサプライヤーB社のものと非常に似ていました(例: 正規が
b-corp.comのところをb_corp.comやb-coorp.comなど、一見気づきにくいスペルミス)。差出人名もB社の担当者名になっていました。 - 日常業務の模倣: 普段やり取りがあるサプライヤー名を使い、請求書という日常的な書類を装いました。件名やメール本文も、ビジネスメールとして自然な表現を心がけていました。
- 変更理由の提示: 振込先変更という不審に思われかねない点に対し、「システム移行」というもっともらしい理由を付け加えていました。
- 添付ファイルの利用: 偽の請求書情報をPDFファイル形式で添付していました。PDFファイルは、WordやExcelよりも編集された痕跡に気づきにくいため、攻撃者がよく利用する形式です。
- 緊急性の示唆: 支払期日を指定することで、受け取った側に「早く処理しなければ」という心理的なプレッシャーを与えていました。
攻撃者は、ターゲット企業の支払いサイクルや、特定のサプライヤーとの関係性について、事前に何らかの情報を収集していた可能性も考えられます。
攻撃の兆候:見抜くべき「いつもと違う点」
このBEC攻撃を見抜くためには、メールや添付ファイルの中に隠された「いつもと違う点」や「怪しい点」に気づくことが重要でした。具体的には、以下のような兆候が挙げられます。
- 送信元メールアドレスの微細な違い: 最も重要な兆候の一つです。パッと見は同じでも、ドメイン名のスペルが微妙に異なっていたり、見慣れない記号(ハイフンとアンダーバーの間違いなど)が含まれていたりしないか、よく確認する必要があります。
- メール本文の不自然さ: 日本語の言い回しがおかしかったり、普段のサプライヤーからのメールとは違う独特の表現が使われていたりすることがあります。自動翻訳ツールを使ったような不自然さがないか注意が必要です。
- 請求書の形式や内容の違和感: 添付されていた請求書のレイアウト、会社のロゴ、フォントなどが、普段受け取っている正規の請求書と少し違う場合があります。また、請求書番号の付け方や、記載されている会社情報(住所や電話番号など)が最新のものか、正規の情報と一致しているか確認することも有効です。
- 振込先口座情報の不審さ: 最も警戒すべき点です。
- 口座名義: 普段の法人名義ではなく、個人名義になっていないか。
- 銀行名: 見慣れない海外の銀行口座や、普段サプライヤーが利用している銀行とは異なる銀行が指定されていないか。
- 口座番号: 桁数がおかしいなど、不自然な点はないか。
- 電話での確認を避ける傾向: 不審な点をメールで問い合わせても、電話での返答を避けたり、メールでのやり取りを強要したりする場合があります。これは、声で本人確認されることを恐れているためです。
- 返信を急かす: 「期日が迫っている」「システム移行のため急いでほしい」など、必要以上に返信や送金を急かす表現が多用されていないか注意が必要です。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業経営者や従業員がBEC攻撃から会社を守るために学ぶべき重要な教訓と、コストをかけずに実践できる対策のヒントをいくつかご紹介します。
1. 振込先変更の二重確認ルールの徹底
BEC攻撃の多くは、最終的に正規とは異なる口座への送金を指示します。したがって、「振込先の変更」に関するメールを受け取った場合は、必ずメール以外の方法(電話など)で、社内の責任者や、相手企業の既存の正規の担当者へ直接連絡を取り、その指示が正当なものであるかを確認するというルールを徹底することが最も重要です。この確認には、メールに記載されている連絡先ではなく、過去の正規の請求書や自社の取引先リストに記載されている電話番号を使用します。
2. メールアドレスの注意深い確認習慣
受信したメールの「送信元アドレス」を安易に信用せず、ドメイン名を含むアドレス全体を毎回、注意深く確認する習慣をつけましょう。特に、普段と違う内容のメールや、緊急性を装うメールを受け取った際は、必ず確認してください。
3. 添付ファイルの取り扱いに注意
見慣れない送信元からの添付ファイル、あるいは普段と違う形式や内容の添付ファイルには注意が必要です。安易に開かず、送信元が正規のものであるか確認する、または不審な点がないか慎重に判断しましょう。
4. 社内での情報共有と注意喚起
BEC攻撃の手口は常に変化しています。経営者だけでなく、経理担当者や一般の従業員も含め、BEC攻撃がどのようなものか、どのような手口があるのか、不審なメールの兆候はどのようなものかについて、定期的に情報共有や研修を行い、全社的に注意を喚起することが重要です。具体的な事例を知ることは、従業員一人ひとりの危機意識を高めるのに役立ちます。
5. 不審な点があればすぐに相談できる体制
「これは怪しいかな?」と少しでも思ったら、一人で判断せず、すぐに上司や同僚に相談できる風通しの良い体制を作りましょう。サイバー攻撃対策において、個人の判断だけに頼らない「チームでの対応」は非常に有効です。
これらの対策は、特別なITツールを導入したり、多額のコストをかけたりすることなく、今日からでも実践できるものです。重要なのは、従業員一人ひとりが「もしかしたら詐欺かもしれない」という意識を持つことです。
まとめ
サプライヤーなりすましBEC攻撃は、中小企業にとって非常に身近で現実的な脅威です。日常的な業務を装うことで、従業員を騙し、企業の財産を奪おうとします。
しかし、攻撃者の手口には必ず不審な「兆候」が隠されています。送信元メールアドレスのわずかな違い、不自然な日本語、そして何よりも「振込先変更」の指示には最大限の注意が必要です。
本記事でご紹介した事例と教訓を参考に、特に「振込先変更時の二重確認」や「メールアドレスの徹底確認」、そして「従業員への継続的な注意喚起」といった、コストをかけずにできる基本的な対策を組織全体で実践していくことが、BEC攻撃から会社を守るための第一歩となります。