【事例】情報漏洩対策費用の緊急支払いを騙るBEC攻撃:役員なりすましの手口と見抜く兆候
経営者を惑わす「情報漏洩」の緊急性:BEC攻撃事例から学ぶ
BEC(ビジネスメール詐欺)は、巧妙な手口で企業の送金担当者を騙し、不正な送金を行わせるサイバー犯罪です。その手口は年々巧妙化しており、企業の内部事情や、人が心理的に焦りやすい状況を突いてきます。
今回ご紹介する事例は、多くの経営者が最も恐れる事態の一つである「情報漏洩」を悪用したものです。役員になりすました攻撃者が、情報漏洩対策のための緊急費用と称して送金を指示するという手口は、緊急性が高く、冷静な判断を鈍らせる危険性があります。
この事例を通して、攻撃者がどのような手口で騙そうとするのか、そして私たちの組織が攻撃を見抜くためにどのような点に注意すべきかを具体的に学びましょう。
事例の概要と巧妙な手口
このBEC攻撃事例は、以下のような状況で発生しました。
- 発生状況: 中小企業の経理担当者の元に、代表取締役社長の名前で一通のメールが届きました。
- メールの内容: 「件名:【緊急】【重要】情報漏洩に関する対応費用について」という件名で始まるメールには、「先日、深刻な情報漏洩の可能性が確認されました。現在、事態の把握と対策のため、外部の専門家チームに緊急対応を依頼しています。その対応費用として、至急支払いが必要な費用が発生しました。詳細は添付の指示書をご確認ください。この件は極秘扱いとし、関係者以外には口外しないでください。私は現在、重要な対応に追われており、電話や対面での確認は難しい状況です。指示書に従い、〇月〇日までに指定口座へ送金をお願いします。」といった内容が記載されていました。
- 添付ファイル: メールには、具体的な金額、振込先口座情報(多くの場合、海外の銀行口座や個人名義)、そして「緊急対応費用」「コンサルティング費用」などと記載された偽の請求書のようなファイルが添付されていました。
- 攻撃者の狙い: 攻撃者は、代表取締役になりすまし、情報漏洩という企業の存続に関わる緊急事態を装うことで、経理担当者を心理的に追い詰め、冷静な確認をせずに送金手続きを急がせようとしました。特に「口外禁止」「電話不可」といった指示は、通常の承認フローや確認作業を妨害するための巧妙な手口です。
この攻撃における「怪しい兆候」を見抜く
幸いなことに、この事例では経理担当者が攻撃メールのいくつかの「怪しい兆候」に気づき、被害を免れることができました。攻撃を見抜くための具体的な手がかりは以下の通りです。
- メールアドレスの不審点: メールソフトの表示名は確かに社長の名前でしたが、よく見ると送信元のメールアドレスが、普段社長が使用しているものと微妙に異なっていました。例えば、ドメイン名が正規のものと一文字だけ違う(タイポスクワッティング)、あるいはフリーメールアドレスが使われている、といったケースです。
- 普段と異なる文体や言葉遣い: メール本文の日本語が不自然だったり、社長が普段使用しないような硬すぎる、あるいは逆に砕けすぎた言葉遣いがあったりしました。特に「至急支払いが必要な費用が発生しました」など、回りくどい言い方や、指示の仕方に違和感がありました。
- 過度な「緊急性」と「秘密保持」の強調: 「緊急」「重要」「至急」「極秘扱い」「口外禁止」といった言葉が繰り返し使われ、冷静な判断をさせないように仕向けています。本当に重要な案件であれば、口頭やセキュアな方法で慎重に進められるはずです。
- 電話や対面での確認を避ける指示: 「電話対応は難しい」「会議中」などと、メールやチャット以外の方法での確認を意図的に避けるように指示されています。これは、なりすましが露見するリスクを避けるための、攻撃者の典型的な手口の一つです。
- 普段と異なる支払い手続き・振込先: 普段の取引先への支払いとは異なる、急な電信送金指示でした。特に、国内企業なのに海外の銀行口座や、会社名義ではなく個人名義の口座への送金指示は、非常に怪しい兆候です。添付された請求書の形式も、普段受け取っているものと異なっていました。
- 添付ファイルの不審点: 添付ファイルの名前が不自然だったり、拡張子が見慣れないものだったりする場合があります。また、ファイルを開く際に警告が表示されることもあります。
これらの「いつもと違う点」に気づくことが、BEC攻撃を防ぐ第一歩となります。
事例から学ぶ教訓と中小企業が取るべき対策のヒント
この事例から、私たち中小企業経営者や従業員が学ぶべき重要な教訓と、コストをかけずにできる対策のヒントは以下の通りです。
- 「確認の徹底」を組織文化にする: 最も重要で、かつコストがかからない対策は、不審な指示に対して「必ず確認する」という意識と仕組みを組織全体で持つことです。特に、役員や取引先からのメールであっても、少しでも怪しいと感じたら、メール以外の手段(電話、チャット、対面など)で、必ず本人に直接確認するルールを徹底してください。今回の事例のように「電話に出られない」という指示自体を、より慎重な確認が必要な「怪しい兆候」と捉えましょう。
- メールアドレスの正しい確認方法を周知する: 表示名だけでなく、メールアドレスの文字列全体を注意深く確認する習慣をつけさせましょう。特に、ドメイン名(@マークの後ろ)が自社や正規の取引先の正確なものであるかを確認するトレーニングを行います。従業員向けに、「なりすましメールの見分け方」といった簡単な研修や注意喚起資料を作成するのも有効です。
- 支払い承認フローを明確化し厳格に運用する: 特に高額な送金や、普段とは異なる振込先への送金については、必ず複数担当者による承認や、責任者への口頭での最終確認を義務付けるなど、普段の支払いフローから外れないように厳格なルールを定めてください。緊急性を理由にした例外は、より一層慎重な確認が必要です。
- 従業員への定期的な注意喚起と情報共有: BEC攻撃の手口は常に変化します。今回のような具体的な事例を社内で共有し、「このような手口に注意しよう」と定期的に従業員に注意喚起することが非常に効果的です。最新の攻撃事例や注意喚起情報を共有することで、従業員のセキュリティ意識を高めることができます。
- メールセキュリティの基本設定確認: 自社のメール環境において、SPF, DKIM, DMARCといった送信ドメイン認証の設定が適切に行われているか、可能であれば確認してみましょう。これらの設定は、自社のメールアドレスが攻撃者に悪用されるのを防ぐのに役立ちます(専門知識が必要な場合は、信頼できるITベンダーに相談を検討しても良いでしょう)。
まとめ
情報漏洩対策という、多くの企業にとって非常に重要なテーマを悪用した今回のBEC攻撃事例は、攻撃者がいかに人の心理や会社の事情を突いてくるかを示しています。
高額な費用や専門的なシステム投資をしなくても、従業員一人ひとりの「おかしいな?」という気づきと、「必ず確認する」という基本的な行動ルールを徹底することで、多くのBEC攻撃を防ぐことが可能です。
この事例で学んだ手口や兆候を参考に、ぜひ貴社でも改めて従業員の皆様への注意喚起を行い、基本的なセキュリティ意識と確認徹底のルールを強化していただければ幸いです。