『緊急』を装う弁護士なりすましBEC攻撃:巧妙な手口と見抜く不審な兆候
ビジネスメール詐欺(BEC)は、巧妙な手口で企業から金銭をだまし取るサイバー攻撃です。その中でも、企業の重要な局面に関わる「弁護士」になりすますケースは、その信頼性と専門性を悪用するため、特に注意が必要です。
この記事では、「弁護士なりすましBEC攻撃」の具体的な事例を通じて、攻撃者が用いる手口、そして従業員が「おかしい」と気づくための不審な兆候を詳しく解説します。これからお話しする事例は、架空のものですが、実際に報告されている手口や兆候に基づいています。
弁護士なりすましBEC攻撃事例の概要
この事例は、ある中小企業が重要なM&A交渉を進めている最中に発生しました。交渉には外部の弁護士が関与しており、経営者と弁護士の間では頻繁にメールでのやり取りが行われていました。
攻撃者は、この状況を事前に何らかの方法で把握していたと考えられます。彼らは、企業と契約している弁護士の氏名を騙り、経営者のメールアドレス宛に非常に緊急性の高い内容のメールを送付してきました。
攻撃者が用いた巧妙な手口
この攻撃メールには、以下のような巧妙な手口が用いられていました。
- 弁護士の氏名と役職の詐称: メールの差出人名には、実際にやり取りしている弁護士の氏名と法律事務所名が表示されていました。これにより、受信者である経営者は、一見すると普段やり取りしている弁護士からのメールだと信じ込んでしまいました。
- 実際の状況を模倣した文面: メールの内容は、進行中のM&A交渉に関連する専門用語や状況説明を含んでおり、いかにも本物の弁護士からの連絡であるかのように見せかけられていました。
- 強い緊急性の強調: 「この件は極めて機密性が高く、迅速な対応が必要です」「〇時までに送金が完了しないと、交渉に重大な支障が出ます」といった、強い緊急性を装う表現が繰り返し使われていました。これにより、経営者は冷静な判断をする時間を与えられず、焦って対応することを促されました。
- 秘密保持の強調: 「この件は他言無用です」「関係者以外には決して漏らさないでください」といった文言が含まれていました。これは、経営者が社内の担当者や他の関係者に相談したり、弁護士本人に電話で確認したりするのをためらわせるための手口です。
- 普段と異なる送金指示: 契約書関連の手数料や、急遽発生した費用などとして、指定の銀行口座への送金を指示していました。しかし、その送金先の口座情報は、これまでの取引で利用したことのない、見慣れないものでした。
- コミュニケーション手段の限定: 電話ではなく、あくまでメールでのやり取りに終始しようとしました。経営者が電話をかけようとしても、「現在、重要な会議中です」「すぐに電話に出られません。メールでお願いします」などと理由をつけて回避しようとしました。
攻撃メールや不審なやり取りに見られる兆候
この事例において、早期に攻撃を見抜くための「いつもと違う点」や「怪しい点」、つまり攻撃の兆候は以下の通りでした。
- メールアドレスの微細な違い: 表示されている差出人名は正しかったとしても、送信元のメールアドレスをよく確認すると、普段やり取りしている弁護士のドメイン名と微妙に異なる点がありました(例:ドメインのスペルミス、無料メールサービスの利用、普段使用しているドメインとは別の見慣れないドメイン)。これは最も典型的な兆候の一つです。
- 不自然な日本語や言い回し: 全体的に自然な日本語に見えても、ところどころ不自然な言い回しや、普段その弁護士が使わないような言葉遣いが見られました。ただし、最近のBEC攻撃では日本語の質が向上しているため、これだけで判断するのは難しくなっています。
- 普段と異なる送金先口座: これまで契約書作成費用などを支払う際に利用していた弁護士事務所の口座ではなく、全く別の個人名義や法人名義の口座への送金を指示していました。
- 普段と異なる請求・支払いプロセス: 通常であれば請求書が発行された後に経理担当者が確認し、承認を得てから送金手続きが行われるはずが、メールの指示だけで即時送金を求めていました。普段の業務フローと異なる緊急の指示は、非常に強い警戒信号です。
- 電話での確認を避ける姿勢: 「電話は難しいのでメールでやり取りしたい」と、執拗に電話でのコミュニケーションを避けようとする姿勢が見られました。重要な指示、特に送金を伴う指示であれば、通常は電話での確認や、対面での打ち合わせも検討されるはずです。
- 普段の連絡時間帯や曜日との違い: 深夜や休日など、普段その弁護士から連絡が来ないような時間帯にメールが送られてくる場合も、不審な点と言えます。
事例から学ぶべき教訓と対策のヒント
この事例から、中小企業の経営者や従業員がBEC攻撃から会社を守るために学ぶべき重要な教訓と、コストをかけずにできる対策のヒントをご紹介します。
- 「いつもと違う」に気づく習慣を身につける: BEC攻撃は、巧妙に「いつも通り」を装いますが、必ずどこかに不審な点があります。メールアドレス、送信時間、日本語、指示内容、普段の業務フローとの違いなど、少しでも「おかしいな」「いつもと違うな」と感じたら、一旦立ち止まる習慣が非常に重要です。
- 重要な指示は必ず別の手段で確認するルールを作る: 特に、送金指示や、普段の業務フローから外れた緊急の指示があった場合は、メールやメッセージだけで鵜呑みにせず、必ず電話や別のメールアドレスなど、普段から信頼できる方法で本人に直接確認するルールを徹底してください。弁護士や主要な取引先など、なりすましのリスクが高い相手とのやり取りでは、事前に正規の電話番号などをリスト化しておくと、緊急時の確認がスムーズに行えます。
- 社内でBEC攻撃の手口や兆候を共有し、注意喚起を徹底する: サイバー攻撃やITの専門知識がない従業員でも理解できるよう、具体的な事例(本記事のような内容)を共有し、「このような不審なメールが来たら要注意」「怪しいと思ったら一人で判断せず、〇〇さん(特定の担当者や経営者)に必ず相談する」といった行動指針を明確に伝えることが非常に効果的です。定期的な注意喚起が、従業員のセキュリティ意識を高めます。
- 不審メール報告・相談の体制を整備する: 「もしかしたら迷惑メールかな?」「本物か判断できない」といった不審なメールがあった際に、誰に相談すれば良いかを明確にしておくことが重要です。これにより、攻撃メールの早期発見や情報共有が進み、被害の拡大を防ぐことができます。
- メールソフトの表示設定を確認する: 使用しているメールソフトによっては、差出人名しか表示されず、メールアドレスが隠れている場合があります。設定を変更し、常にメールアドレスの全が表示されるようにすることで、詐称されたメールアドレスに気づきやすくなります。
これらの対策は、特別なITシステムを導入したり、高額な費用をかけたりすることなく実施できます。最も重要なのは、「人の目」によるチェックと、「組織内の情報共有・確認ルール」の徹底です。
まとめ
弁護士なりすましBEC攻撃は、企業の経営判断に関わる重要な状況を悪用し、信頼性の高さを盾に騙そうとする巧妙な手口です。このような攻撃から会社を守るためには、単に技術的な対策に頼るだけでなく、従業員一人ひとりが「不審な兆候」に気づき、立ち止まり、そして定められたルールに従って確認を行うことが不可欠です。
今回ご紹介した事例を通じて、攻撃の手口や具体的な兆候を理解し、貴社のBEC対策にお役立ていただければ幸いです。常に警戒心を持ち、「怪しい」と感じる直感を大切にすることで、多くのBEC攻撃は防ぐことができます。