BEC攻撃事例ファイル

中小企業を狙う！CFOなりすましBEC攻撃のリアル事例と対策

中小企業を狙うCFOなりすましBEC攻撃の危険性

BEC（ビジネスメール詐欺）は、企業のメールシステムを悪用し、従業員を騙して金銭や情報を窃取するサイバー攻撃です。中でも、社内の役員や取引先になりすまして緊急の送金指示を出す手口は多発しており、特にセキュリティ対策が手薄になりがちな中小企業が狙われやすい傾向にあります。

今回は、中小企業でも起こりうる「CFOなりすまし」によるBEC攻撃の事例を元に、その具体的な手口や攻撃を見抜くための「兆候」、そしてコストをかけずに実施できる対策のヒントをご紹介します。この事例から学び、皆様の会社をBEC攻撃から守るための参考にしていただければ幸いです。

事例の概要：CFOなりすましによる緊急送金指示

ある中小企業で実際に起こりかけたBEC攻撃の事例です。会社の経理担当者の元に、海外出張中のCFO（最高財務責任者）を名乗る人物から一通のメールが届きました。

メールの件名は「重要：至急対応要 - [プロジェクト名]に関する緊急送金」といった非常に緊急性の高いものでした。本文には、「現在、海外の重要な取引先との契約締結を進めている。最終合意に至ったため、契約を確定するために本日中に●万ドルの保証金が必要になった。」という内容が記載されていました。

さらに、「この取引は極秘に進めているため、社内にはまだ周知していない。君にだけ頼める重要な任務だ。至急、添付ファイルに記載された口座へ送金手続きを進めてほしい。電話での確認は難しいため、メールでやり取りしよう。」といった具体的な指示と、秘密保持を強調する文言が含まれていました。添付ファイルには送金先の海外口座情報が記載されていました。

経理担当者は普段からCFOとメールでやり取りをしていましたが、内容があまりにも唐突で、普段とは異なる指示に違和感を覚え、送金手続きの前に念のため他の役員に相談しました。その結果、CFOはそのような指示を一切出しておらず、メールがなりすましであることが判明し、間一髪で被害を防ぐことができました。

攻撃者の騙しの手口と具体的な兆候

この事例における攻撃者の手口と、そこに見られた「怪しい兆候」を具体的に見ていきましょう。

騙しの手口：

1. 社内役員（CFO）へのなりすまし: 普段から経理担当者がやり取りすることの多い役員に成りすますことで、担当者の警戒心を解こうとしました。
2. 件名での緊急性の強調: 「至急対応」「緊急」といった言葉を使い、担当者に冷静な判断をする時間を与えないように仕向けました。
3. 秘密保持の強調と電話確認の回避: 「極秘」「君にだけ頼む」「電話は難しい」といった言葉で、担当者が他の従業員や役員に相談したり、直接本人に電話で確認したりするのを妨害しました。これは攻撃が露見するのを避けるための常套手段です。
4. もっともらしい理由付け: 「重要な取引」「契約締結」「保証金」といった具体的なビジネス用語を使い、送金が必要であることにもっともらしい理由をつけました。
5. 海外送金の指示: BEC攻撃では、追跡が難しい海外の口座へ送金させようとするケースが多く見られます。
6. 添付ファイルでの情報提供: 送金先情報を直接本文に記載せず、添付ファイルにすることで、確認のハードルを少し上げる、あるいはマルウェア感染を狙う可能性もあります（この事例では感染はありませんでした）。

攻撃の兆候（いつもと違う点、怪しい点）：

この事例では、経理担当者がいくつかの「兆候」に気づいたことが被害を防いだ決め手となりました。

1. メールアドレスの不一致・違和感: 差出人名はCFOの名前になっていましたが、実際のメールアドレスを確認すると、会社の正規のドメインとは異なる、あるいは正規のドメインに似ているが微妙に違う（例: co.jp が ne.jp になっている、スペルミスがあるなど）、あるいはGmailなどのフリーメールアドレスが使われている、といった違いが見られることがよくあります。この事例でも、CFOのメールアドレスが普段と異なっていました。
2. 普段と異なる文体・不自然な日本語: 攻撃者は海外にいることが多く、翻訳ツールなどを使用してメールを作成するため、普段のCFOの話し方や文体と違う、あるいは微妙に不自然な日本語が使われている場合があります。丁寧すぎる、あるいは逆に命令口調すぎるなど、違和感がないか注意が必要です。
3. 唐突で異例な指示: 普段の業務フローから逸脱した、突然の送金指示、特に高額な送金や海外送金は極めて怪しい兆候です。
4. 電話での確認を強く避ける指示: 「電話は繋がらない」「メールでしか連絡できない」といった、コミュニケーション手段をメールに限定しようとする指示は、本人確認を避けたい攻撃者のサインです。
5. 過度な秘密保持の強調: 社内で共有すべき重要な情報であるにも関わらず、「誰にも言うな」「君だけの秘密だ」といった不自然な秘密保持の指示は警戒すべきです。

事例から学ぶべき教訓と対策のヒント

このCFOなりすまし事例から、中小企業経営者様や従業員の皆様が学ぶべき重要な教訓と、すぐにでも取り組める対策のヒントをご紹介します。

経営者ができること（コストをかけずに、組織として取り組む）

• 「常に疑う」文化の醸成: 「社長や役員からのメールでも、お金の話や重要な指示があったら、まず疑うこと」という意識を社内全体で共有します。
• 送金に関する「二重、三重の確認ルール」の徹底:
  • メールでの送金指示があった場合は、必ず別の手段（電話、チャット、別のメールアドレスなど）で本人に直接確認するルールを作ります。特に役員からの高額・緊急・海外送金指示は、電話での声での確認を必須とします。
  • 経理担当者だけでなく、責任者や他の役員など、複数人の承認プロセスを設けます。担当者一人で処理させない仕組みが重要です。
  • 普段とは異なる送金先、送金方法、金額の場合は、必ず担当者以外の責任者が内容を詳しく確認します。
• BEC攻撃の手口と兆候に関する従業員研修・周知:
  • 今回ご紹介したような実際の事例や、メールアドレスの偽装方法、不自然な日本語の特徴、電話確認を避ける手口などを従業員全体に周知します。
  • 「怪しいメールを受け取ったら、すぐに共有・相談する」という報告体制を明確にします。誰に相談すればよいか、相談しやすい環境を作ることが重要です。
• 緊急時対応計画の策定: 万が一、BEC攻撃による被害が発生した場合の連絡先、対応フローを決めておきます。

従業員一人ひとりが注意すべきこと

• メールアドレスを「見た目」だけでなく「実体」で確認する: 差出人名だけでなく、必ずメールアドレスの文字列全体を確認する習慣をつけます。特に、普段やり取りしている相手のアドレスと一文字一句違いがないか、会社の正規ドメインが使われているかを確認します。スマホのメールアプリなどでは、アドレスが隠れている場合があるので表示設定を見直しましょう。
• メール本文の「違和感」に気づく:
  • 普段と違う言葉遣い、不自然な日本語、誤字脱字がないか注意します。
  • 内容が唐突ではないか、普段の業務フローに沿っているかを確認します。
  • 「至急」「緊急」「秘密」といった言葉で、冷静な判断を急かされていないか警戒します。
  • 電話での確認を避けようとしていないか、重要な指示をメールだけで済まそうとしていないか注意します。
• 「おかしいな」と思ったら、勝手に判断せず必ず誰かに相談する: 少しでも怪しい、不安だと感じたら、一人で抱え込まず、必ず上司や同僚、決められた相談窓口に報告・相談します。「もしかしたら本物かも」と安易に判断せず、「これは怪しい」という前提で確認を進める意識が大切です。
• PCやメールアカウントの基本的なセキュリティ対策: 推測されにくいパスワードの設定、可能であれば二要素認証の利用など、基本的なセキュリティ対策もBEC攻撃対策の間接的な助けとなります。

まとめ

BEC攻撃、特になりすましによる送金指示は、巧妙な手口で従業員の心理的な隙や組織の確認体制の不備を突いてきます。今回ご紹介したCFOなりすまし事例のように、巧妙な手口に見えても、よく確認すれば「いつもと違う点」や「怪しい兆候」が必ず隠されています。

重要なのは、技術的な対策だけではなく、「怪しいメールは必ず確認する」「送金指示は複数人でチェックする」といった組織としてのルール作りと、それを徹底するための従業員への継続的な注意喚起です。これらの対策は、ITの専門知識がなくても、コストをほとんどかけずに今日からでも取り組むことができます。

この記事が、皆様の会社をBEC攻撃の脅威から守るための一助となれば幸いです。常に警戒心を持ち、基本的な確認作業を徹底することが、皆様の大切な資産を守る第一歩となります。