BEC攻撃事例ファイル

【事例】クラウドサービスの請求を騙るBEC攻撃：偽装請求書と見抜く不審な兆候

クラウドサービスの偽請求書を悪用したBEC攻撃事例

近年、多くの企業が業務効率化のためにクラウドサービスを利用しています。SaaS（ソフトウェア・アズ・ア・サービス）やクラウドストレージなど、様々なサービスが月額や利用量に応じた形で請求されます。このような、日常的に発生する「請求」のプロセスを悪用したBEC攻撃が増加しています。

今回は、特に中小企業がターゲットになりやすい、クラウドサービスの利用料請求を装ったBEC攻撃の事例を取り上げ、その手口や、攻撃を見抜くための具体的な兆候、そしてコストをかけずに講じられる対策について解説します。

事例の概要と攻撃の手口

この事例は、ある中小企業の経理担当者や、クラウドサービスの利用料を支払っている担当者に、突然「〇〇クラウドサービス ご請求書」といった件名のメールが届いたことから始まりました。

メールは、正規のクラウドサービス提供元からの請求連絡であるかのように巧妙に偽装されていました。デザインや文章の雰囲気は、普段受け取っている正規のメールに酷似しており、会社の担当者名が宛名に使われている場合もありました。

このメールには、PDF形式の添付ファイルが含まれており、それが請求書であると説明されていました。担当者が添付ファイルを開くと、そこには利用明細と、そして「お支払いのお願い」として、銀行の口座情報が記載されていました。

攻撃者の手口は、以下の点に特徴がありました。

• 正規メールの模倣: 見た目を正規の請求メールに似せることで、警戒心を解こうとしました。
• 巧妙ななりすましメールアドレス: 送信元メールアドレスは、正規のドメイン名に非常によく似た文字列（例: official-billing@clouud-service.com のように'u'が一つ多かったり、ハイフンやドットの位置が微妙に違ったり）であったり、正規とは無関係なフリーメールアドレスが使われたりしました。
• 偽の請求書ファイル: 添付されたPDFファイルは、一見すると通常の請求書のように見えますが、内容の一部（特に振込先口座情報）が偽装されていました。
• 緊急性の演出: 「支払期限が近づいています」「お支払いいただけない場合、サービスが停止される可能性があります」といった文言で、担当者に冷静な判断をさせずに送金を急がせようとしました。
• 振込先口座の偽装: 最も重要な手口は、請求書に記載された振込先口座が、正規の提供元のものではなく、攻撃者が指定する第三者の口座（しばしば海外の銀行口座や、ペーパーカンパニー名義の口座）になっていた点です。

担当者が、普段通りの請求であると信じ込み、偽の請求書に記載された口座へ指定された金額を振り込んでしまうことで、企業は金銭的な被害を被ります。

攻撃を見抜く不審な兆候

このようなクラウドサービス偽請求攻撃は、いくつかの不審な兆候によって見抜くことが可能です。ITの専門知識がない経営者や担当者の方でも、以下の点に注意することでリスクを大幅に減らすことができます。

• 送信元メールアドレス: 最も簡単で重要なチェックポイントです。正規のクラウドサービスからのメールであれば、普段から利用している正規のドメイン（@〇〇cloud.com など）から送信されているはずです。今回の事例のように、スペルミスや、いつもと違うドメインが使われていないか、一文字ずつ注意深く確認してください。フリーメールアドレスからの請求は、まず疑うべきです。
• メールの件名や本文: 普段受け取っている正規の請求メールと比較して、件名や文章の言い回しに不自然な点はありませんか？翻訳ソフトを使ったような不自然な日本語、誤字脱字が多い場合は強い疑いを持つべきです。また、個人宛てにも関わらず宛名がなかったり、不正確だったりする場合も兆候です。
• 添付ファイルの形式や内容:
  • 添付ファイルがPDF以外の形式（.zipや実行ファイルなど）の場合は、絶対に開かないでください。
  • PDFであっても、ファイル名が不自然だったり、パスワードがかけられていて本文中にパスワードが記載されていたりする場合も要注意です。
  • 添付された請求書の内容（会社名、住所、契約内容、利用期間、金額など）が、これまでの請求書や契約内容と一致するか確認します。不正確な情報が含まれている場合は偽物の可能性が高いです。
• 振込先口座情報: 最も決定的な兆候です。請求書に記載された振込先口座が、普段利用している銀行や口座名義と異なっていないか、必ず確認してください。正規のクラウドサービス提供元が、突然、個人名義の口座や、普段と全く異なる銀行口座への振込を要求することは考えにくいです。また、海外の銀行口座が指定されている場合も非常に不審です。
• 正規の請求システムでの確認: 多くのクラウドサービスは、ウェブ上の管理画面で利用状況や請求書を確認できるシステムを提供しています。不審な請求メールが届いた場合は、メールのリンクをクリックするのではなく、ブックマークやお気に入りから正規の管理画面にログインし、そこに同じ請求情報が表示されているか確認することが最も確実な方法です。メールに記載されたリンクは、偽のサイトへ誘導される可能性があるためクリックしないでください。
• 請求サイクルの不一致: 普段は月末締めの翌月払いなのに、今回は月の途中で請求がきている、といった請求サイクルの不一致も不審な兆候となります。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員が学ぶべき重要な教訓と、コストをかけずに実践できる対策のヒントは以下の通りです。

• 「いつもの請求」だからと鵜呑みにしない: 毎日、毎週のように処理しているルーチン業務だからこそ、人は注意力が散漫になりがちです。「これはいつもの請求だ」と反射的に判断せず、少し立ち止まって確認する習慣をつけましょう。
• メールの「送信元アドレス」を必ず確認する: メール本文の内容を読む前に、まず送信元メールアドレスが正規のものであるか、スペルミスや不審な点がないかを確認する癖をつけましょう。
• 「振込先口座情報」の二重確認ルールを作る: 請求書に基づいて送金処理を行う際は、そこに記載されている振込先口座が、事前に把握している正規の口座情報と一致するかを必ず確認するルールを設けてください。可能であれば、別の担当者や上司にも確認してもらう「二重確認」のプロセスを導入しましょう。
• 添付ファイルを開く際は慎重に: 特にメールで送られてきた請求書ファイルなどは、安易に開かず、送信元や内容に不審な点がないか確認してから開くようにしましょう。不審なファイルは開かずに削除、またはIT担当者（もしいるならば）に相談してください。
• 公式な情報源を確認する習慣をつける: クラウドサービスに限らず、重要な請求や支払いに関する連絡がメールで届いた場合、その内容が公式サイトや、普段ログインしている管理画面でも確認できる情報であるかを確認する習慣をつけましょう。メールに記載されたURLリンクはクリックせず、自分で正規のURLにアクセスすることが重要です。
• 従業員への注意喚起と教育: BEC攻撃の手口は多様化しており、いつ従業員の元に不審なメールが届くか分かりません。今回の事例のように、特定の業務担当者（経理担当者や、特定のサービス利用部署の担当者）が狙われることもあります。定期的にBEC攻撃の事例を紹介し、「もし不審なメールを受け取ったら、必ず報告・相談すること」「勝手に判断して送金しないこと」といった基本的な行動指針を周知徹底することが非常に効果的です。これは特別なコストをかけずにできる最も重要な対策の一つです。
• 「いつもと違う」感覚を大切にする: メールや請求書、支払いの指示など、普段のやり方と少しでも違う点（例: 普段は電話で送金指示があるのに今回はメールだけ、普段はPDFなのに今回は画像ファイルなど）があれば、「いつもと違うな」という違和感を大切にし、必ず確認を取るように従業員に意識付けをしましょう。

まとめ

クラウドサービスの利用は中小企業にとって不可欠になりつつありますが、それに伴い、その請求プロセスを悪用したBEC攻撃のリスクも高まっています。今回の事例は、巧妙に偽装された請求書と振込先情報の変更によって、企業が騙されてしまう危険性を示しています。

このような攻撃から身を守るためには、特別なITツールを導入する以前に、まず「不審なメールを見抜くための基本的な知識」と、「重要な支払いに関する『必ず確認する』という組織内のルール」が不可欠です。

経営者自身がこうした手口を知り、従業員への注意喚起を継続的に行うこと、そして、コストをかけずにできる「送信元アドレスの確認」「振込先口座の二重確認」「公式情報源での確認」「不審な点は必ず報告・相談するルール」といった基本的な対策を徹底することが、あなたの会社をBEC攻撃の被害から守るための最も効果的な方法です。