【事例】契約更新を悪用するBEC攻撃:振込先変更の手口と見抜く不審な兆候
近年、ビジネスメール詐欺(BEC攻撃)の手法は巧妙化しており、中小企業も例外なくその標的となっています。特に、普段から発生する「取引先への支払い」や「契約更新」といった業務に紛れ込ませる手口が増えています。
今回は、このような契約更新時期を悪用したBEC攻撃の事例を取り上げ、その具体的な手口、見抜くべき兆候、そして私たち中小企業が今日からできる対策のヒントをご紹介します。自社の従業員と情報を共有し、被害を防ぐための一助としていただければ幸いです。
事例の概要:契約更新に紛れ込む偽の振込先指示
ある中小企業の経理担当者が、長年取引のある重要なサプライヤーからのメールを受け取りました。内容は「契約更新に伴う支払いに関する重要なお知らせ」というものでした。メールには、新しい契約内容に関する記述とともに、「システム変更により、今後の支払いにつきましては、下記の新口座へお振込みいただくようお願いいたします」という指示と、新しい銀行口座情報が記載された添付ファイルが含まれていました。
担当者は、普段から丁寧なやり取りをしている取引先からのメールであったこと、そしてちょうど契約更新の時期であったことから、特に疑うことなく添付ファイルを開き、新しい口座情報を確認しました。そして、通常の支払い業務として、記載されていた新口座への送金手続きを進めてしまいました。
しかし、数日後、本来の期日になっても取引先から「入金が確認できない」との連絡があり、そこで初めてBEC攻撃による被害に遭っていたことに気づいたのです。
騙しの手口:なぜ契約更新が狙われるのか
この事例で使われた騙しの手口は、以下のような特徴があります。
- 「いつも通り」の業務に紛れ込ませる巧妙さ: 攻撃者は、企業が定期的に行う「契約更新」やそれに伴う「支払い」という、ごく日常的な業務プロセスを悪用します。これにより、受信者はメールの内容を疑うことなく受け入れやすくなります。
- 取引先へのなりすまし: 既存の取引先のメールアドレスやドメインに酷似したアドレスを使用したり、過去のやり取りを参考にしたりすることで、メールの信頼性を高めます。担当者は「いつもの取引先からだ」と信じ込んでしまいます。
- 振込先変更という具体的な要求: BEC攻撃の最終目的は不正な送金です。この事例では、契約更新という名目で「振込先口座が変更になった」と偽り、攻撃者が管理する口座へ送金させようとします。
- 添付ファイルによる情報伝達: 新しい振込先情報を添付ファイル(PDFなどが一般的)に記載することで、メール本文だけでは完結しない、より正式な通知であるかのように見せかけます。
- 緊急性や重要性の演出: 「システムの都合上、次回より必ず新口座へ」「期日までに振り込みを」といった文言を使い、受け取った担当者に焦りや重要性を感じさせ、冷静な確認をさせないように仕向けます。
攻撃の兆候:見抜くべき「いつもと違う点」
この事例において、早期に攻撃を見抜くためには、いくつかの「いつもと違う点」や「怪しい点」に気づく必要がありました。経営者や従業員が日々の業務で注意すべき具体的な兆候は以下の通りです。
- メールアドレスの不審な点:
- 差出人のメールアドレスが、普段使っている取引先のアドレスと微妙に違う(例: ドメインのスペルミス、
.co.jpが.comになっている、会社名の後に余計な単語が入っているなど)。 - フリーメールアドレスが使われている(大企業や通常の取引でフリーメールが使われることは稀です)。
- 取引先の正式なドメインではなく、サブドメイン(例:
support.〇〇company.comなど)が使われているが、普段は使われないサブドメインである。
- 差出人のメールアドレスが、普段使っている取引先のアドレスと微妙に違う(例: ドメインのスペルミス、
- メール本文の不自然な点:
- 普段のやり取りと比べて、言葉遣いが不自然、あるいは丁寧すぎる・ぶっきらぼうすぎる。
- 日本語におかしな点がある(翻訳ツールを使ったような不自然な言い回しや誤字脱字)。
- 普段のメールに含まれる担当者名や署名がない、あるいは不完全である。
- 連絡手段として「メールでの返信」や「メールに記載された電話番号への連絡」を強く促し、普段の電話番号への連絡を避けようとする。
- 添付ファイルの不審な点:
- 添付ファイルの形式が普段と違う(実行ファイル[.exe]や圧縮ファイル[.zip]など、業務で頻繁に使わない形式)。
- ファイル名が不自然(例:
payment_urgent_final_ver2.pdfのように過度に緊急性や最終版であることを強調している、あるいは意味不明な文字列)。 - ファイルを開くように促す文言が、通常の案内と比べて強引である。
- 振込先情報の不審な点:
- 新しい振込先口座の金融機関や支店が、普段の取引で使われるものと大きく違う。
- 口座名義が、会社名ではなく個人名になっている、あるいは普段の取引先会社名と微妙に違う。
- 振込先変更の理由が不明確であるか、普段のやり取りでは考えられない理由が述べられている。
- 普段は電話や書面で行われるような振込先変更の通知が、突然メールだけで送られてきた。
これらの「いつもと違う点」は、どれか一つでも見つかれば「怪しい」と立ち止まり、確認するべき重要な兆候です。
事例から学ぶ教訓と対策のヒント
この事例から、私たち中小企業経営者や従業員がBEC攻撃の予防と早期発見のために学ぶべき教訓と、すぐに始められる対策のヒントは以下の通りです。
1. 「いつもと違う」に気づく意識を持つ(従業員への注意喚起)
最も重要で、コストをかけずにできる対策は、従業員一人ひとりが「いつもと違う」に気づき、立ち止まる習慣を身につけることです。
- BEC攻撃の手口を知る: この記事で紹介したような具体的な事例や手口を従業員と共有し、「このような詐欺がある」という認識を持ってもらうことが第一歩です。
- 不審なメールのチェックポイントを共有: 上記の「攻撃の兆候」で挙げたようなメールアドレス、本文、添付ファイル、振込先情報の不審な点をチェックリストのようにまとめて、意識的に確認するよう促します。
- 「怪しいと思ったら必ず相談」のルールを作る: 少しでも「おかしいな」「不安だな」と感じたら、一人で判断せず、必ず責任者や他の詳しい担当者に相談する、という社内ルールを徹底します。相談しやすい雰囲気作りも大切です。
2. 支払い手続きの「二重チェック」を徹底する(低コストで効果的)
振込先口座の変更を指示するメールを受け取った場合、特に以下の点を徹底します。
- メール以外の方法で正規の取引先に確認: メールへの返信や、受信したメールに記載されている電話番号への連絡は絶対に避けてください。攻撃者が返信を受け取ったり、偽の電話番号を記載している可能性があるためです。必ず、普段から利用している取引先の正式な電話番号や、企業の公式サイトに記載されている問い合わせ先などに電話で直接確認を取ります。「メールで振込先変更の指示を受け取ったのですが、間違いないですか?」と具体的に尋ねることで、なりすましを見抜くことができます。
- 社内での承認プロセスを強化: 重要な支払い、特に振込先変更を伴う支払いについては、担当者だけでなく、責任者や複数の担当者で情報を確認し、承認するプロセスを定めます。
3. 基本的なセキュリティ意識を高める
- 安易に添付ファイルを開かない: 見慣れない差出人からのメールや、内容に心当たりがないメールの添付ファイルは、安易に開かないよう注意します。特に、WordやExcel、PDFに見えても、開くと不正なプログラムが実行されるファイル形式もあるため注意が必要です。
- OSやソフトウェアを最新の状態に保つ: これにより、既知の脆弱性を悪用した攻撃を防ぐことができます。
まとめ
BEC攻撃は、特別な技術がなくても、日々の業務の隙間や人間の心理を突いて行われます。今回ご紹介した契約更新を悪用する手口のように、「いつも通り」に見せかけることで私たちの警戒心を解こうとします。
このような攻撃から会社を守るためには、高額なセキュリティシステムだけでなく、従業員一人ひとりが「もしかしたら詐欺かもしれない」と立ち止まる意識と、それを確認するための具体的な行動習慣を身につけることが何よりも重要です。
この事例から学んだ手口や兆候を参考に、ぜひ自社のBEC対策を見直し、従業員の皆さんと情報を共有してください。小さな意識の変化が、大きな被害を防ぐことに繋がります。