BEC攻撃事例ファイル

「電話で話した通り」に騙されるな！電話とメールを悪用するBEC攻撃の手口と見抜く兆候

「電話で話した通り」に騙されるな！電話とメールを悪用するBEC攻撃の手口と見抜く兆候

BEC攻撃（ビジネスメール詐欺）は、巧妙な手口で企業から金銭をだまし取る深刻なサイバー犯罪です。その手口は日々進化しており、単に偽のメールを送るだけでなく、他の手段と組み合わせて被害者を信じ込ませようとするケースも増えています。

この記事では、「電話でのやり取り」を悪用する、より巧妙なBEC攻撃の事例を取り上げます。電話で一度接触し、その後のメールで騙そうとする手口を知ることで、貴社のBEC攻撃対策を強化するヒントを得ていただければ幸いです。

事例の概要と巧妙な手口

この事例では、攻撃者はまず標的企業の担当者に電話で接触します。この電話で、取引先の担当者や、社内の関係者などを名乗ります。そして、「〇〇の件で、近く重要な送金依頼をする必要がある」「担当の〇〇さんが不在なので、私が代わりに連絡する」といった内容を伝えます。時には、具体的なプロジェクト名や関係者名など、事前に収集した情報を織り交ぜることで、電話の信憑性を高めようとします。

電話の目的は、被害者に「電話で話した内容だから正しいだろう」という安心感や既成事実を与えることです。人は、一度直接話した相手からの連絡に対して、警戒心が薄れる傾向があります。

数時間後、あるいは翌日に、攻撃者は電話で伝えた内容を「確認」するかのように、偽のメールを送付します。このメールは、電話で名乗った人物になりすましています。メールの件名や本文には「電話で申し上げた件ですが」「先ほどお電話させていただいた〇〇です」といった文言が含まれ、電話でのやり取りがあったことを強調します。

そして、メールの本文中に具体的な送金指示が記載されています。通常とは異なる銀行口座や送金金額、急ぎの期日などが含まれていることが特徴です。添付ファイルとして偽の請求書が含まれることもあります。

このように、攻撃者は「電話で直接話す」という心理的な隙と、「メールによる指示」というBECの典型的な手法を組み合わせることで、被害者をより効果的にだまそうと試みるのです。

この事例に見る攻撃の兆候

このような電話とメールを組み合わせたBEC攻撃には、見抜くための複数の兆候が隠されています。特に注意すべき点を以下に挙げます。

• 電話での不審な兆候:

  • 普段連絡を取らない番号からの電話である。
  • 電話をかけてきた相手の声や話し方が普段と違う、あるいは不自然に聞こえる。
  • 具体的な質問に対して曖昧な回答をしたり、すぐに電話を切ろうとしたりする。
  • 「電話が遠い」「電波が悪い」などと理由をつけて、詳しい話や折り返しの電話に応じない。
  • 電話の内容が、直前の状況や普段の取引の流れとどうも辻臠が合わない。

• メールでの不審な兆候:

  • 送信元のメールアドレスが、正規のアドレスと微妙に違う（例：ドメイン名のスペルミス、余分な記号、フリーメールアドレス）。
  • 差出人名は正規の人物名だが、メールアドレスが全く関係ない。
  • 日本語の表現が不自然だったり、誤字脱字が多かったりする。
  • 普段メールが来ない時間帯（深夜や休日など）に送られてくる。
  • 件名に「緊急」「重要」「至急」といった必要以上に切迫感を煽る言葉が含まれる。
  • メールの内容が、電話で話した内容と微妙に異なったり、唐突すぎたりする。
  • 送金先の銀行口座や名義、金額、通貨が普段と異なる。
  • 送金の手続きについて、「担当者が変わったので」「急ぎのため確認は不要」といった、通常とは異なる指示がある。
  • 添付ファイル名が不自然だったり、身に覚えのないファイルが添付されていたりする。

• 電話とメールの連携における兆候:

  • 電話で相手が名乗った名前と、メールの署名が一致しない。
  • 電話の相手が「〇〇というアドレスからメールを送ります」と言ったのに、実際に届いたメールのアドレスが違う。
  • 電話で話した内容と、届いたメールの内容に矛盾がある。
  • 電話の相手が「〇〇さんに確認済み」と言うが、〇〇さんに直接確認するとそんな事実はない。

これらの「いつもと違う点」「怪しい点」に一つでも気づいたら、それは攻撃の兆候かもしれません。

事例から学ぶ教訓と対策のヒント

この事例から学ぶべき最も重要な教訓は、「電話で話した相手からのメールだからといって、鵜呑みにしてはならない」ということです。攻撃者は、電話で信頼を勝ち取ろうとした後に、偽のメールで具体的な指示を出します。電話があったことで安心せず、その後のメールや指示についても冷静に確認を行う必要があります。

読者ペルソナである中小企業経営者やその従業員の皆様が、この事例から学び、低コストでできる対策のヒントを以下に示します。

1. 「二重確認ルール」の徹底:

   • 送金指示や、いつもと異なる取引に関する依頼、秘密情報の開示など、重要な依頼があった場合は、必ず「別の方法」で「正規の担当者」に確認を取るというルールを徹底してください。
   • 具体的には、電話で指示があったら、正規のメールアドレスや普段使っているチャットツールで確認のメッセージを送る。メールで指示があったら、正規の電話番号にかけて確認するなどです。この「別の方法」での確認が、攻撃を見抜くために非常に有効です。
   • 特に、送金先の変更や新規の送金依頼があった場合は、いかなる理由があっても必ず別の方法で確認することを、社内の経理担当者や送金に関わる全ての従業員に徹底させてください。

2. 「いつもと違う」点への意識向上:

   • 受信したメールについて、送信元のアドレス、差出人名、件名、本文の言い回し、送金先、手続き、時間帯など、普段のやり取りと比べて少しでも違和感がないか、常に意識する習慣をつけましょう。
   • 電話についても、普段かかってこない番号や、声や話し方の違和感に気づくことが重要です。「何か変だな」と思ったら、すぐに立ち止まり、正規の連絡手段で相手に確認を取り直してください。

3. 従業員への定期的な注意喚起と教育:

   • 今回の事例のような「電話とメールを組み合わせた手口」があることを、従業員全体に周知徹底してください。
   • 「電話で話したから大丈夫だと思わないこと」「重要な指示は必ず二重確認すること」「少しでも怪しいと思ったら誰かに相談すること」といったメッセージを、定期的に繰り返し伝えてください。
   • 大げさな研修でなくとも、朝礼での一言、社内掲示、簡単な回覧などで十分効果があります。特に、経理や営業、総務など、外部とのやり取りが多い部署には重点的に注意喚起を行いましょう。

4. 役員や担当者の不在時の情報共有と注意喚起:

   • 経営者や経理担当者など、攻撃者に狙われやすい立場の人物が長期休暇や出張などで不在になる際は、事前に社内で情報共有を行い、「この期間は〇〇さんからの緊急の依頼には特に注意が必要」といった形で、警戒すべき点を明確にしておくことも有効です。

これらの対策は、特別なシステム投資を必要とせず、組織内のコミュニケーションのルール整備と意識の向上によって実現可能です。

まとめ

「電話とメールを悪用するBEC攻撃」は、被害者の心理的な隙を突く巧妙な手口です。電話で安心感を与え、その後メールで送金指示を出すという二段階のアプローチは、従来のBEC攻撃よりも見破りにくい場合があります。

しかし、今回の事例で紹介したような、電話やメール、そして電話とメールの内容の間の「いつもと違う点」や「怪しい点」に注意を払うことで、攻撃の兆候に気づくことができます。

そして、何よりも重要なのは、「重要な依頼は、必ず別の方法で正規の相手に確認を取る」という二重確認のルールを組織全体で徹底することです。コストをかけずにできる基本的な対策をしっかりと行い、従業員一人ひとりのセキュリティ意識を高めることが、巧妙化するBEC攻撃から会社を守るための鍵となります。