BEC攻撃事例ファイル - ドメインの「タイポ」を悪用！役員なりすましBEC攻撃の手口と見抜くべき兆候

ドメインの「タイポ」を悪用！役員なりすましBEC攻撃の手口と見抜くべき兆候

Tags: BEC攻撃, なりすまし, ドメイン偽装, 対策, 中小企業経営者, 事例

「BEC攻撃事例ファイル」をご覧いただきありがとうございます。本日は、中小企業が特に注意すべきBEC攻撃の一つである「ドメインのタイポ（タイプミス）」を悪用した役員なりすまし事例を取り上げ、その手口と見抜くべき兆候について詳しく解説いたします。

ドメインのタイポを悪用するBEC攻撃事例の概要

この事例は、ある中小企業の経理担当者に、会社の社長を名乗る人物から緊急の送金指示メールが届いたことから始まります。メールの内容は、M&Aに関連する極秘の支払いが急遽発生したため、指定された口座へ即座に大金を振り込むようにというものでした。

指示を受けた経理担当者は、送信元アドレスが社長の氏名になっていたため、疑うことなく対応しようとしました。しかし、普段の社長からの指示方法と異なる点があったため、念のため詳細を確認しようとした際に、決定的な「ある兆候」に気づき、被害を免れることができました。

騙しの手口：巧妙な「ドメイン偽装」

攻撃者が用いた主な手口は以下の通りです。

役員（社長）なりすまし: 送信者の氏名を会社の社長の名前と一致させ、メールの内容も社長しか知り得ないかのような機密性の高い取引（例：M&A、重要プロジェクト）を装いました。これにより、受信者（経理担当者など）に「社長からの指示に違いない」と強く信じ込ませようとしました。
緊急性・秘匿性の強調: 「これは極秘の情報である」「至急対応が必要」「電話での確認は避けるように」といった文言を使い、受信者が冷静に判断したり、周囲に相談したりする時間を与えないように仕向けました。
ドメイン名の微細な偽装（タイポ）: これがこの事例の最大の特徴です。攻撃者は、ターゲット企業の正規のメールアドレス（例：@〇〇-corp.co.jp）ではなく、それと非常によく似た、しかしごくわずかに異なるドメイン名を使用しました（例：@〇〇corp.co.jp - ハイフンがない、 @〇〇-corр.co.jp - p がキリル文字の р になっている、 @〇〇-corp.ne.jp - .co.jp が .ne.jp になっている、など）。人間は慣れ親しんだ文字列を読む際に、細部まで注意を払わない傾向があるため、この微細な違いに気づきにくいことを悪用したのです。
偽の送金先指定: 最終的に、攻撃者が管理する口座への送金を指示しました。

攻撃の兆候：見抜くべき「いつもと違う点」

この事例において、経理担当者が攻撃を見破るきっかけとなった、あるいは見抜くことができたであろう具体的な兆候は以下の点です。

送信元メールアドレスのドメイン名の微細な違い: これが最も重要な兆候です。一見、正規のドメイン名に見えても、アルファベットが一文字だけ違ったり、ハイフンが抜け落ちていたり、ドメインの末尾（.co.jp や .com など）が異なっていたりします。メールソフトによっては、表示名（社長の名前）しか見えず、完全なメールアドレスを確認しない設定になっている場合もあるため、必ず完全なメールアドレスを表示・確認する習慣をつけることが重要です。
普段と異なる言葉遣いや文体: なりすましているとはいえ、攻撃者が作成するメールは、本物の社長や役員の普段の言葉遣い、メールの書き方と微妙に異なる場合があります。親しい間柄であればあるほど、こうした違和感に気づきやすくなります。
普段の指示経路や承認プロセスからの逸脱: 通常、重要な送金指示はメールだけでなく、電話や対面、社内システムでの承認プロセスを経るなど、複数の手段や確認ステップがあるはずです。それがメール一通で完結し、しかも「電話での確認は禁止」といった制約がある場合は、強い警戒が必要です。
異常な緊急性や秘匿性の強調: 正当なビジネスにおいても緊急の対応が必要な場面はありますが、過度に「緊急」「機密」「他言無用」を強調し、冷静な判断を妨げようとするメールは、攻撃の可能性が高い兆候です。
過去の取引履歴と異なる送金先: これまで取引のない、あるいは情報が一致しない送金先が指定されている場合も、不審な点として見抜くことができます。

事例から学ぶ教訓と対策のヒント（コストをかけずにできること）

この事例から、私たち中小企業経営者や従業員が学ぶべき教訓と、すぐに実践できる対策のヒントは以下の通りです。

メールアドレスのドメイン名を必ず確認する習慣をつける: これが最も重要かつ、コストがかからない対策です。特に、役員や取引先からのメールで送金指示や重要な情報に関わる内容の場合、送信元メールアドレスのドメイン名が、普段の正規のものであるかを指差し確認するくらいの意識を持つことが大切です。メールソフトの設定で、常に完全なメールアドレスが表示されるように変更することも検討してください。
重要な指示については「二重チェック」体制を導入する: 特に金額の大きな送金など、会社の資産に関わる重要な指示については、メールだけでなく、電話やチャットツールなど、普段とは異なる別の手段を使って、本当に正規の指示元（役員や担当者）からのものなのかを直接確認するルールを設けてください。指示元の正規の電話番号は、メールの署名ではなく、会社の正式な名簿で確認するようにします。
「いつもと違う」に敏感になる従業員教育: 定期的にBEC攻撃の事例（本記事のような）を共有し、従業員一人ひとりが「いつもと違う点はないか？」という視点でメールをチェックする意識を高めることが重要です。不自然な日本語、普段と違う文体、緊急性を煽る内容など、小さな違和感を見逃さないように指導します。
送金先の確認手順を徹底する: 新しい取引先への送金や、既存取引先の振込先変更に関する指示があった場合は、必ず請求書や契約書と照合し、さらに可能であれば電話など別の手段で正規の担当者に確認を取る手順を設けてください。
怪しいと思ったらすぐに報告・相談できる風通しの良い組織文化を作る: 「もしかして騙されているかも？」という疑念を持った際に、一人で抱え込まず、上司や同僚にすぐに相談できる環境が必要です。「勝手に判断してはいけない」という意識だけでなく、「怪しいと思ったら必ず報告する」という行動指針を明確にしてください。

まとめ

ドメインのタイポを悪用したBEC攻撃は、見た目の巧妙さから見抜くのが難しい手口です。しかし、送信元メールアドレスのドメイン名を注意深く確認すること、そして重要な指示については必ず別の手段で確認するという基本的な手順を徹底することで、多くの被害を防ぐことが可能です。

中小企業には専任のセキュリティ担当者がいない場合も多いかと存じますが、経営者の方々が率先してこれらの対策の重要性を理解し、従業員の方々と情報共有することで、会社のセキュリティレベルは大きく向上します。本事例が、皆様の会社のBEC攻撃対策を見直すきっかけとなれば幸いです。