【事例】従業員アカウント乗っ取りを起点とするBEC攻撃:社内なりすまし手口と見抜く兆候
従業員アカウント乗っ取りが引き起こすBEC攻撃とは
BEC攻撃(ビジネスメール詐欺)は、取引先や経営者などになりすまして偽のメールを送ることで、金銭を騙し取ろうとするサイバー犯罪です。これまで外部からのなりすまし事例を中心にご紹介してきましたが、攻撃者は社内のアカウントを乗っ取り、従業員になりすまして攻撃を仕掛けてくるケースも増加しています。
特に中小企業では、従業員一人ひとりのアカウントが、そのまま組織全体のリスクにつながる可能性があります。本記事では、従業員のメールアカウントが乗っ取られることから始まるBEC攻撃の手口、その具体的な兆候、そして私たち中小企業がこの脅威から身を守るためにできる対策について解説します。
事例の概要と騙しの手口
この種のBEC攻撃事例では、まず攻撃者が何らかの方法で企業の従業員(例えば営業担当者や総務担当者)のメールアカウントの認証情報を入手し、そのアカウントを乗っ取ります。認証情報の入手経路としては、フィッシングメールによるだまし取りや、情報漏洩したリストの悪用などが考えられます。
アカウントを乗っ取った攻撃者は、その従業員本人になりすまして、社内の他の従業員、特に経理担当者や経営層に向けて偽のメールを送信します。
具体的な騙しの手口としては、以下のようなものがあります。
- 緊急の送金指示: 乗っ取ったアカウントから経理担当者宛てに、「〇〇プロジェクトの支払いが緊急で必要になった」「海外の取引先への支払いが遅れている」といった理由をつけ、普段とは異なる口座への送金を指示するメールを送ります。送信元が正規の従業員アカウントであるため、受信者は疑いにくい状況が生まれます。
- 情報提供の要求: 特定の顧客リストや契約書、パスワード情報など、機密性の高い情報の提供を求めるメールを別の従業員に送信します。「このデータを使って緊急の会議資料を作成する必要がある」「システム移行のために確認が必要」といった理由が使われることがあります。
- 振込先口座の変更指示: 実際に存在する取引との関連性を装い、正規の取引先に支払う際の振込先口座を、攻撃者が指定する口座に変更させるよう指示するメールを、経理担当者や担当の従業員に送ります。
これらの手口の共通点は、正規の従業員アカウントから送信されるため、形式上は不審な点が少なく見え、受信者がメールの内容を信用しやすいという点です。攻撃者は、乗っ取ったアカウントの過去のメール履歴を参考にすることで、より自然で説得力のある文面を作成しようとします。
攻撃の兆候:ここに気づけば被害を防げる
従業員アカウントからのBEC攻撃は、一見して正規のメールと区別がつきにくいため厄介ですが、注意深く観察すれば、必ず「いつもと違う点」や「怪しい点」が存在します。これらの兆候に気づくことが、被害を未然に防ぐ鍵となります。
この事例において見抜くべき具体的な兆候は以下の通りです。
- メール内容の些細な不自然さ:
- 言葉遣いや敬称: 普段のその従業員が使わないような丁寧すぎる言葉遣いや、逆に不自然な敬称(例:「〇〇様」と送るはずが「〇〇さん」になっている、あるいはその逆)が使われている場合があります。
- 文法や表現: 翻訳ツールを使ったような不自然な日本語や、普段とは異なる言い回しが散見されることがあります。
- 署名: 普段メールの最後に記載されている署名がなかったり、記載内容が異なっていたりする場合があります。
- 指示や要求の不自然さ:
- 唐突な指示: これまでのやり取りや業務の流れとは関係なく、突然、送金や情報提供といった重要な指示が来る。
- 理由付けの不自然さ: 指示の理由が曖昧であったり、通常では考えにくいような状況(例:「電話が壊れた」「インターネット環境がない」など)を理由に、メールでのやり取りのみを強く求めてくる。
- 緊急性の過剰な強調: 「至急」「本日中」「このメールにすぐ返信を」など、不必要に緊急性を煽り、確認や冷静な判断をする時間を与えないように仕向ける。
- 普段と異なる手続き: 通常は電話や対面で確認してから行うような重要な送金や手続きを、メールのみで完結させようとする。
- 送金先や金額の不一致: 送金指示の場合、過去の取引履歴にない、または金額が大きく異なる振込先が指定されている。
- 送信状況の不審な点(従業員側が気づく可能性):
- 自分の知らないメールが送信済みアイテムに入っている。
- 過去のメール履歴が消去されている、あるいは不自然に移動されている。
- アカウントに設定した覚えのない自動転送設定がされている。
これらの兆候の多くは、一見すると見過ごしてしまいそうな小さな違和感かもしれません。しかし、日頃から「いつものパターン」を意識し、「おかしいな」と感じるセンサーを働かせることが極めて重要です。
事例から学ぶ教訓と対策のヒント
この従業員アカウント乗っ取りを起点とするBEC攻撃事例から学ぶべき最大の教訓は、「正規の送信元に見えるメールでも、内容を鵜呑みにしてはいけない」ということです。そして、その対策は決して特別なシステム導入だけではありません。コストをかけずに、組織内の意識と行動を変えることで、多くのリスクを軽減できます。
中小企業経営者や従業員が取るべき具体的な行動、注意点としては以下が挙げられます。
- 「いつもと違う」に気づく感度を高める(従業員全員に周知): 上記で述べたような、言葉遣いや表現、指示内容、時間帯などの些細な不自然さに気づけるよう、従業員全員で注意点を共有することが重要です。定期的に「こんなメールに注意しましょう」と注意喚起のメールを送ったり、ポスターを掲示したりするだけでも効果があります。
- 「二重確認のルール」を徹底する(特に経理・総務部門):
- メールでの送金指示や振込先変更指示は、必ず電話や別の手段で本人に確認する。 これが最も重要かつ効果的な対策です。メールに記載された電話番号ではなく、普段から使っている電話番号や、社内名簿に記載されている番号にかけ直して確認します。
- 機密情報の提供を求められた場合も、同様に電話などで本人に確認する。
- この確認ルールは、たとえ相手が経営者であっても省略しないことを徹底します。
- パスワード管理の徹底と多要素認証の検討: アカウント乗っ取りの入り口を防ぐため、従業員各自が強力なパスワードを設定し、使い回しをしないように指導します。可能であれば、メールシステムにログインする際に、IDとパスワードだけでなく、スマートフォンアプリなどで認証コードを入力する「多要素認証」の導入を検討します。導入にはコストがかかる場合もありますが、アカウント乗っ取りのリスクを大幅に低減できます。
- 不審なメール・事象の報告体制: 不審なメールや、自分のアカウントから身に覚えのないメールが送信されているなどの異常に気づいたら、すぐに上司や担当者に報告できる仕組みを作ります。一人で抱え込まず、組織として情報を共有し、連携して対応することが重要です。
これらの対策は、ITの専門知識がなくても理解・実施できるものがほとんどです。「面倒だな」と感じる確認作業が、数百万、数千万円という被害を防ぐことにつながるのです。
まとめ
従業員アカウント乗っ取りを起点とするBEC攻撃は、正規のアカウントが使われるため非常に巧妙です。しかし、「メール内容の不自然さ」や「指示・要求内容の不自然さ」といった兆候に気づき、「重要な指示はメールだけでなく別の手段でも確認する」という基本的なルールを徹底することで、多くの攻撃を防ぐことが可能です。
特別なシステム投資が難しい中小企業様においても、従業員への注意喚起と、重要な手続きにおける「確認のひと手間」を習慣づけることが、BEC攻撃対策の有効な一歩となります。本記事で解説した事例と対策のヒントを参考に、ぜひ皆様の会社でも従業員の皆様とセキュリティ意識を共有し、対策を強化していただければ幸いです。