BEC攻撃事例ファイル

【事例】従業員の緊急事態を騙るBEC攻撃：見抜くべき巧妙な手口と兆候

従業員の「緊急事態」を装うBEC攻撃の危険性

BEC攻撃（ビジネスメール詐欺）は、会社の取引先や役員になりすまし、経理担当者などに偽の送金指示を行う詐欺の手法です。多くの場合、巧妙なメールを使い、心理的な隙や確認不足を突いてきます。

これまでの事例では、取引先への支払いや役員への送金などが一般的でした。しかし、最近では、より心理的に見抜きにくい手口も確認されています。その一つが、「従業員の緊急事態」を装ったBEC攻撃です。

この手口は、従業員が海外出張中であったり、個人的なトラブルを抱えていたりする状況を悪用し、経営者や経理担当者に対して、その従業員本人または関係者を装って「緊急の支払いが必要になった」と連絡してくるものです。

この記事では、この「従業員の緊急事態」を騙るBEC攻撃の手口と、どのような点に注意すれば早期に見抜けるのか、そしてコストをかけずにできる対策について解説します。あなたの会社を守るために、ぜひ最後までご確認ください。

事例分析：従業員の緊急事態を騙るBEC攻撃の手口と具体的な兆候

ある中小企業で実際に起こりうる、このタイプのBEC攻撃のシナリオを考えてみましょう。

事例の概要

会社の営業担当者が海外へ出張しています。その出張中に、経理担当者のもとに、その営業担当者の名前でメールが届きました。メールの内容は、「出張先で予期せぬ事故に遭い、緊急の医療費が必要になった。現金がないため、会社に立て替えて送金してほしい」というものでした。メールは非常に焦っている様子で書かれており、「一刻も早く」と送金を急かしています。

騙しの手口

この攻撃者は、以下のような手口を使って経理担当者を欺こうとします。

1. 従業員へのなりすまし: 送信者名を、海外出張中の営業担当者の名前に設定します。メールアドレスは、その従業員の会社のアドレスと非常に似たものを使いますが、よく見ると一部が異なっています（例：「@〇〇.co.jp」が「@〇〇.com」になっている、アルファベットが一文字だけ違うなど）。
2. 具体的な「緊急事態」の捏造: 事故に遭った、病気になった、法律的なトラブルに巻き込まれたなど、もっともらしい緊急事態を具体的に描写します。これにより、被害者の同情や焦りを誘います。
3. 緊急性の強調: 「すぐに」「一刻も早く」「手続きしないと大変なことになる」など、強い緊急性を示す言葉を使い、冷静な判断を妨げます。
4. イレギュラーな送金方法の指示: 通常の経費精算プロセスを経ずに、特定の個人名義の銀行口座や、普段取引のない海外の銀行口座への送金を指示します。「現地の病院に直接支払う必要がある」「すぐに手配しないと入院できない」といった理由をつけます。
5. 電話での確認を避ける誘導: 「事故で電話が繋がりにくい」「病院にいるため電話できない」など、本人に直接電話で確認されるのを避けるための言い訳が添えられていることがあります。

攻撃の兆候（見抜くべき「いつもと違う点」）

このようなメールを受け取った際に、「おかしい」と気づくための具体的な兆候はいくつかあります。

• 送信元メールアドレスの微細な違い: 従業員の名前になっているものの、メールアドレスをよく確認すると、会社の正規のアドレスと異なっています。これはBEC攻撃で最も多い兆候の一つです。
• 普段と異なる文体や言葉遣い: 従業員の普段のメールとは、言葉遣いや丁寧さ、あるいは日本語の表現に不自然な点がある場合があります。特に、海外からのメールであれば、日本語が怪しいこともあります。
• 不自然な緊急性の強調: 通常の会社の業務フローでは考えられないほど、異常に送金を急かす指示が含まれています。
• 通常の経費精算プロセスからの逸脱: 通常、従業員が立て替え払いを依頼する場合、正式な申請書や領収書などの提出が求められます。このメールでは、そのような正規の手続きを完全に無視して、即時の送金を求めています。
• 普段使用しない送金先の指定: 会社の経費を個人名義の口座や、過去に取引のない海外口座に振り込むよう指示されることは通常ありえません。
• 電話確認ができない状況の強調: メール内で、あたかも本人と連絡が取れないかのように誘導されている場合、より注意が必要です。

これらの兆候は、単独で見られることもありますが、複数組み合わされていることが多いです。少しでも「いつもと違う」「何かおかしい」と感じたら、すぐに立ち止まることが重要です。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃の予防や早期発見のためにどのような点に注意し、どのような対策を講じるべきか、特にコストをかけずにできる基本的な対策に焦点を当てて考えてみましょう。

コストをかけずにできる対策

1. 「二段階認証」としての複数人承認ルール: 金銭の支払い、特に送金指示については、必ず最低二名以上の担当者で承認するルールを徹底してください。経理担当者が一人で判断せず、経営者や別の担当者に必ず確認を取るようにします。このルールは、少額の送金についても適用することが望ましいです。
2. 「電話」など別の手段での本人確認の徹底: メールで送金指示が来た場合、メールに記載されている内容を鵜呑みにせず、メール以外の手段（電話など）で指示の本当の依頼主（この事例では海外出張中の従業員本人）に直接確認を取ることを必須とします。この際、メールに書かれている電話番号ではなく、普段から知っている正規の電話番号を使用します。本人と電話が繋がらない場合は、安易に送金しない判断をしてください。
3. 「緊急」指示に対する冷静な確認習慣: 攻撃者は「緊急」「至急」といった言葉で冷静な判断力を奪おうとします。このような言葉が含まれるメールほど、「本当に緊急なのか」「通常のプロセスと違う点はないか」と立ち止まって確認する習慣を従業員全体で持つことが重要です。
4. 従業員へのBEC攻撃に関する注意喚起と教育: BEC攻撃の手口が存在すること、特に自分の名前や会社の状況が悪用される可能性があることを、従業員全体に周知します。不審なメールの特徴（メールアドレスの確認、不自然な日本語、緊急性を煽る内容など）を具体的に伝え、少しでも怪しいと感じたら必ず報告・相談するよう徹底します。
5. メールアドレスの確認を癖にする: 受信したメールの送信者名だけでなく、表示されているメールアドレス全体を常に確認する習慣をつけます。スマートフォンの表示などでは見落としやすいため、注意が必要です。
6. 「報連相」の徹底と風通しの良い組織文化: 不審なメールや「いつもと違う」と感じるやり取りがあった際に、一人で抱え込まず、すぐに上司や同僚に報告・相談できる環境を作ることが重要です。社内で情報共有することで、他の従業員も同じような攻撃を受けていないか確認でき、早期発見につながります。

組織内で意識すべき行動指針

• 会社の正規の支払い・経費精算プロセスを明確にし、従業員に周知徹底する。イレギュラーな支払いや通常と異なる手続きでの指示には、特別な確認プロセスを設ける。
• 金銭に関わる重要な指示は、メールだけでなく、電話や対面など複数の手段で確認し合うことをルール化する。
• 従業員の海外渡航時や、社内で共有されている個人的な緊急事態が発生している期間は、特に不審な連絡が増える可能性があることを意識しておく。

まとめ

「従業員の緊急事態」を騙るBEC攻撃は、人情や善意につけ込む巧妙な手口です。しかし、今回解説したような「メールアドレスの微細な違い」「不自然な日本語」「通常のプロセスと異なる点の確認」「本人への別手段での確認」といった基本的な注意点を徹底することで、被害を防ぐ可能性は格段に高まります。

IT専門知識がない場合でも、これらの確認作業や社内での情報共有、そして「おかしい」と感じたら立ち止まる冷静な判断力は、BEC攻撃に対する非常に有効な防御策となります。

高額なセキュリティシステムを導入する前に、まずは従業員一人ひとりの意識向上と、シンプルながらも効果的な社内ルールの整備から始めることができます。この記事でご紹介した事例と対策のヒントを、ぜひ貴社のセキュリティ対策にお役立てください。