【事例】従業員の給与支払いを悪用するBEC攻撃：偽装指示の手口と見抜く兆候

従業員の給与支払いを悪用するBEC攻撃：偽装指示の手口と見抜く兆候

BEC（ビジネスメール詐欺）攻撃は、取引先や役員などになりすまして偽の送金指示を行うサイバー犯罪です。様々な手口が存在しますが、中には従業員の給与支払いという、企業にとって定期的かつ重要な業務を悪用するものがあります。

この記事では、従業員の給与支払いを狙うBEC攻撃の具体的な手口や、攻撃メールに見られる不審な兆候、そして中小企業経営者や従業員の方がコストをかけずにできる対策のヒントをご紹介します。この事例を通じて、巧妙化するBEC攻撃への警戒心を高め、被害を防ぐための知識を身につけていただければ幸いです。

事例の概要：給与支払いのタイミングを狙う攻撃

この種のBEC攻撃は、企業の経理担当者などが給与計算や振込準備を行っている時期に合わせて仕掛けられることがあります。攻撃者は、事前に企業のメールアドレスや従業員の情報を何らかの形で入手している可能性があります。

攻撃者は、経営者や役員、あるいは時には従業員本人になりすまし、経理担当者に対し給与支払いに関する緊急の指示をメールで送付します。例えば、「特定の従業員の給与額を変更してほしい」「退職した従業員への最終支払いだが、急遽振込先口座が変わった」「従業員の口座情報に誤りがあったので、こちらの新しい口座に振り替えてほしい」など、もっともらしい理由をつけて送金を促します。

経理担当者が、普段やり取りしている相手からのメールであると信じ込み、指示された通りに送金処理を行ってしまうと、企業の資金が攻撃者の手に渡ってしまいます。給与支払いは期日が決まっているため、担当者が焦りやすく、冷静な判断力が鈍る状況を狙った巧妙な手口と言えます。

騙しの手口：どのように被害者を欺くか

この事例における騙しの手口は、主に以下の要素を組み合わせたものです。

• 巧妙ななりすまし: 送信者名を役員名や経理担当者以外の従業員名にするだけでなく、メールアドレスも本物と見分けがつかないほど酷似させたものを使用します（例えば、ドメインのスペルを微妙に変えるなど）。アカウントが乗っ取られている場合は、完全に正規のメールアドレスから送信されます。
• 「緊急」「秘密」の強調: 「至急対応が必要」「この件は外部には漏らさないように」といった言葉で、担当者を急かせたり、他の担当者への相談をためらわせたりします。
• 具体的な偽装指示: 給与額の変更、特定の従業員への例外的な支払い、あるいは振込先口座の変更といった、具体的な支払い指示を行います。特に振込先が普段利用しない金融機関であったり、個人名義であったりする点が特徴です。
• 普段と違うコミュニケーション: 普段は電話や対面で指示があるような内容でも、「出張中で電話が難しい」「会議が立て込んでいるためメールで」などと理由をつけ、メールでのやり取りに限定しようとします。

これらの手口により、経理担当者は指示を疑うことなく、偽の振込先へ送金してしまうリスクが高まります。

攻撃の兆候：見抜くべき「いつもと違う点」

このようなBEC攻撃メールには、注意深く見れば気づくことができる「いつもと違う点」や「怪しい点」が潜んでいます。早期に攻撃を見抜くための具体的な手がかりは以下の通りです。

• メールアドレスの不審な点:
  • 送信者名とメールアドレスが一致しない（例：送信者名が「山田太郎」なのに、メールアドレスが「abcdef@gmail.com」のようなフリーメール）。
  • 会社の正規ドメイン（例：@yourcompany.com）に酷似しているが、微妙に異なるスペルになっている（例：@your-company.com, @yourcornpany.com など）。
  • 普段利用しないフリーメールアドレスが使われている。
• メール本文の不自然さ:
  • 日本語の表現が不自然である（翻訳ツールを使ったような言い回し、不正確な敬語、誤字脱字が多い）。
  • 普段のメールのトーンや言葉遣いと違う。
  • 署名が普段と違う、あるいは署名がない。
• 指示内容の違和感:
  • 普段の給与支払いの手続きやタイミングと異なる指示である。
  • 振込先が普段利用しない金融機関であったり、個人名義の口座であったりする。
  • 支払いを急かすような強い表現が使われている。
  • 電話での確認を拒否するような記述がある。
• その他の不審な点:
  • 添付ファイルが付いている場合、そのファイル名や形式が不審である。
  • 過去のメールのやり取りを不自然に引用している（メールアカウントが乗っ取られている可能性）。

これらの兆候は単独ではなく、複数組み合わさっていることが多いです。「なんとなくおかしいな」「いつもと違うな」と感じたら、それは重要なサインです。

事例から学ぶ教訓と対策のヒント

この事例から学び、中小企業がBEC攻撃の予防や早期発見のために講じるべき対策のヒントは以下の通りです。コストをかけずにできる対策を中心に考えましょう。

1. 「電話や直接の確認」を徹底するルール作り:
   • メールによる送金指示があった場合、特に普段と異なる振込先や金額、緊急の支払い指示については、必ず電話や対面など、メール以外の手段で指示元本人に確認を行うという社内ルールを定めます。役員が出張中など電話が難しい場合でも、携帯電話にかける、チャットツールで確認するなど、別の方法で必ず本人と直接コミュニケーションを取るようにします。このルールは、経理担当者だけでなく、支払いに関わる全ての従業員に周知徹底することが重要です。
2. 「いつもと違う」に気づくための意識向上:
   • 従業員全員に対し、BEC攻撃の手口や具体的な兆候について、定期的に注意喚起を行います。特にメールアドレスの確認方法（送信者名だけでなく、カッコ書きの中のメールアドレス本体を見る癖をつけるなど）や、不自然な日本語に気づくためのポイントなどを具体的に伝えます。「少しでも怪しいと思ったら、一人で判断せず、必ず責任者や他の担当者に相談する」という組織文化を醸成します。
3. メールソフトの表示設定の見直し:
   • 従業員が使用するメールソフトで、送信者名だけでなく、メールアドレス本体も常に表示されるように設定を変更することを推奨します。これにより、なりすましに使われたメールアドレスの不審な点に気づきやすくなります。
4. 経理業務のダブルチェック体制:
   • 特に金額が大きい送金や、普段と異なる振込先への送金については、担当者一人ではなく、複数の担当者で確認を行う体制を構築します。これにより、一人の担当者の見落としを防ぎ、不審な点に気づく確率を高めることができます。
5. 従業員の休暇や異動時の注意:
   • 経理担当者などが休暇中であったり、新しい担当者に引き継ぎが行われたりするタイミングは、攻撃者がその隙を突いてくる可能性があります。このような時期には、特にメールによる不審な指示がないか、より一層注意を払うように周知します。

これらの対策は、特別なITシステムを導入することなく、社内のルール作りや従業員の意識改革、確認の徹底によって実現できるものです。重要なのは、「メールだから大丈夫」と過信せず、常に警戒心を持つことです。

まとめ

従業員の給与支払いを悪用するBEC攻撃は、企業の重要な業務プロセスを狙った非常に悪質な手口です。しかし、攻撃メールに見られる不審な「兆候」に気づき、「いつもと違う」点を見逃さない注意深さ、そして何よりも「メールによる送金指示は必ず別の手段で確認する」という基本的なルールを徹底することで、多くの被害は防ぐことが可能です。

中小企業においては、限られたリソースの中でセキュリティ対策を行う必要があります。高額なシステム導入よりも、まずは従業員一人ひとりのセキュリティ意識を高め、組織として確認を怠らない体制を構築することから始めるのが現実的かつ効果的です。

この記事が、皆様の会社のBEC攻撃対策の一助となれば幸いです。常に最新の脅威情報に注意を払い、警戒を怠らないようにしましょう。