【事例】重要な設備購入を騙るBEC攻撃:偽装請求書と振込先変更の手口と見抜く兆候
中小企業の皆様にとって、事業拡大や効率化のための設備投資は重要な経営判断の一つです。しかし、こうした高額な取引は、残念ながらBEC(ビジネスメール詐欺)攻撃の格好の標的となり得ます。攻撃者は、進行中の取引に関する情報を盗み見たり推測したりして、巧妙な手口で会社の資金を騙し取ろうとします。
今回は、「重要な設備購入」という文脈で発生したBEC攻撃の事例を取り上げ、その手口、見抜くべき兆候、そして皆様が今日からできる対策について解説します。このような事例から学ぶことは、今後のBEC攻撃被害を防ぐために非常に役立ちます。
事例の概要:高額設備投資を狙われた攻撃
ある中小企業が、事業に必要な新しい製造設備の導入を進めていました。設備の選定、価格交渉を経て、信頼できる取引先(設備メーカー)との間で最終的な契約手続きと代金支払いに進む段階でした。
まさにそのタイミングで、会社の経理担当者の元に、これまでやり取りをしていた取引先の担当者名義で一通のメールが届きました。メールの内容は、設備の代金に関する振込先が急遽変更になったというものでした。
騙しの手口:偽装請求書と緊急の振込先変更指示
この事例における攻撃者の手口は、以下のように巧妙でした。
- 取引先担当者へのなりすまし: 攻撃者は、会社の担当者と実際にやり取りしている取引先の担当者名を使い、あたかも正規の連絡であるかのように装いました。多くの場合、メールアドレスも正規のアドレスと非常によく似た、一見区別がつきにくいものが使用されます。
- 進行中の取引の悪用: まさに設備購入の最終段階という状況を突いて、「〇〇設備購入代金のお振込みについて」といった具体的な件名を使用し、受信者が違和感を抱きにくいようにしていました。
- 偽の振込先情報を含むメール: メールの本文中で、会社の合併や銀行システムの変更など、もっともらしい理由を付けて振込先口座が変更になったと説明し、新しい振込先情報(多くの場合、攻撃者が用意した口座)を提示しました。以前に正規の取引で受け取った請求書の情報を一部改変した偽の請求書ファイルを添付したり、メール本文中に振込先を記載したりする手口があります。
- 緊急性の強調: 「本日中に」「期日厳守でお願いします」といった、支払いを急かす文言を盛り込み、受信者に確認する時間を与えないように仕向けました。
攻撃の兆候:見抜くべき「いつもと違う点」
幸いにも、この事例では攻撃が見破られ、被害には至りませんでした。攻撃を見抜くきっかけとなったのは、メールの中に含まれていたいくつかの「いつもと違う点」「怪しい点」でした。これらの兆候は、BEC攻撃を早期に発見するための重要な手がかりとなります。
- 送信元メールアドレスの微細な違い: 表示されている名前は正規の取引先担当者名でしたが、詳細なメールアドレスを確認すると、正規のアドレスのドメイン名(@以下)が微妙に異なっていました。例えば、正規が「@〇〇-corp.co.jp」であるのに対し、偽装メールでは「@〇〇-corp.com」や「@〇〇corp.co.jp」(ハイフンが無い)など、一見気づきにくい違いがあることがあります。
- 振込先情報の不自然さ: 提示された新しい振込先口座が、今まで取引していた銀行や支店とは全く異なるものでした。さらに、口座名義が会社名ではなく個人名になっていたり、海外の銀行口座であったりするケースは、非常に強い警戒信号です。
- 不自然な日本語表現や言い回し: メール本文の言葉遣いが、普段の取引先の担当者や会社のフォーマルなトーンと異なっていたり、翻訳ツールを使ったような不自然な日本語が含まれていたりすることがあります。
- 手続きの不自然さ: 通常、振込先のような重要情報が変更になる場合は、事前に電話での連絡があったり、書面での正式な通知があったりするものです。それが、突然メール一通で済まされている点に不自然さを感じました。
- 過度な緊急性の強調: 普段の取引では考えられないような急な対応(例: メールを受け取ったその日の午前中までに振り込め、など)を執拗に求めてくる場合、冷静に疑ってかかる必要があります。
事例から学ぶ教訓と対策のヒント
この事例から、私たち中小企業がBEC攻撃から身を守るために何をすべきか、具体的な対策のヒントが得られます。コストをかけずに、すぐにでも始められる対策も多くあります。
- メールの「送信元アドレス」を常に確認する習慣をつける: メール本文の差出人名だけでなく、表示されているメールアドレス全体を必ず確認する習慣をつけましょう。特に重要な支払いに関するメールの場合は、正規のアドレスと一字一句同じか、常に注意深くチェックしてください。
- 振込先変更の連絡は「別ルート」で必ず確認する: これが最も重要かつ効果的な対策の一つです。メールで振込先の変更連絡を受け取った場合は、そのメールに返信するのではなく、事前に把握している正規の電話番号(過去の請求書や会社の公式ウェブサイトに記載されているものなど)にかけて、担当者に直接確認を取ってください。メール本文や添付ファイルに記載されている電話番号は、攻撃者が用意した偽の番号である可能性が高いため使用しないでください。
- 請求書の内容を細部まで確認する: 添付されている請求書やメール本文に記載された振込先情報は、過去の正規の請求書や契約書と照らし合わせて、相違がないか確認してください。特に、金額、振込先銀行名、支店名、口座番号、口座名義がいつも通りか確認しましょう。
- 高額な取引の承認フローを明確にする: 高額な支払いを伴う取引については、一人の担当者だけでなく、複数の担当者や経営層が承認する体制を構築しましょう。これにより、一つの見落としが大きな被害につながるリスクを減らせます。
- 従業員への注意喚起と教育を継続する: BEC攻撃の手口は常に変化します。定期的に従業員に対してBEC攻撃の存在、具体的な手口や兆候、そして不審なメールを受け取った際の対応手順(勝手に判断せず、必ず報告・相談することなど)について周知徹底することが非常に重要です。これはコストをかけずに行える最も基本的な対策です。今回の事例のような具体的なケースを共有するのも有効です。
- 社内での重要な連絡手順を定める: 例外的な支払い指示や振込先変更など、普段と異なる重要な指示があった場合の社内での確認・承認フローを明確に定めておきましょう。
まとめ
重要な設備購入のような高額取引は、BEC攻撃者が特に狙いやすい機会です。今回の事例からわかるように、攻撃者は巧妙になりすましを行い、進行中の取引に関する情報を悪用して、偽の振込先への送金を促します。
被害を防ぐためには、メールアドレスの注意深い確認、振込先変更連絡を受けた際の「別ルートでの確認」、そして高額取引に関する複数人でのチェック体制などが不可欠です。そして何より、経営者自身と従業員全員がBEC攻撃のリスクを認識し、常に「おかしいな?」と感じる点がないか注意を払うこと、そして疑わしい場合は必ず正規の方法で確認する習慣を身につけることが、最も効果的な対策となります。
自社の資産を守るためにも、日頃から警戒を怠らず、今回の事例から得られた教訓を活かして、BEC対策の強化に取り組んでいきましょう。