BEC攻撃事例ファイル

【事例】経費精算を騙るBEC攻撃：巧妙な手口と見抜く不審な兆候

経費精算を騙るBEC攻撃とは？中小企業経営者が知っておくべきリアルな脅威

BEC（ビジネスメール詐欺）は、巧妙ななりすましメールを使い、企業の担当者を欺いて不正な送金や機密情報の詐取を行うサイバー犯罪です。特に中小企業は、人的リソースやセキュリティ対策が十分でないことが多く、攻撃者にとって狙いやすい標的とされています。

これまで役員や取引先になりすます手口が多く見られましたが、最近ではより日常的な業務、例えば「経費精算」を悪用するBEC攻撃も確認されています。今回は、この経費精算を騙るBEC攻撃の手口と、中小企業経営者や従業員がどのように不審な兆候を見抜き、対策を講じるべきかについて解説します。

事例の概要：経費精算申請を装った不審なメール

ある中小企業で、経理担当者の元に、普段から経費精算申請を行う従業員を名乗るメールが届きました。件名は「〇月分の経費精算のお願い」といった、ごく日常的なものです。

メール本文には、「先日の出張費の精算をお願いします」「詳細は添付ファイルをご確認ください」といった内容が記載されており、最後に特定の銀行口座への振り込みを指示していました。普段の業務メールに紛れて届いたため、経理担当者はすぐに疑うことなく対応しようとしました。

騙しの手口：日常業務に紛れ込む巧妙さ

この事例における攻撃者の手口は、以下の点で巧妙でした。

• 日常業務の悪用: 経費精算という、企業内で日常的に行われている業務プロセスを悪用しています。これにより、メールが届いても違和感を抱きにくくなります。
• なりすましの精度: 従業員や役員のアカウント（またはそれに酷似したメールアドレス）になりすますことで、受信者（経理担当者など）に信頼感を与えます。メールアドレスのドメイン名を微妙に変える「タイポスクワッティング」の手法が使われることもあります。
• 自然な件名と本文: 普段やり取りされる経費精算メールの件名や本文のパターンを真似ています。これにより、パッと見では攻撃メールだと判断しにくいようにしています。
• 添付ファイルの偽装: 偽の申請書や領収書のスキャン画像を装ったファイルが添付されることがあります。これを開かせることでマルウェアに感染させたり、偽の情報を信じ込ませようとします。
• 緊急性の演出: 「月末までに」「急ぎで処理をお願いします」など、処理を急かす文言を含めることで、担当者に確認作業を怠らせようとします。
• 普段と異なる振込先の指示: 経費精算では通常、従業員個人の口座に振り込まれますが、攻撃では攻撃者が管理する口座（個人名義や海外口座など）が指定されます。

攻撃の兆候：いつもと違う「不審な点」を見抜く

このような経費精算を騙るBEC攻撃メールには、よく見ると「いつもと違う点」「怪しい点」が隠されています。中小企業経営者や従業員がこれらの兆候を見抜くことが、被害を防ぐ鍵となります。

この事例や他の経費精算を騙る攻撃でよく見られる兆候は以下の通りです。

• 送信元メールアドレスの微妙な違い:
  • 従業員の氏名表示は正しいが、メールアドレスのドメイン名が会社の正式なドメインと微妙に異なる（例: @yourcompany.co.jp が @yourcompany-jp.com、@yurcompany.co.jp など）。
  • GmailやYahoo!メールなどのフリーメールアドレスから送信されている。
  • 過去のメールと見比べると、アドレスが少しだけ違う。
• メール本文の不自然さ:
  • 普段のやり取りと異なる不自然な敬語や言い回し、日本語の誤りが多い。
  • 経費の内容が曖昧だったり、普段の申請金額とかけ離れていたりする。
  • 普段は経費精算システム経由で申請しているのに、メールで直接指示が来ている。
  • 不自然に処理を急かしている。「すぐに対応してください」「電話ではなくメールでお願いします」といった文言。
• 指定された振込先の不審さ:
  • 普段経費精算で利用しない銀行口座が指定されている。
  • 個人名義の口座や、海外の銀行口座が指定されている。
  • 名義や口座番号に誤りがある、または普段の申請と異なる情報が記載されている。
• 添付ファイルの不審さ:
  • ファイル名が不自然（例: invoice_urgent.zip）。
  • 見慣れないファイル形式（例: 実行ファイルである .exe や、圧縮ファイル .zip など）。
  • 添付ファイルを開くように強く促している、またはパスワードを要求される。
• その他の兆候:
  • その従業員が現在休暇中であるなど、物理的にメールを送れない状況にある。
  • メールに返信すると、元の正しいアドレスとは異なるアドレスに返信される。
  • メールの署名情報がない、または普段と異なる。

事例から学ぶ教訓と対策のヒント：コストをかけずにできること

この事例から学ぶべき最も重要な教訓は、「日常業務に紛れ込んだ不審な点」を見抜くことの重要性です。ITの専門知識がない中小企業でも、コストをかけずにできる対策は多くあります。

• 「いつもと違う」に気づく習慣をつける:
  • メールが届いたら、まず送信元アドレスを注意深く確認する習慣をつけましょう。名前だけでなく、括弧で囲まれたメールアドレス本体、特にドメイン名をしっかり確認します。
  • メール本文の内容を鵜呑みにせず、普段のやり取りや業務プロセスと比較して不自然な点がないかチェックします。
• 「確認」を徹底するルールを設ける:
  • 特に送金指示や振込先変更の依頼、普段と異なる手続きの要求があった場合は、必ずメール以外の手段（内線電話、チャット、直接対面など）で本人に確認するルールを徹底します。メールでの返信による確認は、攻撃者が返信メールも監視している可能性があるため危険です。
  • 可能であれば、上司や他の担当者との複数人での確認体制を構築します。
• 経費精算システムの利用を徹底する:
  • 経費精算システムを導入している場合は、システム外でのメールによる申請は原則として受け付けない運用を徹底します。システムを経由することで、なりすましや不正な振込先指定のリスクを減らせます。
• 従業員への継続的な注意喚起と教育:
  • BEC攻撃の手口が存在すること、特に日常業務を騙るケースがあることを全従業員に周知します。
  • 今回ご紹介したような「不審な兆候」のチェックポイントを具体的に示し、繰り返し注意喚起を行います。不審なメールを受け取った場合の報告・相談フローを明確にし、気軽に相談できる雰囲気を作ることが重要です。「もしかして…？」と少しでも疑問に思ったら、すぐに相談できる組織文化が被害を防ぎます。
  • 新入社員研修などでも必ず情報セキュリティに関する項目を含めます。
• 振込先変更時の厳格な確認手続き:
  • 取引先からの振込先変更依頼メールなども同様に、必ず電話など別の手段で本人に確認する手続きを徹底します。

まとめ：日常業務の落とし穴に注意し、組織で対策を

経費精算を騙るBEC攻撃は、日常業務の隙間を突く巧妙な手口です。特別なITスキルがなくても、メールのわずかな違いや普段と異なる要求に気づき、「確認」を徹底する習慣を身につけることで、被害のリスクを大きく減らすことができます。

中小企業においては、経営者自らがBEC攻撃の脅威を理解し、従業員への継続的な注意喚起と、コストをかけずにできる「確認ルールの徹底」といった基本的な対策を組織全体で実施することが最も重要です。日頃から不審な点に気づき、情報共有と確認を怠らない意識を組織全体で高めていきましょう。