BEC攻撃事例ファイル

【事例】退職した元従業員を騙るBEC攻撃:未払い金を装う手口と見抜く兆候

Tags: BEC攻撃, 事例, なりすまし, 元従業員, 対策, 中小企業, 経理

BEC攻撃は巧妙な手口で組織の隙を狙います。「まさか」と思うような人物になりすましてくることもあります。今回は、既に退職した元従業員を騙るBEC攻撃事例を取り上げ、その具体的な手口や、攻撃を見抜くための「いつもと違う」兆候、そして私たち中小企業がそこから何を学ぶべきかについて解説します。

事例の概要:退職した元従業員からの「未払い経費」請求メール

この事例は、ある中小企業で発生しました。数ヶ月前に退職した元従業員Aさんから、会社の経理担当者宛てにメールが届きました。メールの内容は、「退職前の出張に関する経費の一部が未払いになっているようだ」というものです。添付ファイルには、あたかも正規の請求書であるかのような書類が含まれていました。

経理担当者は、Aさんが真面目な人物であったことを知っていたため、特に疑うことなく対応しようとしましたが、いくつかの不審な点に気づき、事なきを得ました。これは、退職者という「社外の人間だが、かつて社内にいた」という立場を悪用した巧妙なBEC攻撃でした。

騙しの手口:退職後の関係性を悪用する手口

攻撃者は、企業の公開情報やSNSなどから退職者の情報を入手し、その人物になりすまします。この事例における主な騙しの手口は以下の通りです。

  1. 退職者アカウントの偽装: 退職した元従業員のアカウント(例えば、かつて会社で使っていたメールアドレスに近いもの)を偽装してメールを送信します。本物のメールアドレスではないとしても、ドメイン名が似ていたり、表示名が本名だったりすると、受信者はつい信用してしまいがちです。
  2. 「未払い金」の主張: 退職後に会社から連絡が来る可能性がある名目として、「未払い経費」や「残務に関する報酬」といった、いかにもありそうな口実を使います。これにより、受信者に「確認する必要がある」と思わせます。
  3. 添付ファイルによる偽装: 正規の請求書や明細書に見せかけた偽のファイルを添付します。形式を本物そっくりにすることで、信頼性を高めようとします。
  4. 送金方法の指定: 普段会社が使用している経費精算システムや正規の振込先口座ではなく、攻撃者が指定する特定の個人名義や新規の口座への直接送金を指示します。これは、追跡を逃れるため、あるいは会社の正規の手続きを迂回させるためです。
  5. 緊急性の演出: 「すぐに確認してほしい」「支払い期限が迫っている」など、迅速な対応を求める文言を含め、受信者に冷静に考える時間を与えないように仕向けます。

このように、攻撃者は退職者という立場、未払い金というありそうなシナリオ、そして緊急性を組み合わせることで、受信者を騙そうとしました。

攻撃の兆候:この事例に見られた「いつもと違う点」

幸いにも、この事例では経理担当者が攻撃を見抜くことができました。その際に気づいた「いつもと違う点」「怪しい点」は、BEC攻撃を見抜く上で非常に重要な手がかりとなります。

  1. 送信元メールアドレスの不審な点:
    • メールの表示名は元従業員Aさんの名前でしたが、実際のメールアドレスを確認すると、会社のドメイン(@自社名.co.jp)ではなく、フリーメールアドレス(例:@gmail.com@yahoo.co.jp)や、会社のドメインに似せた微妙に違うドメイン(例:@jishamei-co.jpのようにハイフンが入っている、@jishame.jpのようにアルファベットが抜けているなど)から送信されていました。これは最も典型的な兆候の一つです。
  2. メールの文体や言葉遣いの違和感:
    • メールの文章全体が、Aさんの普段の丁寧で控えめな言葉遣いと異なり、やや高圧的であったり、不自然な敬語が使われていたりしました。攻撃者は、なりすまし対象の人物の癖までは把握していないことが多いのです。
  3. 請求内容の曖昧さ、不自然さ:
    • 添付された請求書は形式だけは整っていましたが、具体的な出張の日付や目的、費用の内訳などが曖昧でした。正規の請求であれば、より詳細な情報が記載されているはずです。
  4. 普段と異なる送金指示:
    • 会社の経費精算は、退職者であっても特定のシステムを通して処理するか、あるいは会社の正式な取引口座間で振り込むのが通常です。しかし、このメールでは、全く面識のない個人名義の口座や、会社の正規の記録にない口座への直接送金が指示されていました。
  5. 退職者からの連絡自体の不自然さ:
    • 退職して数ヶ月経っている元従業員から、個人的なメールアドレスを使って、当時遡っての経費請求が来るという状況自体が、少し不自然でした。通常であれば、退職手続きの際に全て精算されているか、あるいは会社の正式な窓口を通して連絡があるはずです。
  6. 電話など他の手段での確認ができない、避けられる:
    • メールに記載されていた連絡先が携帯電話のみで、会社の代表電話など他の連絡手段がありませんでした。また、経理担当者がその携帯電話に電話をかけても繋がりにくかったり、メールでのやり取りに固執したりする場合も、強い疑いの兆候となります。

これらの「いつもと違う点」に気づけたことが、被害を防ぐ鍵となりました。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃から身を守るために学ぶべき教訓は多くあります。特に、コストをかけずにできる基本的な対策に焦点を当てましょう。

  1. 「いつもと違う」に気づく意識を持つ:
    • 最も重要で、コストのかからない対策は、従業員一人ひとりが「普段と違う点はないか」と注意深く確認する習慣をつけることです。メールの送信元、文体、指示内容、送金先など、どんな些細なことでも違和感があれば立ち止まる勇気を持ちましょう。
  2. 送信元メールアドレスの確認を徹底する:
    • メールの表示名だけでなく、必ず実際のメールアドレス(特に@以降のドメイン名)が正規のものであるかを確認するように、社内で周知徹底してください。怪しいと思ったら、一度メールアドレスを控えて、普段の正規のアドレスと見比べてみましょう。
  3. 送金指示は必ず複数の手段で確認する:
    • メールで受け取った送金指示については、例え差出人が役員や知っている人物であっても、そのメールだけを鵜呑みにせず、必ず電話や社内チャット、別の担当者への確認など、メール以外の手段で本人に直接確認を取るルールを定めましょう。特に、普段と違う振込先や、急ぎの送金を求められた場合は、確認を怠らないようにしましょう。
  4. 普段の業務フローからの逸脱に注意する:
    • 経費精算システムを使わず直接送金を求められた、請求書のフォーマットが普段と違う、支払い承認のプロセスを急がされたなど、会社の通常の業務フローから外れる指示があった場合は、強い警戒心を持つべきです。
  5. 社内での情報共有と注意喚起を行う:
    • BEC攻撃の手口や事例を社内で共有し、従業員全員に注意喚起を定期的に行いましょう。これにより、従業員一人ひとりが「自分も狙われる可能性がある」という意識を持つことができます。特に、経理担当者や経営層の秘書など、お金のやり取りに関わる担当者には重点的に周知することが重要です。
    • 「怪しいメールを受け取ったら、すぐに担当部署や経営者に報告する」という社内ルールを定めておくことも有効です。
  6. 退職者リストなどを管理する:
    • 退職者のリストや、過去の請求、経費精算などの履歴をすぐに参照できるように管理しておくことで、不審な請求が来た際に事実関係を照合しやすくなります。

これらの対策は、特別なITツールを導入するわけではなく、主に従業員の意識向上と、基本的な確認ルールの徹底によって実現できます。コストをかけずに始められる有効な防御策と言えるでしょう。

まとめ

今回ご紹介した「退職した元従業員なりすまし」のBEC攻撃事例は、攻撃者が企業の内部情報や人間関係を巧みに悪用する危険性を示しています。メールアドレスの偽装、未払い金という尤もらしい口実、普段と異なる送金指示など、様々な「いつもと違う点」が攻撃を見抜くための重要な兆候となります。

私たち中小企業は、こうした事例から学び、従業員一人ひとりが「怪しい」と感じる力を養うこと、そしてメール以外の手段で確認する基本的なルールを徹底することが不可欠です。コストをかけずとも、日頃からの意識と基本的な対策を積み重ねることで、BEC攻撃のリスクを大きく減らすことができるのです。この事例を教訓に、皆様の会社でも今一度BEC対策について話し合ってみてはいかがでしょうか。