IT部門なりすましBEC攻撃:「パスワード変更」を騙る手口と見抜く兆候
IT部門なりすましBEC攻撃の脅威
BEC(ビジネスメール詐欺)は、取引先や経営者などになりすまし、巧妙な手口で金銭を騙し取るサイバー攻撃です。多くの中小企業がその標的となっています。これまでの事例では、送金指示を装う手口が多く見られましたが、近年は従業員のシステムアカウント情報を狙う「IT部門なりすまし」の手口も増加しています。
IT専門の担当者がいない中小企業では、システムに関するメールが届いた際、その真偽を判断することが難しい場合があります。攻撃者はこの点を突き、従業員のメールアカウントや社内システムへのアクセス権を奪おうとします。これにより、さらなる詐欺や情報漏洩につながる危険性があります。
今回は、「IT部門なりすまし」によるBEC攻撃の具体的な事例を通して、その手口、見抜くべき兆候、そして中小企業が今日からできる対策について解説いたします。この事例から学び、皆様の会社をサイバー攻撃から守る一助としていただければ幸いです。
事例の概要と騙しの手口
この事例は、ある中小企業の従業員に届いた一通のメールから始まりました。メールの送信者は、社内のIT部門を名乗っていました。件名は「【重要】パスワード変更のお願い」といった、いかにも緊急性や重要性が高いことを示唆するものでした。
メール本文には、「セキュリティ強化のため、すべての従業員はパスワードを変更する必要があります」「変更しない場合、アカウントがロックされる可能性があります」といった理由が記載されていました。そして、パスワード変更手続きを行うためのリンクが貼られていました。
攻撃者の手口は以下の通りです。
- 送信元アドレスの偽装: 企業のIT部門を名乗るメールアドレスを装っていましたが、よく見ると正規のアドレスとは微妙に異なる文字列が含まれていました。例えば、会社のドメイン名をわずかに変えたり、フリーメールアドレスを使用したりしていました。
- 緊急性と権威性の利用: 件名や本文で「重要」「緊急」「アカウント停止」といった言葉を使用し、受け取った従業員に考える時間を与えず、すぐにアクションを起こさせようとしました。また、「IT部門からのお知らせ」という形で権威性を利用し、信頼させようとしていました。
- 偽サイトへの誘導: メールに記載されたリンクをクリックすると、企業の正規のログイン画面に酷似した偽のウェブサイトへ誘導される仕組みになっていました。ここで現在のパスワードと新しいパスワードを入力させ、それらの情報を窃取することが目的です。
従業員はメールの内容を信じ込み、リンクをクリックして偽サイトにパスワードを入力してしまいました。幸い、その後の対応で大きな被害には至りませんでしたが、一歩間違えればシステムへの不正アクセスや情報漏洩につながる大変危険な事例でした。
攻撃の兆候:どこに「いつもと違う点」があったか
この事例において、攻撃メールを見抜くための具体的な兆候はいくつかありました。攻撃者は巧妙に正規のメールを装いますが、注意深く観察すれば必ず不審な点が見つかります。
- 送信元メールアドレスの微細な違い: 最も典型的な兆候の一つです。メールソフトによっては表示名が正規の名称になっていても、実際のメールアドレスを確認すると、スペルミスがあったり、正規のドメインとは異なる見慣れないドメイン名が使われていたりします。例えば、「@〇〇-inc.com」が「@〇〇_inc.com」になっていたり、「@〇〇.co.jp」が「@〇〇.com」になっていたりするなどです。
- リンク先URLの不自然さ: メール本文中のリンクにカーソルを重ねる(クリックはしない!)と、画面の隅などに表示されるURLを確認できます。正規の企業のURLと全く異なる文字列や、見慣れないドメイン名が表示される場合は非常に危険です。偽サイトは正規サイトに似せたURLを使おうとしますが、微妙な違いや、全く関係のないドメイン名である場合が多いです。
- メール本文の不自然な日本語や誤字脱字: 攻撃メールは海外から送信されることも多く、翻訳ツールを使ったような不自然な日本語表現、あるいは不自然な句読点の使い方、誤字脱字が見られる場合があります。普段受け取る社内からのメールと比較して違和感がないか確認することが重要です。
- 普段と異なる連絡方法や手続き: 企業のIT部門がパスワード変更を求める場合、通常は事前に社内全体に告知があったり、メール以外の別の手段(社内ポータルのお知らせ、口頭での注意喚起など)と組み合わせて行われたりします。突然、そして一方的にメールだけでパスワード変更を求める場合は、その手続き自体が普段と違う不審な兆候と言えます。
- メール内のロゴやデザインの違和感: 正規の企業のロゴや署名を装っていても、解像度が低かったり、配置がずれていたり、古いロゴが使われていたりするなど、細部に違和感がある場合があります。
これらの兆候は単独で現れることもあれば、複数組み合わさることもあります。一つでも「おかしいな」と感じたら、すぐに実行に移さず立ち止まることが重要です。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業経営者や従業員の皆様が学ぶべき教訓と、コストをかけずに実行できる対策のヒントを以下に示します。
- 従業員への継続的な注意喚起が最も重要: ITの専門知識がない従業員でも、 BEC攻撃の手口や兆候を知っていれば被害を防げる可能性が高まります。定期的にBEC攻撃の事例や注意点を共有し、不審なメールに対する警戒心を高く保つよう促してください。これはコストをかけずに行える、非常に効果的な対策です。
- 「確認する習慣」を徹底する: メールを受け取ったら、すぐにリンクをクリックしたり添付ファイルを開いたりする前に、以下の点を必ず確認する習慣をつけましょう。
- 送信元メールアドレスが正規のものであるか。
- メール本文中のリンクにカーソルを重ね、表示されるURLが正規のものであるか(クリックはしない)。
- メールの内容に不自然な日本語や普段と違う点がないか。
- 要求されているアクション(パスワード変更、送金など)が、普段の手続きや常識から逸脱していないか。
- 不審なメールを見つけたら報告する体制を作る: 少しでも怪しいと感じたメールは、自己判断で削除したり放置したりせず、必ず社内のIT担当者(兼任者含む)や信頼できる上司に報告するルールを作りましょう。これにより、他の従業員への注意喚起を迅速に行うことができます。
- パスワードの管理と設定: パスワードは使い回さず、十分な長さと複雑さを持つものを使用することを従業員に推奨してください。パスワード変更を促す正規の手段(社内ポータルなど)があれば、その場所を周知することも有効です。
- 多要素認証(MFA)の導入を検討する: ログイン時にパスワードだけでなく、スマートフォンへの通知やワンタイムパスワードなど、複数の方法で本人確認を行う多要素認証は、パスワードが漏洩した場合でも不正ログインを防ぐ有効な手段です。サービスによっては無料で利用できる場合もありますので、主要なシステムへの導入を検討する価値があります。
これらの対策は、高度なITシステムを導入することなく、従業員一人ひとりの意識と行動によって実現できるものが中心です。組織全体で「ちょっと立ち止まって確認する」文化を育むことが、BEC攻撃から会社を守る第一歩となります。
まとめ
今回の事例でご紹介したIT部門なりすましによるBEC攻撃は、パスワード詐取を目的とした、中小企業にとって身近な脅威です。攻撃者は、緊急性を装い、巧妙に偽サイトへ誘導することで従業員を騙そうとします。
しかし、冷静にメールの送信元アドレスやリンク先のURL、本文の不自然さを確認する習慣をつけることで、攻撃の兆候を見抜くことが可能です。
BEC攻撃対策は、特別な技術や高額なシステム投資だけではありません。最も効果的でコストのかからない対策は、従業員一人ひとりのセキュリティ意識を高め、「怪しいと思ったら確認・報告する」という基本的な行動を組織全体で徹底することです。
この記事で学んだ手口と兆候を社内で共有し、 BEC攻撃の被害に遭わないための備えを今すぐ始めてください。