BEC攻撃事例ファイル

決算期に急増？経理担当者を狙うBEC攻撃：巧妙な手口と見抜く兆候

決算期に注意すべきBEC攻撃の手口とは

企業の決算期は、経理部門が特に多忙になる時期です。通常業務に加え、決算処理、税務申告の準備、支払い対応などに追われる中で、普段以上に注意力が散漫になりやすい状況が生まれます。サイバー犯罪者はこのような企業の状況を把握しており、この多忙な時期を狙ってBEC（ビジネスメール詐欺）攻撃を仕掛けてくることがあります。

特に中小企業においては、専任のセキュリティ担当者がいない、あるいは経理担当者が他の業務と兼務しているといったケースが多く見られます。このような環境は、攻撃者にとって格好の標的となり得ます。

本記事では、決算期に想定されるBEC攻撃の典型的な手口と、攻撃メールに含まれる見抜くべき兆候について解説します。この事例を通じて、貴社でできる対策のヒントを得ていただければ幸いです。

事例の概要と巧妙な手口

決算期を狙ったBEC攻撃では、主に「緊急の支払いが必要である」という名目で送金を指示してきます。よく見られる手口は以下の通りです。

1. 役員や取引先になりすます 攻撃者は、経理担当者が普段からやり取りしている可能性のある役員（社長や経理担当役員など）や、未払い金があるように見せかけた取引先になりすまします。決算期という状況に合わせて、「決算に関わる重要な支払い」「税務処理に必要な未払い金の清算」といった、もっともらしい理由を付けてきます。

2. 緊急性と秘密保持を強調する 多忙な決算期であること、そして支払いが遅れることで決算や税務処理に影響が出ることを示唆し、「至急対応が必要」「明日午前中までに振込を完了させてほしい」などと緊急性を強く煽ります。また、「この件は重要かつ機密情報であるため、関係者以外には伏せて処理を進めてほしい」といった指示を付け加え、担当者が周囲に相談したり、正規の確認手続きを取ったりすることを妨害しようとします。

3. 普段と異なる送金指示 支払いが必要な理由を述べた後、送金先口座情報が提示されます。この口座が、普段取引で使用している口座とは異なる、見慣れない個人名義や海外の口座であることが一般的です。振込方法についても、「普段のシステムではなく、直接銀行窓口から振り込んでほしい」「オンラインバンキングで、至急処理を進めてほしい」など、普段の業務フローから外れた指示をしてくることがあります。

これらの手口は、決算期という特殊な状況と担当者の多忙さを悪用し、「いつもと違う状況だから、特別な対応が必要なのだろう」と被害者に思い込ませるように設計されています。

攻撃メールに含まれる見抜くべき兆候

このような決算期を狙ったBEC攻撃メールにも、注意深く見れば必ず不審な兆候が含まれています。特に以下の点に注意が必要です。

• 送信元メールアドレスの不審な点: 表示されている名前は役員や取引先でも、実際のメールアドレスが普段と違う、あるいは会社のドメイン名が微妙に間違っている（例: co.jpがco.comになっている、スペルが間違っているなど）ことがあります。返信アドレスが全く関係のないフリーメールアドレスになっている場合もあります。
• メール本文の不自然な表現: 外国人が作成したと思われる不自然な日本語や、普段の役員や担当者の口調とは異なる、定型的な文章になっている場合があります。
• 普段のコミュニケーション方法との違い: 普段は電話や社内チャットで確認するような重要な指示が、突如メールだけで送られてくる、といったギャップがないか確認してください。
• 送金先情報の変化: 指示された振込先が、過去の取引で一度も使用したことのない口座（特に個人名義や海外口座）である場合は、極めて高い確率で詐欺です。
• 支払い理由や金額の不整合: 決算に関わる支払いという名目でも、その金額が過去の取引履歴や契約内容と照らし合わせて不自然ではないか確認が必要です。
• 確認を急かしたり、秘密にするよう指示したりする文言: 「急いで」「誰にも相談せず」といった言葉は、正規の手続きを踏ませないための攻撃者の常套句です。

これらの「いつもと違う点」を見逃さないことが、攻撃を早期に発見するための最も重要な手がかりとなります。

事例から学ぶ教訓と対策のヒント

この事例から、特に中小企業でできる対策のヒントをいくつかご紹介します。コストをかけずにすぐに実践できるものばかりです。

• 「いつもと違う」に気づく意識を持つ: 経営者は、従業員に対して、普段の業務と異なる指示や不審なメールには必ず注意を払うように、日頃から繰り返し伝えてください。特に経理担当者には、決算期のような多忙な時期こそ、いつも以上に慎重になるよう促すことが重要です。
• メール以外の方法での「二次確認」を徹底する: BEC攻撃のメールで送られてきた送金指示や口座変更の連絡は、必ずメール以外の手段（電話や社内チャットなど、普段使用している連絡先）で、正規の担当者本人に確認するルールを徹底してください。メールへの返信で確認しようとすると、攻撃者と直接やり取りしてしまうことになります。
• 社内ルール・ワークフローの再確認と周知: 重要な支払い指示や取引先からの口座変更依頼があった際の、正規の承認フローや確認手順を明確にし、関係者全員に周知してください。特に、一定金額以上の送金には複数担当者の承認が必要なルールを設けることは有効です。
• 不審なメールは「報連相」を徹底する: 経営者は、従業員が不審なメールを受け取った際に、「こんなメールが来たのですが…」とすぐに相談できる風通しの良い環境を作ることが重要です。「怪しいと思ったけれど、勝手に判断せず報告してくれてありがとう」という姿勢を示すことで、従業員は安心して報告できるようになります。
• メールのヘッダー情報を確認する方法を知る（可能であれば）: IT専門知識は不要でも、メールのヘッダー情報から、送信元メールアドレスが偽装されていないか（例えば「差出人: <役員名> <詐欺師のメアド>」となっている場合など）を確認する方法を従業員教育に含めることも検討してください。難しければ、まずは「表示されているメールアドレスだけでなく、差出人の詳細情報を開いて、普段のアドレスと一致するか確認する」といった簡単なステップから始めるのが良いでしょう。

まとめ

決算期のような特定の時期や、普段と異なる業務が発生するタイミングは、BEC攻撃のリスクが高まる傾向にあります。サイバー犯罪者は常に企業の状況を観察し、隙を突こうとしています。

重要なのは、技術的な対策だけでなく、従業員一人ひとりが「怪しい」と感じるセンサーを磨き、不審な点を見つけたら必ず立ち止まり、正規の手順で確認する習慣を身につけることです。特に多忙な時期こそ、この基本的な確認作業を怠らないことが、貴社をBEC攻撃から守る盾となります。この事例を参考に、従業員の皆様とBEC対策について改めて話し合う機会を持っていただければ幸いです。