「高額広告費の緊急支払い」を騙るBEC攻撃:マーケティング部長なりすましの手口と見抜く兆候
「高額広告費の緊急支払い」を騙るBEC攻撃とは
企業のシステムを狙うサイバー攻撃と異なり、BEC(ビジネスメール詐欺)は、人の心理的な隙や社内手続きの盲点を突いて金銭を騙し取る詐欺です。特に中小企業は、専任のセキュリティ担当者がいないことも多く、巧妙な手口に対して無防備になりがちです。
本記事では、「高額広告費の緊急支払い」を装ったBEC攻撃の事例を取り上げ、どのような手口で騙そうとするのか、そしてどのように見抜けば良いのかを具体的に解説します。この事例は、特定の部署の責任者になりすまし、普段とは異なる緊急性の高い支払いを要求するという点で、多くの企業で起こりうるリスクを示しています。
事例の概要:突如送られてきた緊急の支払い指示
ある中小企業の経理担当者の元に、会社のマーケティング部門の部長の名前で一通のメールが届きました。メールの件名は「【緊急】オンライン広告費の支払いについて」となっており、本文には「現在実施中の大規模オンライン広告キャンペーンの支払いが滞っており、すぐに支払いをしないと広告掲載が停止されてしまう。非常に重要なキャンペーンなので、添付の請求書を確認し、本日中に指定の口座へ○○万円を送金してほしい。詳細は後ほど説明するが、今は対応を急いでほしい」といった内容が記載されていました。
添付されていた請求書は、一見すると正規の広告代理店からのもののように見えましたが、よく見ると振込先が普段取引のある銀行や口座とは異なっていました。しかし、メールが会社の部長名で届いており、「緊急」かつ「重要なキャンペーンのため」という言葉に焦った担当者は、詳細な確認を怠り、メールの指示通りに指定された口座へ送金してしまいました。
後日、マーケティング部長に確認したところ、そのようなメールは送っておらず、支払い指示も行っていなかったことが判明し、被害に遭ったことが明らかになりました。
騙しの手口:なぜ担当者は騙されてしまったのか
この事例における攻撃者の主な手口は以下の通りです。
- 特定の部署の責任者なりすまし: 攻撃者は、事前に企業の組織構造や担当者の氏名を調べ上げ、社内で信頼されているマーケティング部長になりすましました。これにより、メールを受け取った経理担当者は、疑うことなく内容を信じ込んでしまう可能性が高まります。多くの場合、送信元メールアドレスは、本物のアドレスと非常によく似た偽のアドレス(例: ドメイン名のスペルを微妙に変えるなど)が使われます。あるいは、脆弱性を突いて正規のアカウントを乗っ取るケースもあります。
- 「緊急性」の悪用: 「広告掲載停止」「重要なキャンペーン」といった言葉で緊急性を演出し、担当者に冷静な判断をする時間を与えません。「本日中に」「すぐに」といった表現で、焦りを生じさせ、確認作業を省略させようとします。
- 普段と異なる支払いの指示: 通常、オンライン広告費の支払いには正規の手続きや承認フローがあるはずですが、それを無視し、指定された口座への直接送金を求めます。これは、通常の手続きに乗せると不正が発覚するリスクが高まるためです。電話での確認を避けるように指示する場合もあります。
- 添付ファイルの偽装: 巧妙に偽装された請求書を添付することで、要求の正当性があるかのように見せかけます。請求書の内容や振込先は、攻撃者が用意したものです。
これらの手口は、担当者が「上司からの指示だから」「緊急事態だから」という心理状態になり、普段行っている確認作業を怠ってしまうことを狙っています。
攻撃の兆候:見抜くための「いつもと違う点」
では、このようなBEC攻撃メールが届いた際に、被害を防ぐためにはどのような「いつもと違う点」に気づけば良いのでしょうか。この事例から学ぶべき兆候は以下の通りです。
- 送信元メールアドレスの微細な違い: 表示されている名前が部長名であっても、必ずメールアドレスの綴りを正確に確認してください。例えば、「@〇〇co.jp」であるべきが「@〇〇c0.jp」("co"が"c0"になっている)や、「@〇〇-co.jp」のようになっているなど、注意深く見ないと気づかないような違いがある場合があります。
- メールの文体や表現の不自然さ: 普段のその部長からのメールと比べて、言葉遣いが不自然ではないか(敬称がない、急に馴れ馴れしい、あるいは逆に丁寧すぎるなど)、日本語におかしな点はないかを確認します。定型的な署名がない、連絡先が普段と違うなども兆候です。
- 緊急性の根拠の不明確さ: なぜこれほどまでに緊急なのか、その理由が具体的に説明されていない、あるいは説明が不自然ではないかを確認します。通常業務で起こりえないような突発的な緊急事態を主張している場合は特に注意が必要です。
- 普段と異なる支払い要求: 会社の正規の支払いフローや、過去の同様の支払い実績と比較して、手続きや振込先が異なっていないかを確認します。特に、普段取引のない銀行や個人名義の口座への送金指示は非常に怪しい兆候です。
- 関係者がCCに入っていない: このような重要な支払い指示であれば、通常であれば経営者や他の関係者にも情報共有のためにCCでメールが送られるはずです。それにも関わらず、自分だけに送られている場合は不審に思うべきです。
- 添付ファイルの不審な点: 添付ファイル名が怪しい、拡張子が見慣れないもの(exeなど)、あるいは請求書の内容自体(請求元の社名、所在地、連絡先など)に不審な点がないかを確認します。
- 電話での確認を避ける指示: 「電話する時間がない」「メールで済ませたい」「この件で電話しないでほしい」といった、メール以外の手段での確認を意図的に避けようとする指示がある場合は、詐欺の可能性が高いです。
これらの兆候は単独で見られることもありますが、複数組み合わさっている場合は、さらに注意が必要です。
事例から学ぶ教訓と対策のヒント
この事例から中小企業経営者や従業員が学ぶべき最も重要な教訓は、「どんな指示であっても、普段と違う点や不自然な点があれば、安易に信用せず、必ず別の手段で確認する」という習慣を持つことです。コストをかけずにできる対策としては、以下の点が挙げられます。
- 「二段階確認」の徹底: メールやチャットでの支払い指示、特に高額な送金や新規の振込先への送金指示については、必ずメール以外の手段(電話、会社の代表電話、対面など)で指示者本人に確認を行うルールを定めます。「急いでいるから後で説明する」といった指示であっても、確認を省略しないように徹底します。
- メールアドレスの目視確認の習慣化: メールを開く前に、送信者名だけでなく、正確なメールアドレスを確認する習慣をつけます。スマートフォンの小さな画面でも、アドレス全体を確認するように意識します。
- 不審なメールの兆候に関する従業員教育: BEC攻撃の手口や、上で述べたような「不審な兆候」について、従業員全員に定期的に注意喚起を行います。具体的な事例を共有することで、自分事として捉えてもらいやすくなります。専門的な研修でなくても、社内会議での共有や、簡単な注意喚起メールでも効果があります。
- 支払い承認プロセスの強化: 一定金額以上の支払いや、新規取引先への支払いについては、経理担当者だけでなく、経営者や別の責任者の承認を必須とするなど、複数の目でチェックする体制を強化します。
- パスワードの強化と二段階認証設定: 万が一、従業員のアカウントが乗っ取られた場合でも不正利用を防ぐため、メールアカウントや業務システムのパスワードを強化し、可能な場合は二段階認証(多要素認証)を設定します。これは技術的な対策ですが、比較的低コストで導入できるものもあります。
- 情報共有の徹底: 不審なメールを受け取った場合は、一人で抱え込まず、すぐに上司や関係者に報告・相談する体制を構築します。
重要なのは、「自分は大丈夫だろう」と思わず、誰でも騙される可能性があるという意識を持つことです。そして、少しでも違和感を感じたら立ち止まり、確認を怠らないことです。
まとめ
特定の部署の責任者になりすまし、「高額広告費の緊急支払い」を騙るBEC攻撃は、巧妙ななりすましと緊急性を悪用した典型的な手口です。このような攻撃から会社を守るためには、従業員一人ひとりが常に警戒心を持ち、メールアドレスの正確な確認、文体の不自然さへの注意、そして何よりも「メール以外の手段での二段階確認」を徹底することが極めて重要です。
特別なITシステムを導入しなくても、日頃からの注意と社内での確認ルールの遵守を徹底することで、BEC攻撃による被害のリスクを大きく減らすことができます。この事例を参考に、改めて皆様の会社におけるBEC対策についてご確認いただくことをお勧めします。