BEC攻撃事例ファイル

【事例】「入金に関する確認」を装うBEC攻撃：偽サイトへの誘導手口と見抜く兆候

BEC攻撃は、取引先や役員などになりすまし、金銭をだまし取ろうとする詐欺の手法です。その手口は巧妙化しており、日々の業務に紛れ込む形で仕掛けられることも少なくありません。今回は、「顧客からの入金に関する確認」という日常的なメールを装って従業員を欺き、最終的に偽サイトへ誘導しようとするBEC攻撃の事例を取り上げ、その手口と見抜くべき兆候、そして中小企業が今日から取り組める対策のヒントをご紹介します。

事例の概要：日常業務に紛れ込む「入金確認」メール

この事例では、攻撃者はまず、ある中小企業の経理担当者や請求業務を担当している従業員に対し、その企業が取引のある顧客からのメールを装ったメッセージを送信しました。

メールの件名は「〇月〇日請求分のご入金に関するご確認」や「お支払いについてお願い」など、顧客からの入金に関する一般的な問い合わせを連想させるものでした。本文も、「先日お支払いいたしました件について、一点確認したい事項がございます」といった、ごく自然なビジネスメールのような体裁を取っていました。

受信者は、普段から顧客からの入金に関する問い合わせを受けることがあるため、特に不審に思わずメールを開封してしまいました。

騙しの手口：巧妙ななりすましと偽サイト誘導

このBEC攻撃の主な手口は以下の通りです。

1. 顧客のなりすまし: 攻撃者は、事前に調査した情報に基づき、被害企業が実際に取引している顧客になりすまします。メールアドレスは、正規の顧客アドレスと酷似させていたり、表示名だけを正規の名称にして実際のメールアドレスが異なっている場合もあります。
2. 自然な件名・本文: 「入金確認」「支払いについて」といった、日常業務で違和感のない件名や本文を用い、受信者の警戒心を解きます。「詳細は添付ファイルをご確認ください」あるいは「以下のリンクから詳細をご確認ください」といった形で、次のアクションを促します。
3. 偽サイトへの誘導: メールに記載されたリンクをクリックしたり、添付ファイルを開くと、偽の顧客向けポータルサイトや、請求書確認サイト、あるいは企業のシステムへのログイン画面などに誘導されます。
4. 情報の窃取や偽の指示: 誘導先の偽サイトで、従業員に会社のシステムや銀行口座などのログイン情報を入力させようとします（フィッシング）。あるいは、「振込先が変更になったので、次回の支払いはこちらにお願いします」といった偽の送金指示を表示したり、不審なソフトウェアをダウンロードさせようとする場合もあります。

この事例では、入金確認という「入金を期待している、あるいは入金状況に関心がある」という受信者の心理を巧みに突き、正規の業務プロセスであるかのように見せかけています。

攻撃の兆候：いつもと違う点を見抜く

このような巧妙なBEC攻撃であっても、注意深く確認すれば不審な兆候に気づくことができます。この事例における具体的な兆候は以下の通りです。

• メールアドレスの不一致: 表示されている差出人の名前は顧客名でも、実際のメールアドレスが顧客の正規ドメインと微妙に異なっている場合があります（例：@customer-co.jp が @customer-jp-co.com になっている、ハイフンが一つ多い/少ないなど）。普段使用しているメールソフトのアドレス帳の情報と照らし合わせることで気づけます。
• 不自然な日本語: 攻撃者が外国人である場合、翻訳ツールを使ったような不自然な言い回し、誤字脱字、普段の顧客の担当者の文体とは異なる表現が見られることがあります。
• 普段と違う担当者: 普段入金確認のやり取りをする担当者とは違う名前で送られてきているのに、本文が一般的な表現に留まっている場合なども不審です。
• リンク先のURL: メール本文中のリンクにマウスカーソルを合わせると表示されるURLが、顧客の正規サイトのアドレスと明らかに違う、あるいは見慣れない文字列が含まれている場合は非常に危険です。
• 添付ファイルの種類: 請求書や確認資料にしては不自然なファイル形式（例：.zip, .exeなど）である場合や、ファイル名が不審である場合。
• 要求内容の不自然さ: メールや誘導先のサイトで、本来であれば電話や郵送、あるいは別の安全なシステムを通じて行われるべきログイン情報の入力を求められる、あるいは突然の振込先変更を一方的に通知されるといった内容は、極めて不審です。
• 過剰な緊急性の強調: 「本日中に対応しないと問題が発生する」「至急確認をお願いします」など、必要以上に緊急性を煽る表現は、冷静な判断を奪おうとする攻撃者の手口である可能性があります。

これらの「いつもと違う点」に気づくことが、攻撃を見抜くための重要な第一歩となります。

事例から学ぶ教訓と対策のヒント：コストをかけずにできること

この事例から、中小企業経営者や従業員が学ぶべき教訓と、コストをかけずに今すぐ始められる対策のヒントをご紹介します。

1. 「疑う習慣」を身につける: 「急ぎ」「普段と違う方法での指示」「不慣れな取引」といったキーワードを含むメールや依頼は、まず疑ってかかる習慣を従業員全員が持つことが重要です。
2. 多要素での確認を徹底する: メールで受けた重要な指示（特に送金指示やログインを促すもの、振込先変更など）は、必ず別の連絡手段（電話など）で、正規の担当者に事実確認を行うようにルール化してください。メールの返信ボタンを使うと、攻撃者に直接確認してしまうことになるため避けるべきです。
3. メールアドレスとURLの確認を徹底する:
   • 受信したメールの「差出人」表示だけでなく、実際のメールアドレスを必ず確認する習慣をつけましょう。特にスマートフォンでは表示が見づらい場合があるため、注意が必要です。
   • メール本文中のリンクをクリックする前に、リンク先のURLにマウスカーソルを合わせて表示されるアドレスを確認する習慣をつけましょう。正規のサイトのアドレスと一致するか、不審な文字列が含まれていないか確認してください。
4. 添付ファイル取り扱いの注意喚起: 不審なメールに添付されているファイルは絶対に開かないこと、特に実行形式(.exe)や圧縮ファイル(.zip)には警戒が必要であることを従業員に徹底してください。
5. ログイン情報の安易な入力禁止: メールや、そこから誘導されたサイトで、会社のシステムや金融機関のログイン情報を安易に入力しないよう厳重に注意してください。正規のログインは、普段使用しているブックマークや、会社の共有フォルダなどから行うように指導しましょう。
6. 社内での情報共有と教育: BEC攻撃の手口は日々変化します。今回のような具体的な事例を共有し、どのような点に注意すべきかを定期的に従業員に周知・教育することが非常に有効です。特に金銭や顧客情報に関わる部門だけでなく、全従業員が対象です。
7. 不審なメールの報告ルール: 「ちょっとおかしいな」と感じたメールは、一人で判断せず、必ず社内の責任者や指定された担当者に報告・相談する体制を整えることが重要です。報告することで、被害拡大を防げる可能性があります。

これらの対策は、特別なシステム導入などコストをかけずとも、従業員の意識向上と組織内のルール設定によって実現可能です。

まとめ

「入金に関する確認」を装ったBEC攻撃は、日常的な業務に紛れ込むため、見抜くことが難しいと感じるかもしれません。しかし、攻撃者は必ずどこかに不審な「兆候」を残しています。

重要なのは、日頃から「メールで受けた指示を鵜呑みにしない」「少しでもおかしいと感じたら立ち止まる」「別の手段で確認する」といった習慣を組織全体で徹底することです。今回の事例を参考に、従業員一人ひとりがBEC攻撃に対する警戒心を高め、被害を防ぐための行動を取れるようにしていきましょう。