BEC攻撃事例ファイル

【事例】オフィス移転費用を騙るBEC攻撃：契約金詐欺の手口と見抜く兆候

BEC攻撃は、ビジネスメールのやり取りを悪用し、組織や個人を騙して金銭を詐取する巧妙なサイバー犯罪です。「BEC攻撃事例ファイル」では、実際の事例を分析し、その手口や兆候から学ぶべき教訓をお伝えしています。

今回ご紹介するのは、会社のオフィス移転という特別な状況を悪用したBEC攻撃の事例です。普段とは異なる多額の費用が発生する状況は、攻撃者にとって絶好の機会となります。このような攻撃から会社を守るために、ぜひ本記事をお役立てください。

事例の概要：オフィス移転を狙った契約金詐欺

ある中小企業が、事業拡大に伴い新しいオフィスへの移転を計画していました。物件選定、契約交渉、内装工事、引越し業者手配など、様々な準備が進められていました。

攻撃者は、この企業の移転計画に関する情報を何らかの方法で入手したと考えられます。おそらく、企業のウェブサイトや公開情報、あるいは従業員間のメールのやり取りを盗聴するなどの手口を用いた可能性が考えられます。

そして、移転先の不動産業者になりすまし、経理担当者に対して偽の請求書を添付したメールを送付しました。

騙しの手口：偽の請求書と緊急性の演出

この事例における攻撃者の手口は、以下の点が特徴的です。

1. なりすまし: 移転先の不動産業者の担当者になりすましました。送信元メールアドレスは、本物の業者のものと非常に似た、しかし微妙に異なるアドレスが使われていました（例: 本物 [担当者名]@[業者名].co.jp → 偽物 [担当者名]@[業者名]-corp.jp のように、ドメイン名を巧妙に変えている）。
2. 偽装されたメール内容: メール本文には、オフィス賃貸契約の「契約金」や「保証金」といった名目で、多額の支払いを求める内容が記載されていました。あたかも本物の不動産業者からの正規の請求であるかのように装っていました。
3. 偽の請求書添付: 添付ファイルとして、正規の請求書を模倣した偽の請求書が含まれていました。社名、金額、振込先口座などが記載されており、一見すると本物と区別がつきにくいように作成されていました。
4. 緊急性の強調: メールには「契約〇〇日までに振込が完了しない場合、契約が破談となる可能性があります」といった文言で、緊急な対応を促していました。オフィス移転のスケジュールが迫っている状況を利用し、担当者を焦らせようとしました。
5. 不審な振込先: 請求書に記載された振込先口座は、これまで取引で使ったことのない国内の銀行口座で、個人名義になっていました。

経理担当者は、オフィス移転関連で多額の支払いが発生すること、また期日が近いことから、普段より確認が甘くなり、偽の請求書に基づいて送金処理を進めそうになりました。

攻撃の兆候：いつもと違う点、怪しい点を見抜く

幸いにも、この事例では送金直前で攻撃に気づくことができました。気づくきっかけとなった「いつもと違う点」や「怪しい点」、すなわち攻撃の兆候は以下の通りです。

• メールアドレスの微細な違い: 送信元メールアドレスのドメイン名が、正規の不動産業者のものと微妙に異なっていました。パッと見では気づきにくい小さな違いでした。
• 請求書の形式: 添付されていた偽の請求書は、一見本物そっくりでしたが、正規の請求書と比較すると、ロゴの解像度が低い、フォントが違う、レイアウトが微妙に崩れているなど、不審な点が見受けられました。
• 振込先口座情報: 請求書に記載された振込先が、これまでの取引で一度も使用したことのない口座でした。特に、法人口座であるべき取引で、個人名義の口座が指定されていた点は非常に不審でした。
• 連絡先の不一致: メール本文や請求書に記載されていた電話番号が、正規の不動産業者のウェブサイトに記載されている公式の電話番号と異なっていました。
• 普段と異なる手続き: 契約金や保証金の支払いに関する通知方法や手続きが、事前の打ち合わせや契約書の内容と異なっていました。

これらの「いつもと違う点」に経理担当者が疑問を感じ、正規の連絡先に電話で確認した結果、そのようなメールや請求書は送付していないことが判明し、詐欺であることが発覚しました。

事例から学ぶべき教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃の予防や早期発見のために学ぶべき重要な教訓と、コストをかけずにできる対策のヒントをご紹介します。

1. 「いつもと違う」に気づく意識を持つ: 攻撃者は、普段と違う状況（オフィス移転、M&A、決算期など）や、普段と違う担当者・金額・手続きを装ってきます。「あれ？いつものやり方と違うな」「このメール、なんとなく変だ」といった違和感を軽視しないことが最も重要です。
2. 「二重確認」のルールを徹底する:
   • メールやチャットで送金指示や支払い要求があった場合は、必ず別の手段（電話など）で、正規の担当者や責任者に口頭で確認してください。特に、高額な取引や普段と異なる振込先を指定されている場合は必須です。
   • この確認の際は、メールに記載されている連絡先ではなく、会社の公式ウェブサイトや過去の正規の連絡先リストに記載されている番号を使用してください。
3. 振込先口座情報を徹底的に確認する:
   • 請求書に記載された振込先口座が、過去の正規の取引や、事前に確認した情報と一致するかを確認します。
   • 振込先口座に変更がある場合は、必ず正規の連絡先（電話など）で、変更の事実とその理由を口頭で確認してください。メールやFAXで送られてきた変更通知だけを鵜呑みにしないでください。
   • 法人口座であるべき取引で、個人名義の口座が指定されていたら、それは極めて高い確率で詐欺です。
4. メールアドレスを注意深く確認する:
   • 表示名だけでなく、送信元メールアドレス全体（特に@マーク以降のドメイン名）をしっかりと確認する習慣をつけましょう。正規のドメインと似ていても、微妙なスペルミス（タイポ）がないか注意深く見てください。
5. 添付ファイルやリンクに注意する:
   • 心当たりのないメールや、不審な点の見られるメールに添付されたファイルは、安易に開かない、ダウンロードしないようにしましょう。
6. 組織内で情報共有と相談しやすい環境を作る:
   • 不審なメールや連絡を受けた場合、一人で判断せず、すぐに上司や同僚に相談できる雰囲気、ルールを作りましょう。「もしかして自分が騙されそうになっているかも？」と感じたときに、遠慮なく相談できることが早期発見につながります。

これらの対策の多くは、特別なITシステム導入などのコストをかけることなく、従業員の意識と組織内のルール作りによって実現可能です。日頃から従業員にBEC攻撃の存在を知らせ、具体的な事例を共有し、「怪しいと思ったらすぐに相談」を徹底することが、被害を防ぐための第一歩となります。

まとめ

オフィス移転のような大きなイベントは、攻撃者が偽装や緊急性を演出しやすいタイミングです。今回の事例からわかるように、偽の請求書や不審な振込先、そして何よりも「普段と違う」兆候に気づくことが、BEC攻撃を防ぐ鍵となります。

中小企業では、特定の担当者に業務が集中しがちですが、だからこそ、送金や支払いの最終承認プロセスにおいては、必ず「二重確認」を行うルールを徹底してください。そして、従業員一人ひとりが「おかしい」と感じたときに、すぐに立ち止まり、確認し、相談できる体制を整えることが、大切な財産を守ることにつながります。

BEC攻撃の手口は常に変化しますが、基本的な「なりすまし」と「緊急性の演出」を見抜き、冷静に確認する習慣を身につけることで、多くの被害を防ぐことが可能です。