【事例】オフィス備品購入を騙るBEC攻撃:偽装された請求手口と見抜く不審な兆候
【事例】オフィス備品購入を騙るBEC攻撃:偽装された請求手口と見抜く不審な兆候
本日は、「オフィス備品購入」を騙るBEC攻撃の事例を取り上げます。一見、金額もそれほど高くないと思われる備品購入に関連する攻撃ですが、その手口を知ることは、日々の業務における警戒心を高め、より大規模な攻撃を防ぐための重要なステップとなります。中小企業の経営者様や従業員の方々が、このような攻撃から会社を守るためのヒントをこの事例から学びましょう。
事例の概要:オフィス備品購入の偽装請求メール
この事例では、攻撃者は企業の経理担当者や総務担当者を狙いました。普段からオフィス備品を定期的に購入しているサプライヤーになりすまし、突然、「大量購入による割引適用」や「価格改定に伴う緊急請求」といった名目で、偽の請求書添付ファイル付きメールを送付しました。
担当者は、普段取引のあるサプライヤーからのメールであること、そして請求内容が「オフィス備品購入」という日常的な業務に関連していることから、深く疑わずにメールを開封し、添付ファイルを確認してしまったのです。
攻撃の騙しの手口:巧妙な「なりすまし」と「緊急性」の演出
この攻撃で使われた主な手口は以下の通りです。
- 既存取引先やありそうな企業名のなりすまし: 攻撃者は、企業が実際に取引している可能性のあるオフィス備品サプライヤー名や、もっともらしい架空のサプライヤー名を騙りました。これにより、メールを開封する際の警戒心を低下させました。
- 偽装された請求書の添付: メールには、オフィス備品購入の請求書を装ったファイル(多くはPDF形式)が添付されていました。請求書自体も、正規のサプライヤーの書式を真似て作成されている場合があり、一見しただけでは偽物と気づきにくいように工夫されていました。
- 不自然な送金先の提示: 請求書に記載された振込先口座が、これまでの取引で使われていた口座と異なっていました。これは、攻撃者が用意した不正な口座へ送金させることが目的です。
- 「緊急性」や「お得感」の演出: メール本文や件名に「緊急」「重要」「特別割引」「月末支払い」といった言葉を含めることで、受領者を焦らせ、詳細な確認を怠らせようとしました。
このように、攻撃者は日常的な業務である「オフィス備品購入」と「請求支払い」に便乗し、巧妙ななりすましと心理的な誘導を組み合わせることで、被害者を騙そうとしたのです。
攻撃の兆候:見抜くべき「いつもと違う点」
しかし、この事例には、攻撃を見抜くためのいくつかの「不審な兆候」が隠されていました。中小企業の経営者様や従業員の方々が注意すべき点は以下の通りです。
- 送信元メールアドレスの微細な違い: 表示名は正規のサプライヤー名でも、実際のメールアドレスをよく見ると、正規のものとドメイン名(@以降の部分)が微妙に異なっている場合があります。例えば、
co.jpがne.jpになっていたり、ドメイン名にハイフンが一つ多い、といった小さな違いです。フリーメールアドレスが使われている場合は、さらに高い警戒が必要です。 - 普段と異なる請求書の形式や内容: 添付された請求書のレイアウト、フォント、会社のロゴ、記載されている電話番号や住所などが、普段受け取っている正規の請求書と異なっていないか確認が必要です。また、普段まとめて購入しないような大量の備品が計上されている場合も不審です。
- 不自然な日本語や誤字脱字: 攻撃メールの本文に、日本語として不自然な表現や、明らかな誤字脱字が含まれている場合があります。
- 突然の振込先変更指示: 過去の取引では利用していなかった銀行や口座への振込を指示されている場合は、非常に高い確率で不正なメールです。特に、個人の口座名義になっている場合は論外です。
- メールのみでの重要な変更指示: 送金先口座のような重要な情報変更が、メールのみで、事前の電話連絡やFAXでの確認なしに行われている点は、非常に不審です。
- 異常な緊急性の強調: 通常の業務フローでは考えられないほどの急ぎの対応を強く求めている場合も、警戒が必要です。
これらの「いつもと違う点」に気づくことが、BEC攻撃を防ぐための最初の、そして最も重要なステップです。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業がBEC攻撃を防ぐために学ぶべき教訓と、コストをかけずに実践できる対策のヒントをいくつかご紹介します。
- 「二段階確認」の徹底: 請求書に基づく送金を行う前に、必ずメール以外の方法(電話、FAX、チャットツールなど)で、請求元(この事例ではサプライヤー)の正規の担当者に、請求内容と振込先口座が正しいものであるかを確認するルールを徹底してください。特に、普段と違う振込先を指定された場合は、絶対に電話での確認を怠らないようにしてください。
- メールアドレスの「表示名」だけでなく「実アドレス」を確認する習慣をつける: 受信したメールの送信元が正規のものであるかを確認する際は、メールソフトに表示される「名前」や「会社名」だけでなく、その後ろに括弧書きなどで表示される実際のメールアドレスを必ず確認するようにしましょう。
- 社内での情報共有とマニュアル整備: 普段取引のある主要なサプライヤーの情報(連絡先、通常の振込先口座など)を社内で共有し、誰でも確認できるようにしておくと良いでしょう。また、請求書の処理や支払いに関する明確な承認フローを定め、マニュアルとして従業員に周知徹底することも有効です。
- 不審なメールは「報告・相談」する文化を作る: 少しでも「おかしいな」「いつもと違うな」と感じたメールについては、自己判断せず、すぐに上司や責任者に報告・相談するルールを定めてください。従業員一人ひとりが警戒心を持ち、チームとして対応することが被害を防ぎます。
- 従業員への定期的な注意喚起: BEC攻撃の手口は常に変化しています。過去の事例や新たな手口について、会議の場や社内メールなどで定期的に従業員に周知し、注意喚起を行うことが重要です。ITの専門知識がない従業員にも分かりやすい言葉で説明することを心がけてください。
これらの対策は、特別なシステム導入などの大きなコストをかけることなく、今日からすぐにでも取り組めるものです。日々の意識と習慣を変えることで、BEC攻撃のリスクを大きく減らすことができます。
まとめ
オフィス備品購入を騙るBEC攻撃事例は、BEC攻撃が私たちの身近な業務の中に潜んでいることを示しています。攻撃者は、日常的な取引や私たちの油断につけ込んできます。
しかし、送信元メールアドレス、請求内容、そして特に「振込先口座」の確認を徹底すること、そして少しでも不審な点があれば必ず立ち止まり、メール以外の方法で確認する「二段階確認」の習慣をつけることで、攻撃の多くは見抜くことが可能です。
この事例を参考に、皆様の会社でも日々の業務における確認ルールを見直し、従業員への注意喚起を改めて実施するなど、コストをかけずにできる対策から取り組んでみてはいかがでしょうか。