【事例】進行中の特定プロジェクト費用を騙るBEC攻撃:偽装請求と見抜く巧妙な手口と兆候
進行中のプロジェクト費用を騙るBEC攻撃とは
BEC(ビジネスメール詐欺)は、巧妙ななりすましメールを用いて企業の担当者を欺き、不正な送金などを実行させるサイバー犯罪です。中でも、社内で実際に進行しているプロジェクトに関連する費用支払いを騙る手口は、担当者が「まさかあのプロジェクトのことだ」と思い込みやすく、特に注意が必要です。
中小企業においては、特定のプロジェクトの詳細を一部の担当者しか知らないことや、急ぎの対応が求められる場面が多いことなどから、このような攻撃のリスクが高まります。この事例を通じて、その手口と見抜くための具体的な兆候、そして経営者として講じるべき対策のヒントを解説します。
事例の概要と巧妙な手口
この事例では、攻撃者は事前に標的となる企業の情報を収集していました。特に、社内で現在進行している、あるいは近い将来に開始予定の特定のプロジェクトに関する情報を掴んでいました。
攻撃は、会社の社長や役員になりすましたメールを経理担当者やプロジェクト担当者宛てに送信することから始まります。メールの件名には、実際に動いているプロジェクト名が含まれていることが多く、受信者はまず「社内の件だ」と認識します。
メール本文では、プロジェクト遂行のために急遽必要になった外部委託費用や特別な備品購入費用などが発生したと伝えられます。そして、「この件は緊急で、他のメンバーにはまだ話していない」「迅速な対応が必要」「私に直接返信するように」といった文言を使い、通常の承認フローや社内での情報共有を避けさせようとします。
多くの場合、偽の請求書が添付されているか、あるいはメール本文中に送金先の口座情報が記載されています。送金先は、普段取引のない個人名義の口座であったり、海外の口座であったりします。
攻撃メールに見られる具体的な兆候
このようなBEC攻撃のメールには、注意深く観察すれば必ず「不審な点」「いつもと違う点」が見られます。中小企業経営者や従業員が攻撃を見抜くために、特に以下の兆候に注意することが重要です。
-
差出人のメールアドレス:
- 表示されている「送信者名」は役員の名前や役職名と一致していても、実際のメールアドレスが役員が普段使用しているものと微妙に異なります。例えば、ドメイン名がよく似ているがスペルミスがある(例:
〇〇co.jpが〇〇co.jp.netや〇〇-co.jp)、フリーメールアドレスが使われている、といったケースがあります。メールアドレス全体を確認する習慣が必要です。
- 表示されている「送信者名」は役員の名前や役職名と一致していても、実際のメールアドレスが役員が普段使用しているものと微妙に異なります。例えば、ドメイン名がよく似ているがスペルミスがある(例:
-
メールの件名や本文の不自然さ:
- 「緊急」「至急対応してください」「重要」といった文言が多用され、異常なほどの迅速な対応を求めてきます。
- 「このメールだけで連絡を取るように」「他の人には話さないように」など、秘密裏に処理を進めさせようとする指示が含まれています。これは、担当者が他の従業員に相談したり、役員本人に口頭で確認したりするのを妨害するためです。
- 普段の役員からのメールとは異なる文体、不自然な日本語の表現(助詞や言い回しの誤り)が見られることがあります。
-
添付ファイルや送金情報の不審点:
- 添付されている請求書のファイル名が不自然であったり、WordやExcelではなく画像形式(PNGやJPGなど)になっていることがあります。画像形式は編集できないため、怪しい点を修正させないための手口かもしれません。
- 請求書やメール本文に記載された会社名、住所、電話番号、銀行口座情報に普段の取引先や知っている情報との違いがないか確認が必要です。特に銀行口座が、普段取引のない銀行であったり、個人名義であったりする場合は極めて怪しい兆候です。
-
普段の業務フローとの違い:
- 高額な支払いや新しい取引先への支払いは、通常であれば複数の担当者による確認や役員への口頭での報告・承認など、定められた手続きがあるはずです。しかし、攻撃メールはこれらのプロセスを無視し、メール一本で送金を完了させようとします。
事例から学ぶ教訓とコストをかけずにできる対策のヒント
この事例から得られる最も重要な教訓は、「メールだけで重要な支払い判断をしない」「普段と違うと感じたら必ず確認する」ということです。IT専門知識がない中小企業経営者でも、コストをかけずにすぐに始められる対策は多くあります。
-
「差出人アドレスの確認」を徹底する:
- 受信したメールの「差出人名」だけを信用せず、必ず正式なメールアドレスが正しいものか確認する習慣を従業員全員につけさせましょう。多くのメールソフトでは、差出人名をクリックすると実際のメールアドレスが表示されます。
-
「確認のルール」を明確にする(二段階認証の導入):
- メールで送金指示や重要な契約に関する連絡が来た場合、必ず別の連絡手段(電話、社内チャット、直接会って話すなど)で本人に確認するルールを徹底してください。「急ぎだから」という理由でこの確認を省略してはいけません。特に高額な送金や普段と違う振込先への指示には、この二段階認証(メール+別の手段での確認)を義務付けるべきです。
-
「怪しいと感じたら相談」できる文化を作る:
- 従業員が「もしかして怪しいかな?」と感じた際に、一人で抱え込まずにすぐに上司や同僚に相談できる風通しの良い職場環境が重要です。「こんなこと聞いて良いのかな」と思わせないことが、被害を未然に防ぐ第一歩となります。
-
支払い承認フローを「見える化」し周知する:
- どのような種類の支払いに、誰の承認が必要なのか、具体的な手続きを文書化し、関係者全員に周知徹底します。イレギュラーな支払い指示があった場合に、このフローと照らし合わせて違和感に気づけるようにすることが大切です。
-
定期的な「注意喚起」と「簡単な教育」を行う:
- このようなBEC攻撃の事例や、フィッシングメールの見分け方など、基本的なセキュリティに関する注意喚起を定期的に行います。高価な研修は不要ですが、「最近、こういう手口が増えているらしいよ」と情報を共有するだけでも、従業員の意識は変わります。
まとめ
進行中の特定プロジェクト費用を騙るBEC攻撃は、組織内の具体的な情報を悪用する点で非常に巧妙です。しかし、今回ご紹介したように、メールアドレスの確認、別の手段での本人確認、不審な点の相談といった基本的な行動を徹底することで、攻撃の多くは見抜くことができます。
高額なセキュリティシステムを導入することが難しい中小企業だからこそ、従業員一人ひとりのセキュリティ意識を高め、組織全体で「怪しいメールはまず疑う」「確認を怠らない」という習慣を身につけることが、BEC攻撃から会社を守るための最も効果的でコストのかからない対策と言えるでしょう。この事例を参考に、ぜひ社内での注意喚起やルールの見直しを行ってみてください。