BEC攻撃事例ファイル

【事例】海外コンサル費用を騙るBEC攻撃：不慣れな取引を突く手口と見抜く兆候

【事例】海外コンサル費用を騙るBEC攻撃：不慣れな取引を突く手口と見抜く兆候

BEC（ビジネスメール詐欺）は、取引先や社内の人間になりすましたメールを送りつけ、巧妙に金銭を騙し取るサイバー攻撃です。中小企業においても、海外との取引や普段とは異なる種類の支払いが生じる際に、その不慣れを突いたBEC攻撃の標的となるケースが見られます。

本記事では、「海外からのコンサルティング費用」を騙るBEC攻撃の事例を取り上げ、その具体的な手口や見抜くべき兆候、そしてコストをかけずにできる対策のヒントをご紹介します。この事例から学び、貴社のセキュリティ対策の参考にしていただければ幸いです。

事例の概要：海外コンサル費用を騙る攻撃

ある中小企業A社は、海外のパートナー企業X社と新たなプロジェクトの準備を進めていました。プロジェクト開始に先立ち、X社から推奨された海外のコンサルタントY氏に短期的な助言を依頼することも検討しています。

そんな折、A社の経理担当者の元に、Y氏を名乗る人物から「コンサルティング費用」の請求メールが届きました。メールには契約内容の詳細やコンサルティングを行った具体的な日付などは明記されておらず、期日を区切ってすぐに送金するよう指示が書かれていました。

経理担当者は、まだ正式にコンサルティング契約を結んでいない段階でしたが、メールの件名に「X社関連」「緊急」といった言葉が入っており、X社の担当者もCcに入っているように見えたため、重要な請求だと勘違いしてしまいました。社内での確認を十分に行わないまま、メールに記載された海外の銀行口座へ送金処理を進めそうになりました。

騙しの手口：不慣れな取引を悪用する巧妙さ

この事例で用いられたBEC攻撃の手口は、以下の点が特徴的です。

• 「不慣れな取引」を狙う: 海外のコンサルタントという、普段A社が頻繁には行わない種類の取引に関する請求であるため、担当者が確認方法に迷う可能性を突いています。
• 巧妙ななりすまし:
  • メールの差出人名は、実際に検討していたコンサルタントY氏の名前に偽装しています。
  • メールアドレスも、正規のドメインと見間違えやすい、わずかに異なるドメイン（例：「company-x.com」ではなく「companyx.co」や「compay-x.com」）を使用したり、フリーメールアドレスを巧妙に表示名だけ変更したりしています。
  • 本文中に、X社の担当者名やプロジェクト名など、事前に調査したA社や関係者に関する情報を盛り込み、本物らしさを演出しています。
• 「緊急性」と「秘密性」を装う:
  • 件名や本文に「緊急」「重要」「即時対応希望」といった言葉を使い、担当者を焦らせて冷静な判断力を奪おうとします。
  • 「この件は関係者以外には開示しないでください」「契約の都合上、詳細はメールで説明できません」といった文言を含め、社内での相談や上長への確認をためらわせようとします。
• 送金先の偽装: 送金先として指定されているのは、A社がこれまで取引したことのない、海外の銀行口座です。
• 請求書の偽装: 添付された請求書ファイルは、デザインこそそれらしいものの、内容に不備があったり、振込先情報がメール本文と一致しない場合もあります。

攻撃の兆候：見抜くべき「いつもと違う点」

この事例における攻撃メールには、注意深く確認すれば気づける複数の不審な兆候がありました。中小企業経営者や従業員が、BEC攻撃を見抜くために知っておくべき具体的なポイントです。

• 差出人メールアドレスの不審な点:
  • 表示名がY氏やX社の担当者名でも、実際のメールアドレス（@の後ろの部分）が、正規の企業ドメインと微妙に異なっていないか、あるいはGmailやOutlook.comなどのフリーメールアドレスになっていないかを確認します。
  • 正規のメールアドレスを知っている場合は、それと比較します。
• メール本文の不自然さ:
  • 普段のコミュニケーションと比べて、日本語がおかしい（不自然な言い回し、誤字脱字が多い）場合があります。
  • 相手の名前や役職に敬称がない、あるいは普段使わないような不自然な敬称が使われている場合があります。
  • コンサルティング契約の詳細や、具体的にどのようなサービスに対する請求なのかが曖昧であったり、触れられていない場合があります。
  • 過去のメールのやり取りから突然、話が飛んでいるように感じられます。
• 添付ファイルやリンクの不審な点:
  • 請求書ファイルの名前が普段と違う形式であったり、拡張子が不審でないかを確認します。
  • 安易に添付ファイルを開いたり、メール内のリンクをクリックしたりしないようにします。
• 送金指示の不審な点:
  • 送金先が、過去の取引で利用したことのある正規の口座と異なっている点。特に、普段取引のない海外の銀行口座が指定されている場合は極めて要注意です。
  • 急ぎの送金を強く要求される点。不自然に期日が短い、すぐに送金しないと大きな問題になるかのように煽る文言が含まれている場合があります。
  • 連絡方法の制限: メールでの返信のみを求めたり、電話での確認を避けさせようとする点。
• 指示内容の不審な点:
  • 「この件は他言無用」「社内で共有しないでください」といった、秘密保持を不自然に強調し、関係者間の確認を妨げようとする文言。

これらの「いつもと違う点」は、攻撃者が情報を十分に把握できていないか、正規のプロセスを回避させようとしている兆候です。

事例から学ぶべき教訓/対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃から身を守るために、コストをかけずに実践できる対策のヒントを学びましょう。

• 「電話で本人確認」を徹底する:
  • メールで普段と違う送金指示や請求（特に海外からのもの、高額なもの、緊急なもの）が来たら、メールへの返信ではなく、必ず正規の連絡先（公式サイトに載っている電話番号など）に自分で電話をかけ直して、相手に直接確認を取る習慣をつけましょう。
  • メールに記載されている電話番号は、攻撃者の偽装した番号である可能性があるため、使用してはいけません。
• 二重・三重のチェック体制を確立する:
  • 特に送金業務においては、担当者一人だけでなく、必ず複数の従業員や上長が独立して内容を確認するルールを作りましょう。
  • 経理担当者が送金処理を行う前に、経営者や責任者が承認するフローを必ず設けましょう。普段と違う手続きの場合は、さらに慎重な確認を義務付けます。
• 不審なメールの見分け方を知る・共有する:
  • メールの差出人アドレス、日本語の正確性、添付ファイル、件名などに注意を払うよう、従業員全員に定期的に注意喚起を行います。
  • 少しでも不審に感じたら、自己判断せずに必ず責任者に報告するという組織文化を作りましょう。
• 主要な取引先の正規連絡先リストを作成・共有する:
  • 主要な取引先や関係者（顧問弁護士、顧問税理士、主要なサプライヤー、海外パートナーなど）の正確な電話番号やメールアドレスをリスト化し、従業員がすぐに参照できるようにしておきましょう。不審な連絡が来た際に、このリストの情報と比較できます。
• 社内でのコミュニケーションルールを見直す:
  • 高額送金や海外送金、あるいは普段と違う支払いの指示は、必ず口頭や電話、あるいはチャットツールなど、メール以外の手段でも確認するというルールを設けることも有効です。
• 従業員への定期的なセキュリティ教育・注意喚起:
  • BEC攻撃の手口や事例を定期的に従業員に共有し、「自分たちも狙われる可能性がある」という意識を持ってもらうことが最も重要です。訓練として、疑わしいメールが届いた場合の報告フローを確認するなども有効です。

これらの対策の多くは、特別なITツールを導入する必要がなく、社内ルールや従業員の意識改革で対応できるものです。

まとめ

海外からのコンサルティング費用を騙るBEC攻撃事例は、普段と違う取引や状況に乗じて、不慣れさや油断を突いてくる攻撃の典型を示しています。

このような攻撃から会社を守るためには、攻撃の手口や具体的な兆候を知っておくこと、そして何よりも「不審に感じたら立ち止まる」「必ず別の方法で確認する」「社内で共有・報告する」という基本的な行動を徹底することが不可欠です。

ご紹介した確認の徹底、複数人でのチェック体制、従業員への継続的な注意喚起といった対策は、コストをかけずに今日からでも実践できるものです。ぜひ貴社のBEC対策として取り入れていただき、大切な資産を守ってください。