BEC攻撃事例ファイル

海外子会社なりすましBEC攻撃：不慣れを突く手口と見抜くポイント

BEC攻撃は、ビジネスメールを悪用し、組織の従業員を騙して金銭を詐取するサイバー犯罪です。特に海外との取引がある中小企業では、普段とは異なる海外からのコミュニケーションや手続きの不慣れを突いた攻撃が発生しています。

今回は、「海外子会社からの送金指示」を装ったBEC攻撃の事例を分析し、その手口、不審な兆候、そして中小企業経営者や従業員が学ぶべき対策のポイントについて解説します。

海外子会社なりすましBEC攻撃の概要

このタイプのBEC攻撃は、攻撃者が企業の海外子会社の担当者や役員になりすまし、日本の本社や関連会社の経理担当者などに対し、緊急の海外送金を指示するメールを送付するというものです。普段から海外とのやり取りがある企業が狙われやすく、特に担当者が海外との送金手続きに慣れていない場合や、確認体制が整っていない場合に被害が発生しやすい傾向があります。

攻撃者は、企業の組織構造や関係者のメールアドレスを事前に調査している場合が多く、非常に巧妙なメールを作成して騙そうとします。

騙しの手口：不慣れと緊急性を悪用

攻撃者は、被害者を騙すために以下のような手口を用います。

• 海外子会社担当者や役員へのなりすまし: 実際に存在する海外子会社の役員や担当者（例：CFOなど）の名前を使い、本物のメールアドレスに似せた偽のメールアドレス（ドメイン名に微細な違いがある、無料メールアドレスを使用するなど）からメールを送付します。
• 緊急性の強調: 「M&A関連の秘密取引」「新しいサプライヤーへの緊急支払い」「監査対応」など、特殊かつ緊急性の高い状況を装い、「至急対応が必要」「電話での確認はできない（会議中、出張中、時差など）」といった理由をつけて、迅速な送金手続きを促します。
• 通常と異なる送金先・手続き: これまでの取引とは全く関係のない海外の銀行口座への送金を指示します。送金先の情報（口座名義、銀行名、SWIFTコードなど）が提示されますが、普段の送金先とは異なります。
• 電話での確認を避ける指示: 被害者が電話で本人確認を試みるのを防ぐため、「これは非常に機密性の高い件なので、メールでのみ連絡を取りたい」「今、重要な会議中で電話に出られない」といった理由をつけ、電話での連絡を意図的に避けさせようとします。

これらの手口は、受け取った側が「海外からの指示だから普段と少し違っても仕方ない」「役員からの緊急指示だからすぐに従わなければ」と考えてしまい、冷静な判断や確認を怠ってしまうことを狙っています。

攻撃の兆候：見抜くための具体的なチェックポイント

このような海外子会社なりすましBEC攻撃のメールには、注意深く見ると以下のような不審な兆候が含まれていることが多々あります。これらの「いつもと違う点」や「怪しい点」に気づくことが、攻撃を防ぐ第一歩です。

• メールアドレスの不自然さ:
  • 正規の会社のドメインと微妙に異なる（例: @company.com が @company.co.jp や @company-group.com になっている、l と i など似た文字が使われている）。
  • 正規のメールアドレスではなく、GmailやYahoo!メールなどの無料メールアドレスから送られている。
  • 返信先アドレスが送信元と異なる、または無料メールアドレスになっている。
• メール本文の不自然さ:
  • 普段のやり取りと異なる不自然な日本語表現や誤字脱字が見られる（翻訳ツールを使用したような文章）。
  • 文体が普段の担当者や役員のスタイルと明らかに違う。
  • 署名が普段使用しているものと異なったり、連絡先情報が不正確だったりする。
• 送金指示の内容の不自然さ:
  • 送金先の銀行口座情報が、普段取引している相手や銀行とは全く異なる。
  • 高額な送金を、普段と異なる緊急性の高い理由で指示している。
  • 通常であれば承認プロセスが必要な金額や手続きであるにも関わらず、そのプロセスを省略するよう促している。
• コミュニケーション方法の制限:
  • 電話での確認を頑なに避け、メールでのやり取りのみを強く要求する。
  • 「緊急」であることを過度に強調し、考える時間や社内での相談の時間を許さない雰囲気がある。
  • 会社の通常の連絡フローや承認ルートとは異なる方法で指示が出されている。

これらの兆候は単独で見過ごされがちですが、複数組み合わさっている場合は、非常に高い確率でBEC攻撃であると疑うべきです。

事例から学ぶ教訓と対策のヒント（コストをかけずにできること）

この事例から学ぶべき最も重要な教訓は、「メールによる金銭の支払いや送金指示は、必ず別の手段で正規の担当者に確認する」という基本的な行動原則です。中小企業がコストをかけずにできる、具体的な対策のヒントは以下の通りです。

• 「二段階認証」の徹底（送金指示の場合）: メールで送金指示を受け取ったら、メール以外の方法（電話、会社のチャットツールなど）で、正規の担当者本人に直接連絡を取り、指示の内容（送金額、送金先、理由など）が正しいかを確認するルールを必ず設けてください。特に海外送金や高額な送金指示については、より慎重な確認が必要です。
• メールアドレスの確認習慣: 受信したメールの「送信元アドレス」を安易に信用せず、ドメイン名を含め、普段のやり取りと一致しているか、一文字一句注意深く確認する習慣を従業員全員につけるようにしてください。
• 不審なメールの共通点の周知: 今回解説したような「不自然な日本語」「緊急性の強調」「普段と違う送金先」「電話確認を嫌がる」といった、攻撃メールによく見られる共通点について、従業員に注意喚起し、情報共有を行ってください。定期的に啓発を行うことが重要です。
• 社内での情報共有と相談体制: 「少しでも怪しい」「いつものやり方と違う」と感じたら、自分だけで判断せず、すぐに上司や同僚に報告・相談できる風通しの良い組織文化を育んでください。複数人で確認することで、一人では気づけなかった不審な点に気づける可能性が高まります。
• 海外子会社や主要取引先の正規連絡先の整理: 海外子会社や主要な取引先の正規の電話番号や担当者連絡先リストを作成し、すぐに参照できる場所に置いておきましょう。緊急時に正規のルートで確認するための重要な情報源となります。

これらの対策は、特別なシステム投資を必要とせず、従業員一人ひとりの意識と組織内のコミュニケーションで実現できるものです。しかし、BEC攻撃の被害を未然に防ぐ上で非常に効果的です。

まとめ

海外子会社なりすましBEC攻撃は、海外取引の不慣れや緊急性を悪用する巧妙な手口です。しかし、メールアドレスの不自然さ、本文の違和感、不自然な送金指示、そして電話確認を避けるといった明確な「兆候」が存在します。

これらの兆候に気づくための従業員の意識向上と、「メールでの送金指示は必ず別ルートで確認する」という基本的なルールを徹底することが、中小企業がBEC攻撃から身を守るための最も重要かつ実践しやすい対策です。

日頃から従業員への注意喚起を行い、常に冷静に情報を見極める習慣を組織全体で培っていくことが、増加するBEC攻撃の脅威に対抗する鍵となります。