BEC攻撃事例ファイル

あなたの会社のプロジェクトが狙われる！緊急送金BEC攻撃の手口と見抜き方

BEC攻撃は、巧妙ななりすましにより金銭をだまし取るサイバー犯罪です。これまでにも経営者や取引先になりすます手口が報告されていますが、近年では「進行中のプロジェクトや契約」に便乗し、緊急送金を指示する手口が増加しています。

特に中小企業では、特定のプロジェクトに関わる担当者が限定されていることが多く、攻撃者はその情報や関係性を悪用しようとします。本記事では、このような「プロジェクト関連の緊急送金BEC攻撃」の具体的な事例を通して、その手口、見抜くための兆候、そしてコストをかけずに実践できる対策のヒントをご紹介します。

事例の概要：進行中のプロジェクトを狙った攻撃

ある中小企業では、取引先との間で大きな新しいプロジェクトが進行していました。担当者間で頻繁にメールのやり取りが行われ、契約条件や今後のスケジュールについて詳細な詰めが進められている状況でした。

ある日、経理担当者のもとに、プロジェクトの責任者である役員からメールが届きました。メールは、取引先との契約に関連する最終調整のため、期日が迫った特定の支払いが発生したという内容でした。普段、役員が直接経理担当者に送金指示を出すことは少ないのですが、「プロジェクトの成功に関わる機密性の高い支払いであり、迅速な対応が必要」という強い指示が含まれていました。

経理担当者は不審に思いながらも、役員からの緊急の指示であること、そしてメール内容にプロジェクトの具体的な情報が含まれていたことから、鵜呑みにして指示された海外口座へ送金処理を進めてしまいました。後日、役員に確認したところ、そのようなメールは送っていないことが判明し、攻撃だったことが発覚しました。

騙しの手口：具体的な状況悪用と緊急性の演出

この事例に見られる、プロジェクト関連の緊急送金BEC攻撃の主な手口は以下の通りです。

1. 具体的な状況の悪用: 攻撃者は、何らかの方法（情報漏洩、公開情報、あるいは単なる推測）で、標的となる企業が特定の取引先と進行中のプロジェクトがあることを知っています。メールにはプロジェクト名、取引先名、あるいは関連する契約内容など、具体的な情報を含めることで、受信者に「本当に社内の関係者からのメールだ」「今、まさに動いている話だ」と信じ込ませようとします。
2. なりすましの巧妙さ: 役員やプロジェクト担当者など、社内の人間になりすまします。メールアドレスは、正規のアドレスと非常に似たもの（例：ドメイン名のスペルミス co.jp を ne.jp に変えるなど）を使用したり、表示名だけを正規のものに偽装したりします。
3. 「緊急性」と「機密性」の強調: 「本日中の対応が必要」「この件は部外秘」「担当者が現在電話に出られない」といった言葉を使い、受信者に考える時間や確認の機会を与えないように誘導します。特にプロジェクト関連では「契約の破棄につながる」「機会損失になる」といった表現で心理的な圧力をかけます。
4. 普段と異なる送金指示: 普段利用しない金融機関や、個人名義の口座への送金を指示してきます。また、通常の社内稟議プロセスや確認フローを経ずに、すぐに送金するように急かします。これは、正規のプロセスに乗せると不正が発覚する可能性が高まるためです。
5. 理由付けの変更: 確認の電話をさせないために、「担当者が変わった」「海外出張中で連絡が取りづらい」など、普段と違う連絡手段を指定したり、コミュニケーションを避けようとしたりします。

攻撃の兆候：いつもと違う「怪しい点」を見抜く

この事例から、攻撃を見抜くために注意すべき具体的な「いつもと違う点」や「怪しい点」は数多く存在しました。中小企業の経営者や従業員の方が、このような攻撃メールを受け取った際に、立ち止まって確認するための重要な兆候となります。

• メールアドレスの不審な点:
  • 表示名は正規の役職名や氏名になっているが、メールアドレスのドメインやスペルが正規のものとわずかに違う。
  • 普段、その役職や担当者が使用しているメールアドレスとは異なるアドレスから送信されている。
• メール内容の不自然さ:
  • 普段のその人の文体や言葉遣いと微妙に違う（丁寧すぎる、あるいはぶっきょっほうすぎるなど）。
  • 日本語に不自然な表現や誤字脱字が見られる。
  • 具体的なプロジェクト情報が含まれているが、細部で事実と異なる点がある。
  • 「緊急」「機密」「他言無用」など、過度に確認を抑制しようとする言葉が多用されている。
  • 電話での確認を避けさせたり、メールのみでのやり取りを強要したりする。
• 送金指示の不審な点:
  • 普段利用している金融機関ではない口座への送金指示。
  • 送金先口座の名義が企業名ではなく個人名になっている。
  • 海外の金融機関への送金指示。
  • 通常の社内承認フローや稟議プロセスを経ない、異例の迅速な送金を指示されている。

これらの兆候のうち、一つでも当てはまる場合は、安易に指示に従わず、必ず確認を行うべきです。

事例から学ぶ教訓と対策のヒント：コストをかけずにできること

この事例から中小企業が学ぶべき最も重要な教訓は、「『緊急』や『秘密』といった言葉に惑わされず、普段と違う点があれば必ず確認する習慣をつける」ことです。コストをかけずに実践できる対策のヒントは以下の通りです。

• 送金指示の二重三重確認を徹底する: メールでの送金指示があった場合、その指示を送信した本人に、メール以外の手段（電話、内線、対面など）で必ず確認を行うルールを徹底してください。「メールが乗っ取られている可能性」を常に意識することが重要です。電話番号は、メールの署名欄に記載されているものではなく、社内名簿や信頼できるソースで確認した正規の番号を使用してください。
• 「普段と違う」に気づく意識を高める: 従業員一人ひとりが、メールの送信元アドレス、文体、指示内容、送金先、手続きフローなどが「いつもと違う」と感じる感覚を養うことが重要です。「おかしいな？」と思ったら、一人で判断せず、必ず上司や責任者に相談する習慣をつけてください。
• 不審なメールの「声かけ」を推奨する: 「こんな変なメールが来たんだけど…」と、気軽に周囲に声をかけられる雰囲気を作りましょう。同僚や上司が同じような攻撃メールを受け取っている可能性もありますし、複数の目で見ることで不審な点に気づきやすくなります。
• 「もし不審なメールを受け取ったら」の行動指針を定める: 具体的に「誰に」「どのように」報告・相談すべきかを明確にしておきましょう。相談先が明確であれば、従業員も躊躇なく行動できます。この行動指針は、社内で周知し、必要に応じて研修などを行うとより効果的です。
• 役員や経営層も「狙われている」意識を持つ: 攻撃者は役員や経営層になりすますだけでなく、彼ら自身を標的に情報詐取や誘導を行うこともあります。経営層自身も不審なメールに対する注意を怠らず、安易に返信したりリンクをクリックしたりしないよう意識してください。

これらの対策は、特別なシステム導入などに比べてコストはかかりません。重要なのは、組織全体の意識改革と、日々の行動習慣を変えることです。

まとめ

進行中のプロジェクトに関連した緊急送金を装うBEC攻撃は、企業の具体的な状況を悪用するため、より巧妙で信じ込みやすい手口です。しかし、注意深くメールをチェックし、「いつもと違う点」に気づく習慣、そして「確認を徹底する」という基本的な行動を組織全体で徹底することで、その被害を防ぐことが可能です。

コストをかけずにできる対策として、メール以外の手段での送金指示の確認、不審なメールに関する「声かけ」の推奨、具体的な行動指針の策定などがあります。これらは、中小企業が今日からでも取り組める、非常に有効なBEC攻撃対策と言えます。日頃から従業員の方々と情報共有し、セキュリティ意識を高めていくことが、大切な資産を守ることにつながります。