【事例】リモートワーク中の役員なりすましBEC攻撃:広告費用詐欺の手口と見抜く兆候
BEC攻撃は巧妙化しており、働き方の変化に合わせてその手口も進化しています。特にリモートワークが普及した現在、オフィス以外の場所で業務を行う従業員を狙う攻撃が増加しています。
本記事では、リモートワーク中の役員に「なりすまし」、担当者に偽の広告費用支払いを指示したBEC攻撃の事例を取り上げ、その手口と、どうすればこうした攻撃を見抜けるのか、そして取るべき対策について解説します。この事例から学び、皆様の会社でも同様の被害を防ぐための参考にしていただければ幸いです。
事例の概要:リモートワーク中の隙を突かれたBEC攻撃
この事例は、ある中小企業で発生しました。会社の役員がリモートワークで地方に滞在している最中に、マーケティング部門の担当者A氏のもとに、その役員を名乗るメールが届いたことから始まります。
メールの内容は「急ぎで対応してほしい広告関連の支払いがある。リモートワーク中で電話が繋がりにくいから、このメールで詳細を指示する」というものでした。役員からの指示は通常、経理部門を通じて行われることが多いのですが、メールはA氏に直接送られていました。
A氏は普段から役員とメールでやり取りをしていましたが、このメールの指示内容に違和感を覚えつつも、「役員が緊急で、しかもリモートワークで連絡を取りづらい状況だから」と考え、対応を進めようとしてしまいました。
騙しの手口:巧妙ななりすましと状況の悪用
攻撃者は、周到な準備のもとにこの攻撃を仕掛けました。その手口は以下の通りです。
- 役員へのなりすましメール: 送信元の表示名は本物の役員名と同じにしていました。しかし、よく見るとメールアドレスは、本物の役員アドレスとはドメイン名が一文字だけ違う、非常に似た偽のアドレスでした。
- リモートワーク状況の悪用: 役員がリモートワーク中で、かつ地方に滞在しているという情報を事前に把握していた可能性があります。(これは公開情報や従業員のSNSなどから得られる場合もあります)「リモートワーク中で電話が繋がりにくい」という記述は、電話での確認を避けるための常套句です。
- 緊急性の演出: 「急ぎで対応してほしい」「至急」といった言葉を使い、担当者を焦らせて冷静な判断力を奪おうとしました。
- 担当者への直接指示: 通常の業務フロー(役員→経理部→支払い担当者など)を迂回し、特定の担当者(この場合はA氏)に直接指示を出すことで、他の部署によるチェックが入る可能性を減らしました。
- 偽装された支払い情報: メールには、普段取引のない(または存在しない)海外の広告代理店への支払い指示と、添付された偽の請求書が含まれていました。請求書も見た目は本物そっくりに作られていましたが、よく見ると振込先情報などが普段と異なっていました。
攻撃の兆候:見抜くべき「いつもと違う点」
幸いにも、この事例では送金直前に不審な点に気づき、被害を防ぐことができました。攻撃を見抜くための具体的な兆候は以下の通りです。
- メールアドレスの微細な違い: 送信者の「表示名」が正しくても、実際の「メールアドレス」が普段使っているものと微妙に異なっていないか確認することが最も重要です。特に「@」以降のドメイン名に注意が必要です。
- 普段と異なる連絡手段や指示: 役員や取引先からの指示が、普段利用しないメールアドレスから来たり、電話ではなくメールでのやり取りを強く推奨されたりした場合、警戒が必要です。
- 不自然な日本語や表現: メール本文に、普段の役員の話し方と違う、あるいは不自然な日本語や言い回しが含まれていないか確認します。翻訳ツールを使ったような不自然さがないかも注意点です。
- 「緊急」「至急」の過度な強調: 必要以上に緊急性を煽るような表現は、冷静な判断を妨げるための攻撃者の手口である可能性が高いです。
- 業務フローからの逸脱: 通常は経理部門が処理する支払い指示が、直接担当者に届いたり、普段とは違う支払い手続きを求められたりした場合、非常に疑わしい兆候です。
- 不慣れな振込先: 指示された振込先が、普段取引のない銀行、口座名義が個人名、海外の銀行口座であるなど、見慣れない情報である場合は、必ず複数経路で確認が必要です。添付された請求書の内容も、会社名、住所、振込先情報などが正しいか確認します。
- 攻撃者が会社の状況を知っているかのような記述: リモートワーク中であることや、特定のプロジェクトの進行状況など、社内の状況を攻撃者が知っているかのような記述がある場合、内部情報が漏洩しているか、あるいは巧妙な事前調査が行われている可能性があります。
事例から学ぶ教訓と対策のヒント
この事例から学ぶべき最も重要な教訓は、どんなに信頼できる相手からの連絡に見えても、「いつもと違う点」がないかを常に意識し、少しでも不審に感じたら必ず確認を怠らないということです。
中小企業経営者や従業員が、コストをかけずに実践できる対策のヒントをいくつかご紹介します。
- 【最重要】支払い指示の二重確認ルールの徹底: メールやチャットなど、文字情報のみでの高額な支払いや、普段と異なる振込先への送金指示があった場合は、必ず別の連絡手段(本人の携帯電話に直接電話する、会社の代表電話を通じて連絡を取る、ビデオ会議で顔を見て話すなど)で、指示の正当性を本人に確認するルールを徹底してください。これは最も基本的かつ効果的な対策です。
- 役員や上司とのコミュニケーションルールの共有: リモートワーク中や出張中など、普段と異なる状況下での連絡方法や、緊急時の支払い指示について、事前に役員と担当部署、従業員の間でルールを決めて共有しておきましょう。「緊急時でも、メールでの支払い指示のみで対応しない」といった明確なルールが有効です。
- メールアドレスの確認を習慣化する: メールを開いたら、まず送信者の「表示名」だけでなく、その背後にある「メールアドレス」全体を確認する習慣をつけましょう。特にドメイン名(@マーク以降)のスペルミスや微細な違いに注意が必要です。
- 不審なメールはすぐに報告・相談する文化を作る: 「もしかしたら本物かも…」と一人で抱え込まず、少しでも怪しい、違和感があると感じたメールは、すぐに他の従業員や信頼できる上司に報告・相談できる雰囲気、仕組みを作りましょう。「怪しいと思ったら確認・相談する」という行動指針を組織全体で共有することが大切です。
- 従業員への継続的な注意喚起と教育: BEC攻撃の手口は常に変化します。専門的な知識は必要ありません。実際の事例や見抜くべき兆候について、朝礼や社内メールなどを活用し、定期的に従業員全体へ注意喚起を行いましょう。「自分には関係ない」と思わない意識を持つことが重要です。
まとめ
リモートワークの普及など、働き方が多様化する中で、BEC攻撃の手口もより巧妙に、状況を悪用するものへと変化しています。役員なりすましによる広告費用詐欺の事例は、メールアドレスの偽装、緊急性の演出、そして普段と異なる業務フローを指示することで、担当者を騙そうとする攻撃者の意図が明確に表れています。
しかし、こうした攻撃には必ず「いつもと違う点」「不審な兆候」が存在します。それらを見抜くための鍵は、従業員一人ひとりが「おかしいな」という違和感に気づき、立ち止まり、そして「確認する」という当たり前の行動を徹底することです。
特別なシステム導入などのコストをかけなくとも、ご紹介したような二重確認のルール徹底や従業員への注意喚起だけでも、BEC攻撃の被害を防ぐ可能性を大きく高めることができます。本記事が、皆様の会社のBEC対策を考える一助となれば幸いです。