BEC攻撃事例ファイル

【事例】「いつもの社内チャット」からの不審な送金指示：ツールを悪用するBEC攻撃の手口と見抜く兆候

BEC（ビジネスメール詐欺）は、企業の信頼関係やコミュニケーション手段を悪用し、金銭をだまし取る詐欺です。これまでビジネスメールが主な舞台となってきましたが、最近では企業で広く使われるようになった社内コミュニケーションツール、いわゆる社内チャットツールを悪用する手口も確認されています。

本稿では、「いつもの社内チャット」を通じて行われるBEC攻撃の具体的な事例を取り上げ、その騙しの手口や、攻撃を見抜くための重要な兆候について解説いたします。この事例から学び、皆様の会社で同様の被害を防ぐための対策のヒントを得ていただければ幸いです。

社内チャットツールを悪用したBEC攻撃事例の概要

この事例では、攻撃者は何らかの方法で企業の社内チャットツールのアカウント情報を入手するか、あるいは巧妙に偽装したアカウントを作成しました。そして、そのアカウントを使って、社内の経理担当者や財務担当者など、送金権限を持つ従業員にダイレクトメッセージを送りました。

メッセージは、あたかも上司や役員、あるいは特定のプロジェクトリーダーからのものであるかのように装われています。内容は、緊急性の高い支払い、例えばサプライヤーへの未払い金や、新規プロジェクト関連の費用、秘密裏に進めているM&A案件の手数料などといった名目で、指定の口座へ送金するよう指示するものです。

重要な点は、この指示が普段から使っている「いつもの」社内チャットツールを通じて行われることです。従業員は日頃からこのツールでやり取りしているため、指示に対して警戒心が薄れてしまう傾向があります。

騙しの手口と具体的な兆候

この攻撃で用いられる主な手口と、そこに含まれる不審な兆候について詳しく見ていきましょう。

騙しの手口

1. 巧妙ななりすまし:
   • アカウント名やプロフィール画像を、本来の人物とほぼ同じに設定します。名前のスペルを少しだけ変えたり、似たようなアイコンを使ったりします。
   • 過去のやり取りを参考に、その人物の普段の口調や言葉遣いを真似ることもあります。
2. ターゲットの選定:
   • 主に経理や財務に関わる担当者を狙います。会社の組織構造や担当業務について、事前に何らかの情報を入手している可能性があります。
3. 緊急性の強調:
   • 「至急対応が必要」「締め切りが迫っている」「すぐに送金してほしい」など、強い緊急性を示す言葉を使って、被害者が冷静に判断する時間を与えないように仕向けます。
4. チャットでの指示:
   • メールではなく、普段からカジュアルなやり取りに使われるチャットツールを選びます。これにより、指示の信憑性を高めようとします。
   • 他の従業員に内容が見えないよう、ダイレクトメッセージで指示を出すことが一般的です。
5. 理由付けと口止め:
   • 支払いの理由として「秘密のプロジェクト」「重要な契約」「社外秘の情報」などを挙げ、内容について他の人に相談したり確認したりしないよう指示する場合があります。これにより、正規の承認プロセスや確認行動を阻害します。
   • 電話での確認を求められた際に、「今は会議中」「移動中」「電話できない状況」などと理由をつけて回避しようとします。
6. 送金情報の提示:
   • 送金先の口座情報（銀行名、支店名、口座番号、受取人名）をチャット上で直接伝えるか、あるいは添付ファイル（偽の請求書など）として送付します。

攻撃の兆候（「いつもと違う点」「怪しい点」）

中小企業の経営者や従業員が、この種の攻撃を見抜くために注意すべき具体的な兆候は以下の通りです。

1. 差出人アカウントの微細な違い:
   • 表示名やユーザーIDに普段と異なる点がないか確認します。一見同じに見えても、アルファベットが一文字違う、数字が入っている、記号が余分についているなど、注意深く見ると違いが見つかることがあります。
   • プロフィール画像が設定されていない、あるいは普段と違う画像になっている場合も不審です。
2. チャットの開始方法や内容の唐突さ:
   • 普段、その相手とはどのようなチャットでやり取りしていますか？ プロジェクトのグループチャットや特定の話題のスレッドなどで話すことが多いのに、突然ダイレクトメッセージで個人的な指示が来た場合などは注意が必要です。
   • 挨拶もなく、いきなり本題（送金指示）に入ってくる場合も不自然です。
3. 普段と違う口調や言葉遣い:
   • 丁寧すぎる、あるいは逆に乱暴すぎる、不自然な日本語が含まれている、普段使わない専門用語を使っているなど、相手のいつもの話し方と異なる点がないか確認します。
4. チャットツールで送金指示？
   • そもそも、会社の正規の手続きとして、社内チャットツールのみで高額な送金指示が出されることはありますか？ もし普段のやり取りやルールから外れた方法で指示が出ている場合、強い警戒が必要です。
5. 電話や対面での確認を避ける:
   • 指示の差出人に電話や対面で確認しようとした際に、相手がこれを避けようとする、あるいは「チャットで全て話した」「電話するな」といった指示を出す場合、非常に怪しい兆候です。
6. 送金先の不自然さ:
   • 送金先の口座情報が、過去に取引したことのある口座と違う場合。特に個人名義の口座や、普段取引のない海外の口座などが指定されている場合は、まず間違いなく詐欺を疑うべきです。

これらの兆候のいずれか一つでも見られた場合、安易に指示に従わず、必ず別の手段で本人に直接確認を取ることが極めて重要です。

事例から学ぶ教訓と対策のヒント

この社内チャットツール悪用事例から、中小企業が学ぶべき教訓と、コストをかけずに実践できる対策のヒントをご紹介します。

コストをかけずにできる基本的な対策

1. 「支払い指示に関する社内ルールの明確化と周知徹底」
   • 最も重要かつコストのかからない対策は、支払い指示に関する正規の承認プロセスや確認ルールを明確に定め、全従業員に周知徹底することです。
   • 例えば、「チャットツールだけで支払い指示を完結させない」「高額な送金指示や普段と違う送金先の指示は、必ず担当役員や上司に電話や別の手段で直接確認を取る」「電話で確認が取れない場合は、支払いを保留する」といったルールを設けます。
   • このルールが例外なく守られる文化を醸成することが肝心です。「緊急」と言われても、正規の手順を踏むことを優先する意識を持つように教育します。
2. 「社内コミュニケーションツールの正しい使い方とリスク教育」
   • 従業員に対し、社内チャットツールもなりすましの標的になりうることを教育します。
   • 具体的にどのような兆候（アカウント名の違い、不自然な言葉遣い、電話に出ないなど）に注意すべきかを具体的に伝えます。
   • 「怪しいと感じたら一人で判断せず、すぐに担当部署や別のルートで確認する」「報告・相談のハードルを下げる」といった行動指針を示します。
   • チャットツールに表示されるアカウント情報（ユーザーIDなど）の確認方法を周知することも有効です。
3. 「アカウントのセキュリティ対策の強化（可能な範囲で）」
   • 利用している社内チャットツールが多要素認証（MFA）に対応している場合、設定可能な従業員は可能な限りMFAを設定します。これにより、パスワードが漏洩しても不正ログインを防ぐ確率が高まります。
   • 退職した従業員のアカウントは、速やかに無効化する体制を整えます。

経営者として意識すべきこと

• 対策は「人」と「プロセス」に焦点を当てる: IT専門知識がない、セキュリティ担当者がいない中小企業の場合、高額なシステム導入よりも、従業員の意識向上と、支払い承認などの社内プロセスの見直しが最も現実的で効果的な対策となります。
• 定期的な注意喚起: 一度周知しただけでは忘れてしまいます。定期的に（例：月一回の朝礼時や社内報など）、過去の事例や新しい手口について注意喚起を行うことが重要です。
• 「怪しいと思ったら相談」しやすい環境づくり: 従業員が「もしかして？」と感じたときに、気兼ねなく相談できる、あるいは支払いを保留して確認する勇気を持てるような心理的な安全性のある職場環境を作ることが、早期発見には不可欠です。

まとめ

社内チャットツールは、日々の業務を効率化する上で非常に有用なツールです。しかし、その利便性や「いつもの」安心感が、BEC攻撃の盲点となり得ることが本事例から分かります。

重要なのは、ツールの性質に関わらず、金銭の支払いや送金指示といった重要な業務プロセスにおいては、正規のルールに基づいた厳格な確認を怠らないことです。特に、普段と違う指示や、緊急性を異常に煽る指示には、立ち止まって複数の手段で確認を取る習慣をつけましょう。

コストをかけずとも、「社内ルールの明確化と遵守」「従業員への継続的な教育」「怪しいと感じたら相談する文化」を徹底することで、多くのBEC攻撃のリスクを低減させることができます。本稿が、皆様の会社のBEC対策強化の一助となれば幸いです。