BEC攻撃事例ファイル

【事例】社内計画を悪用したBEC攻撃：役員なりすましと急な送金指示の手口と見抜く兆候

はじめに：社内情報を装う巧妙な手口

BEC（ビジネスメール詐欺）は、ビジネスメールを悪用して企業の担当者を欺き、不正な送金を行わせる詐欺です。その手口は年々巧妙化しており、最近では単なるなりすましだけでなく、あたかも企業の内部事情を知っているかのように装うケースが増えています。

本記事では、「BEC攻撃事例ファイル」として、社内で進行している特定のプロジェクトや設備投資計画に関する情報を悪用したBEC攻撃の事例を取り上げます。この事例から、攻撃者がどのように被害者を騙そうとしたのか、そして中小企業の経営者や従業員が、このような巧妙な手口を見抜くためにどのような点に注意すべきか、具体的な兆候と対策のヒントをご紹介します。

事例の概要：進行中の計画に便乗した攻撃

この事例は、ある中小企業で特定の大型設備投資が社内で検討され、具体的な購入先や金額が内部で共有されていた状況で発生しました。攻撃者は何らかの方法（※詳細は不明ですが、標的型攻撃や関連企業の情報漏洩などが考えられます）でこの情報を入手したか、あるいは推測した上で、企業の経理担当者を標的としたBEC攻撃を仕掛けました。

攻撃者は、その企業の役員になりすまし、経理担当者に対し、件の設備投資に関する「緊急の支払い」を指示するメールを送信しました。メールの内容は、実際に検討されている設備名やプロジェクト名に触れており、担当者は最初は疑うことなく対応しようとしました。

騙しの手口：役員なりすましと緊急性の演出

攻撃者が用いた主な手口は以下の通りです。

1. 役員メールアドレスの偽装: 送信元のメールアドレスを、役員が普段使用しているアドレスと非常に似たものに偽装しました。例えば、「@co-ltd.jp」を「@co-ltd.co」とするなど、一見しただけでは気づきにくい微細な違いを持たせていました。
2. 社内情報を装うメール内容: メールの本文に、実際に社内で検討が進んでいた設備名やプロジェクト名を含めることで、受信者に対し「これは本物の役員からの、社内情報に基づいた指示である」という印象を与えました。
3. 緊急性の強調: 「明日午前中までに送金が必要」「この件は機密性が高いため迅速な対応を求める」など、必要以上に緊急性を強調し、担当者に冷静に判断する時間を与えないように仕向けました。
4. 連絡手段の制限: 「私は現在出張中で電話に出られない」「重要な件なので、やり取りはメールで行いたい」などと理由をつけ、電話での口頭確認を意図的に避けるよう指示しました。
5. 普段と異なる送金指示: 支払い先として、普段取引のない海外の銀行口座や、企業名ではなく個人名義の口座を指定しました。振込先情報がPDFファイルで添付されている形式をとっていました。

これらの手口により、経理担当者は、普段から信頼している役員からの、しかも具体的な社内事情に基づいた指示であると感じ、疑うことなく送金手続きを進めそうになりました。

攻撃の兆候：見抜くべき「いつもと違う点」

幸いにも、この事例では送金前に不審な点に気づき、被害を免れることができました。攻撃メールやその後のやり取りの中にあった具体的な「いつもと違う点」や「怪しい点」は以下の通りです。

• 送信元メールアドレスの微細な違い: 役員のアドレスと一文字だけ違う、ドメインの末尾が違うなど、注意深く見ないと気づかない違いがありました。
• メールの日本語の不自然さ: 全体的に日本語は自然でしたが、普段役員が使わないような言い回しや、句読点の使い方にわずかな違和感がありました。
• 添付ファイルの存在と内容: 送金指示が本文ではなくPDFファイルに記載されていました。そのPDFファイル内の振込先名義が、これまで取引したことのない個人名義であった点が特に不審でした。
• 送金先の銀行口座: 指定された銀行が、普段の取引で利用している銀行ではなく、海外の、しかも普段耳慣れない銀行でした。
• 電話での確認を避ける指示: 「出張中」という理由で電話確認を避けるよう強く求められたことが、担当者にとって大きな違和感となりました。重要な支払いであれば、電話で確認するのが通常だと感じたためです。
• 署名の不完全さ: 役員の署名が、普段メールで使用している正式な署名と比べて情報が少なかったり、形式が崩れていたりしました。

これらの「いつもと違う点」に気づき、経理担当者が他の従業員に相談したことで、役員本人に別の手段（内線電話など）で確認を取り、攻撃だと判明しました。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業の経営者や従業員がBEC攻撃を防ぐために学ぶべき教訓と、コストをかけずにできる対策のヒントは以下の通りです。

1. 「いつもと違う」に気づく意識を持つ: 攻撃者は、普段の業務の流れや人間の心理を巧みに利用します。メールの送信元アドレス、件名、本文の言葉遣い、添付ファイルの形式、送金先の情報、連絡手段など、「普段と少しでも違うな」と感じたら、必ず立ち止まってください。この「違和感」が、攻撃を見抜くための最初の重要な手がかりです。
2. 高額な送金や普段と違う送金指示には「二重確認」を徹底する: 特に、高額な送金指示や、普段取引のない送金先への指示があった場合は、メールの指示だけで判断せず、必ず別の方法で本人に確認を取るルールを徹底してください。
   • 電話で直接本人に確認する: メールを送信してきた役員や担当者に、普段から使用している電話番号（会社の代表電話や内線など、メールに記載された番号ではないもの）にかけて口頭で確認します。
   • 別のチャットツールや対面で確認する: 可能であれば、メール以外のコミュニケーション手段（社内チャットツールなど）や、直接会って確認します。
   • 確認方法のポイント: メールへの返信で「確認しましたか？」と聞くのではなく、新しい会話としてゼロから確認することが重要です。攻撃者がメールアカウントを乗っ取っている場合、返信しても攻撃者が対応してしまう可能性があるためです。
3. 不審な点は一人で抱え込まず、必ず相談・報告する: 少しでも怪しいと感じたら、「勘違いかもしれない」と思わず、上司や同僚に必ず相談・報告してください。一人で判断せず、複数の目で確認することが被害を防ぐ上で非常に有効です。社内にセキュリティ担当者がいない場合でも、信頼できる他の経営層や古参の従業員と共有するだけでも効果があります。
4. 社内での注意喚起と情報共有を定期的に行う: BEC攻撃の手口は常に変化しています。このような実際の事例を社内で共有し、「このような手口がある」「このような点に注意しよう」と従業員に定期的に注意喚起することが重要です。具体的な「怪しい兆候リスト」を作成し、掲示するなどして意識を高めることも有効です。
5. 基本的なメールセキュリティの再確認:
   • 送信元のアドレスをよく確認する癖をつける。
   • 件名が不自然なメールや、知らない相手からのメールは警戒する。
   • 安易に添付ファイルを開いたり、本文中のリンクをクリックしたりしない。特に送金指示が添付ファイルで来た場合は要注意です。
   • 役員や取引先など、関係者の正確な連絡先リストを整備し、送金指示があった際にすぐに本人に確認できるようにしておく。

これらの対策は、特別なITシステムを導入したり、大きなコストをかけたりすることなく、組織内の意識とルール作りで実施できるものがほとんどです。「うちは大丈夫だろう」と過信せず、日頃から従業員一人ひとりが警戒心を持つことが、BEC攻撃から会社を守るための何よりの盾となります。

まとめ：日頃の意識と確認の徹底を

本記事では、社内計画に便乗し、役員になりすまして急な送金指示を行うBEC攻撃の事例とその見抜き方、対策について解説しました。攻撃者は、社内情報を持っているかのように装うことで、指示の信憑性を高めようとします。

このような巧妙な攻撃から会社を守るためには、「いつもと違う点」に気づく日頃の意識、そして高額な送金指示や普段と違う指示があった場合の「二重確認・多段階承認」のルール徹底が不可欠です。社内で情報共有を行い、従業員全員がBEC攻撃の手口と兆候を知り、警戒心を高く持つことが、皆様の会社をBEC攻撃から守るための第一歩となります。