BEC攻撃事例ファイル

【事例】新しい福利厚生導入を騙るBEC攻撃：社内なりすまし手口と見抜く兆候

新しい福利厚生通知に潜む罠：見過ごせないBEC攻撃の手口

近年、ビジネスメール詐欺（BEC）の手口は巧妙化の一途をたどっています。特に、社内事情に詳しい人物になりすまし、従業員を直接狙うケースが増えています。今回は、「新しい福利厚生や制度の導入に関するお知らせ」を装ったBEC攻撃の事例を取り上げ、その手口、見抜くべき兆候、そして中小企業が講じるべき対策のヒントについて解説します。

この種の攻撃は、従業員が「会社からの正式な通知だろう」と信頼しやすく、警戒心が薄れがちな点を突いてきます。中小企業においては、専門のセキュリティ担当者がいない場合も多く、従業員一人ひとりが注意深く対応できるかが鍵となります。この事例から学び、貴社のBEC対策にお役立ていただければ幸いです。

事例の概要と巧妙な騙しの手口

この事例は、ある中小企業の従業員宛てに、役員や人事担当者名を騙るメールが届いたことから始まりました。メールの件名は「【重要】新しい福利厚生制度導入のお知らせ」や「ご確認必須：●●制度について」など、従業員の関心を引きやすく、開封を促すような内容でした。

メール本文には、あたかも社内で検討が進められていた新しい福利厚生や手当、あるいは人事制度の変更に関する情報が記されており、「詳細はこちらの添付ファイルをご確認ください」や「手続きは以下のURLから行ってください」といった指示が含まれていました。

攻撃者の狙いは、添付ファイルを開かせてマルウェアに感染させること、あるいは偽のウェブサイトに誘導してログイン情報や個人情報を詐取することです。さらに悪質なケースでは、その情報を使って従業員アカウントを乗っ取り、別の従業員や取引先への二次攻撃に悪用することも考えられます。

この手口の巧妙さは、メールの内容が実際に社内で起こりうるであろう「新しい制度導入」という文脈に沿っている点です。日頃から会社からの公式通知を受け取ることに慣れている従業員は、特に疑うことなくメールを開封し、指示に従ってしまう可能性があります。

攻撃を見抜くための具体的な「兆候」

このような「新しい福利厚生通知」を装ったBEC攻撃には、注意深く見れば必ず「不審な兆候」が存在します。早期に攻撃を見抜くための具体的な手がかりをいくつかご紹介します。

1. 送信元メールアドレスの確認:

   • 最も基本的ながら重要な点です。メールの送信元アドレスが、普段会社や役員、人事担当者が使用しているものと一致するか確認してください。
   • 正式なドメイン名が微妙に違っている（例: @company.com が @compamy.com など、タイプミスを狙う）場合や、フリーメールアドレス（Gmail, Yahoo!メールなど）が使われている場合は、ほぼ間違いなく不審なメールです。

2. メール本文の不自然さ:

   • 日本語の言い回しが不自然であったり、誤字脱字が目立ったりしないか確認してください。攻撃者は海外を拠点としていることも多く、翻訳ツールなどを使用した際に不自然な文章になることがあります。
   • 普段の役員や担当者のメールの文体、敬称の使い方が異なっていないかも注意点です。

3. 添付ファイルやリンクの確認:

   • 心当たりのない添付ファイルは、安易に開かないでください。ファイル名や拡張子が怪しい場合（例: .exe, .zipファイル内に身に覚えのないファイル）、特に注意が必要です。
   • メール本文中のリンクをクリックする前に、マウスカーソルをリンクの上に合わせ、表示されるURLを確認してください。会社の公式サイトや正規の手続きサイトとは異なる、見慣れないURLが表示された場合は危険です。

4. 情報の周知方法の確認:

   • 新しい制度や福利厚生など、重要な情報は、通常、社内システムでの掲示、全体会議での説明、書面配布など、複数の手段で周知されることが多いはずです。突然、メール一通だけで重要な手続きや情報の入力を求めてくる場合は、その正当性を疑うべきです。

5. 緊急性や個人情報の入力を強く促す内容:

   • 「〇日までに手続きしないと制度を利用できません」「今すぐ個人情報を入力してください」など、過度に緊急性を煽ったり、すぐに個人情報やパスワードの入力を求めたりするメールは、フィッシング詐欺やBEC攻撃の可能性が高いです。

事例から学ぶ教訓と対策のヒント

この事例から得られる教訓と、中小企業経営者や従業員が今すぐできる対策のヒントは以下の通りです。コストをかけずに始められる基本的な対策に焦点を当てます。

• 従業員への定期的な注意喚起と教育:

  • BEC攻撃の手口は多様化していること、特に社内なりすましが増えていることを、定期的に従業員に伝えてください。
  • 今回の事例のように、「新しい制度のお知らせ」など、一見無害そうなメールにも危険が潜んでいることを具体的に知らせることが重要です。
  • 不審なメールを見分けるための基本的なポイント（送信元アドレス確認、不自然な日本語、添付ファイル・リンクの注意喚起）を周知徹底してください。

• 社内コミュニケーションルールの確認:

  • 重要な情報伝達や手続き依頼（特に個人情報やパスワード関連）は、メール以外の手段（社内システム、電話、対面など）での確認を必須とするルールを検討してください。
  • 「役員や人事部からの重要なメールは、必ず口頭でも確認する」といった二重チェック体制を設けることも有効です。

• 不審なメールの報告体制づくり:

  • 従業員が「これ、怪しいな」と感じた際に、誰に、どのように報告すれば良いのかを明確にしてください。
  • 不審なメールを報告しても評価が下がるわけではない、という安心できる雰囲気づくりが重要です。従業員がためらわずに報告できる環境は、早期発見につながります。

• 技術的な基本的な対策:

  • メールサービスのフィルタリング機能を活用し、迷惑メールやフィッシングメールが可能な限り受信トレイに届かないように設定を見直してください。
  • 従業員に対して、安易なパスワードの使い回しを避け、複雑なパスワードを設定するよう促してください。可能であれば、重要なサービスでの二段階認証の利用を推奨してください。

まとめ

「新しい福利厚生導入のお知らせ」を装ったBEC攻撃は、従業員の油断を誘う巧妙な手口です。このような攻撃から会社を守るためには、特定の担当者だけでなく、従業員一人ひとりがセキュリティ意識を持ち、「いつもと違う」点や「怪しい」点に気づけるかどうかが非常に重要になります。

今回ご紹介した事例のように、攻撃者は従業員の関心事や会社の状況を悪用してきます。基本的な注意点を徹底し、不審なメールは放置せず必ず報告・相談するという意識を社内全体で共有することが、BEC攻撃の被害を防ぐための最も現実的で効果的な第一歩と言えるでしょう。