BEC攻撃事例ファイル

支払い承認フロー変更を騙るBEC攻撃：普段と違う指示の手口と見抜く兆候

BEC攻撃は、巧妙な手口で企業の資金を騙し取るサイバー犯罪です。「BEC攻撃事例ファイル」では、実際の事例を分析し、皆様の対策に役立つ情報をお届けしています。

今回は、「支払い承認フローの変更」を騙るBEC攻撃事例を取り上げます。この手口は、企業の支払いプロセスに潜む隙を突き、正規の手続きを装って不正送金を誘導します。特に、社内にITやセキュリティの専門家がいない中小企業においては、普段の業務との違いに気づきにくい場合があり、注意が必要です。この事例から、どのような手口が使われ、どのような兆候を見抜くべきか、そしてどのような対策が可能かを学んでいきましょう。

事例の概要：普段の業務プロセス悪用

この事例では、攻撃者はまず企業の役員や部署の責任者になりすましました。標的となったのは、日々の支払いを担当する経理部門の従業員です。

攻撃者は、あたかも社内のシステム変更や監査対応、あるいは特定の取引先との関係強化などを理由に、「一時的に」あるいは「特定の支払いに限り」支払い承認のフローを変更する必要があると指示するメールを送付しました。メールは、正規の業務連絡を装っており、経理担当者はこれを鵜呑みにしてしまったのです。

騙しの手口：巧妙な「例外」指示

攻撃者が用いた騙しの手口は、以下のような点に特徴がありました。

• 役員や上司になりすまし: 経理担当者が日頃から指示を受ける可能性のある人物（例：社長、専務、経理部長）になりすましました。メールアドレスは、正規のものと一見似ているものの、よく見ると微妙に異なるものが使われました。
• 支払い承認プロセスの変更指示: 通常の支払い承認プロセス（例：複数の承認者の印鑑が必要、特定のシステムでの承認が必要）とは異なる、簡略化された、あるいは特定の担当者だけが関与するような新しい承認方法を指示しました。
• 緊急性・秘密性の強調: 「この件は緊急を要する」「外部にはまだ公にできない機密情報を含むため、関係者以外には知らせないように」といった文言で、経理担当者が周囲に確認を取ることを抑制しようとしました。
• 特定の取引先への支払いを指定: 実在する、あるいは架空の取引先への支払いを具体的に指示しました。指示された振込先口座は、攻撃者が用意した不正な口座です。
• メールのみでの指示: 支払い承認という重要な指示にも関わらず、メールでのみ連絡を行い、電話や対面での確認を意図的に避けました。

これらの手口により、経理担当者は「これは正規の、しかし例外的な特別な指示である」と思い込まされ、普段とは違う手続きで不正な支払いを実行してしまったのです。

攻撃の兆候：いつもと違う「怪しい点」を見抜く

この事例において、攻撃メールや不審なやり取りの中に、攻撃を見抜くためのいくつかの「いつもと違う点」や「怪しい点」がありました。これらを早期に察知することが、被害を防ぐ鍵となります。

• メールアドレスの不一致: 差出人名が表示されていても、そのメールアドレスを注意深く確認すると、正規のものとは異なる文字列（例：ドメイン名のスペルミス、余分な文字の追加など）が含まれていました。
• 普段の承認プロセスとの違い: 最も重要な兆候は、指示された支払い承認の方法が、会社で定められている通常のプロセスから逸脱している点です。例えば、
  • いつもなら複数の承認者が必要なのに、特定の人物一人の承認で済ませようとしている。
  • 口頭や社内システムでの確認が必要なのに、メールの指示だけで進めようとしている。
  • 普段使用しない書類フォーマットや手続きを要求されている。
• 不自然な日本語や言い回し: 攻撃メールの日本語が微妙に不自然であったり、普段上司が使わないような堅苦しい、あるいは馴れ馴れしい言い回しが使われていたりすることがあります。特に「支払い承認フロー」といった業務上の専門用語の使い方が不自然な場合も兆候となりえます。
• 過度な緊急性や秘密性の強調: 正当な理由なく、過度に「緊急」「至急」「この件は他言無用」といった言葉が繰り返されている場合、それは不審な兆候です。
• 連絡手段の限定: 電話や対面での確認を避け、メールでのやり取りに固執する場合も警戒が必要です。
• 振込先の確認: 既存の取引先への支払いであっても、指示された振込先口座情報（銀行名、支店名、口座番号、口座名義）が過去の取引と異なる場合は、必ず別途確認が必要です。新規の取引先への支払いの場合は、より慎重な確認が求められます。

事例から学ぶべき教訓と対策のヒント

この事例から、中小企業経営者や従業員の方々がBEC攻撃を防ぐために学ぶべき重要な教訓と、すぐに取り組める対策のヒントがあります。

• 「いつもの手順」を疑う意識を持つ: 最も重要なのは、日々の業務で「いつもと違う」「何かおかしい」と感じたら立ち止まる習慣をつけることです。特に、支払いに関する指示や、普段の承認プロセスからの変更指示には、細心の注意を払うべきです。
• 「別の手段で確認する」ルールを徹底する: メールで重要な指示（特に送金指示や承認フローの変更）を受け取った場合は、メール以外の手段（電話、社内チャット、直接対面など）で、本当にその指示が正規のものかを発信者本人に確認するルールを定め、従業員に徹底させましょう。この確認は、メールへの返信ではなく、完全に別のコミュニケーションチャネルで行うことが重要です。
• 従業員への具体的な注意喚起: 定期的に、BEC攻撃の手口や、この事例で紹介したような具体的な兆候（メールアドレスの確認、承認プロセスの逸脱、不自然な日本語など）について従業員に周知し、注意を促しましょう。コストをかけずにできる最も効果的な対策の一つです。
• 承認権限や支払いプロセスの明確化: 誰が、どのような条件下で支払いを承認できるのか、そのプロセスはどうなっているのかを文書化し、関係者全員が理解できるようにしておきましょう。これにより、「いつもの手順」からの逸脱に気づきやすくなります。
• 不審なメールはすぐに報告・相談する文化を醸成: 「こんなメールが来たけど、少しおかしいかもしれない」と感じた場合に、ためらわずに責任者や他の担当者に報告・相談できる組織の雰囲気を作りましょう。個人の判断だけで進めず、複数の目で確認することが重要です。

これらの対策は、特別なITシステムを導入するような大きなコストをかけることなく、すぐにでも取り組めるものです。従業員一人ひとりの意識と、組織内の簡単なルール作り・コミュニケーションが、BEC攻撃からの防御力を大きく高めます。

まとめ

「支払い承認フロー変更を騙るBEC攻撃」事例は、攻撃者が日々の業務プロセスを巧妙に悪用する典型的な手口を示しています。この事例から、私たちは、メールアドレスの確認はもちろんのこと、普段の業務との「違い」や「違和感」に気づくこと、そしてメール以外の手段で必ず確認を取ることの重要性を学ぶことができます。

特に中小企業においては、複雑なセキュリティシステムよりも、従業員一人ひとりの意識向上と、簡単な確認ルールの徹底が、BEC攻撃対策の要となります。今回ご紹介した教訓と対策のヒントを、ぜひ皆様の会社でのBEC攻撃対策にお役立ていただければ幸いです。