BEC攻撃事例ファイル - 【事例】ソフトウェア更新費用を騙るBEC攻撃：巧妙な請求手口と見抜く不審な兆候

【事例】ソフトウェア更新費用を騙るBEC攻撃：巧妙な請求手口と見抜く不審な兆候

Tags: BEC攻撃, ソフトウェア更新, クラウドサービス, 偽請求書, 中小企業セキュリティ, 対策

【事例】ソフトウェア更新費用を騙るBEC攻撃：巧妙な請求手口と見抜く不審な兆候

企業の皆様にとって、日々の業務で利用する様々なソフトウェアやクラウドサービスの「更新」は避けられないものです。正規のベンダーから更新費用やライセンス料の請求が届くことは日常的なため、その手続きに慣れている方も多いでしょう。

しかし、この「ソフトウェアやサービスの更新」という慣れた手続きを巧妙に悪用するBEC攻撃が発生しています。今回は、このような手口の事例とその特徴、そして中小企業の皆様がどのようにしてこの攻撃を見抜き、対策を講じるべきかについて解説いたします。

事例の概要：日常業務に紛れ込む偽の更新請求

この事例で発生したBEC攻撃は、企業が利用している可能性のある特定のソフトウェアやクラウドサービスの「更新料」または「ライセンス料」の請求を装うものでした。攻撃者は、正規のベンダーやサービス提供者になりすまし、経理担当者や情報システム担当者（あるいはその両方に関わる従業員）に対して偽の請求メールを送付します。

メールには、まるで正規の請求書であるかのような添付ファイルが含まれている場合が多く、指定された期日までに「更新手続き」として請求金額を指定の口座へ振り込むよう指示されていました。

騙しの手口：なぜ見破りにくいのか

攻撃者は、被害者が請求内容を鵜呑みにしてしまうよう、いくつかの巧妙な手口を用いてきます。

正規ベンダーのなりすまし: 攻撃者は、企業が実際に利用している、あるいは利用していてもおかしくない有名なソフトウェアベンダーやクラウドサービスプロバイダーの名前を騙ります。これにより、受信者は「この会社からの請求はあり得る」と感じてしまいます。
本物そっくりのメールと請求書: メール本文は、正規の連絡文面をコピーするなどして作成されており、非常に自然に見えます。添付されている請求書ファイルも、ロゴやフォーマットを正規のものに似せて作成されており、一見しただけでは偽物と判断がつきにくいように工夫されています。
緊急性の演出: 「ライセンスが期限切れ間近」「サービスが停止する可能性がある」「早期支払いの割引がある」など、受け取った側に「早く手続きしなければ」と思わせるような文言が含まれていることが多いです。
振込先口座の変更指示: 正規の請求書との決定的な違いである振込先口座は、「合併により振込先が変わった」「担当部署の変更に伴い口座が変わった」など、もっともらしい理由をつけて変更されたかのように指示します。

攻撃の兆候：ここに気づけば防げたかもしれない「いつもと違う点」

このような攻撃メールには、注意深く確認すれば気づける「不審な兆候」が隠されています。この事例で被害に遭われた企業でも、後から振り返ると以下のような点が確認されました。

送信元メールアドレスの微細な違い: 正規のベンダーのドメイン名と一文字だけ違う（例: @company.co.jp が @cornpany.co.jp）、「.com」が「.co.jp」になっている、あるいはGmailやYahoo!メールなどのフリーメールアドレスが使われている、といった違いが見られました。
メール本文や添付ファイルの日本語の不自然さ: 句読点の使い方や言い回し、敬語などが微妙に不自然であったり、フォントがおかしかったりする場合があります。
請求書の内容の不一致: 請求されているソフトウェアやサービスの名称、金額、契約期間が、実際に自社で契約している内容と異なっていました。また、請求書番号の形式や日付の記載方法などが、過去に受け取った正規の請求書と違っていました。
振込先口座の情報: 普段取引のある銀行や支店名と異なる、口座名義が企業名ではなく個人名や全く関係のない団体名になっているなど、不審な点が多く見受けられました。特に、海外の銀行口座が指定されている場合は非常に高い確率で詐欺です。
連絡先の不審さ: メール本文や請求書に記載されている問い合わせ先の電話番号が、正規のウェブサイトに載っている番号と違う、あるいは携帯電話の番号であったりしました。また、「このメールに返信する形で問い合わせてください」と、電話での確認を避けるように促している場合もありました。
過去のやり取りとの関連性の欠如: 以前に正規のベンダーとやり取りしたメールの履歴と比べて、今回のメールが全く新しいスレッドで始まっている、過去の担当者名が出てこない、などの違和感がありました。

事例から学ぶべき教訓と対策のヒント

この事例から、中小企業経営者や従業員の方々がBEC攻撃の予防や早期発見のために学ぶべきことは多くあります。コストをかけずにできる基本的な対策が非常に有効です。

送金・支払いに関する「二重確認」ルールの徹底: 請求書の確認者が送金手続き者と異なるようにする、あるいは、請求内容と振込先口座が記載されたメールを受け取った場合、必ずメール以外の方法（正規の電話番号に電話するなど）で、その請求や振込先口座が正しいものか正規の担当者に確認する、といったルールを設けて全従業員に周知徹底してください。特に、振込先口座の変更指示があった場合は、最も警戒が必要です。
過去の正規請求書や契約内容の保管・参照: 実際に利用しているソフトウェアやクラウドサービスの過去の正規請求書や契約情報をすぐに参照できる場所に保管しておくことで、偽の請求書との違いを比較しやすくなります。
不審なメールの兆候を学ぶ: BEC攻撃でよく使われる「送信元アドレスの偽装」「不自然な日本語」「緊急性を煽る文言」「振込先口座の変更」といった典型的な兆候について、従業員全体で情報共有し、注意力を高める研修や情報提供を定期的に行ってください。怪しいと感じたらすぐに担当部署や責任者に報告する、という体制を築くことが重要です。
「いつもと違う」に気づける組織文化: 普段と少しでも違う点（請求のタイミング、金額、連絡方法など）に気づけるよう、日頃から従業員同士がコミュニケーションを取りやすい風通しの良い環境を整備することも、間接的ではありますが攻撃の早期発見に繋がります。

まとめ

ソフトウェア更新費用を騙るBEC攻撃は、企業の日常業務に紛れ込みやすく、誰もが被害者になる可能性があります。攻撃者は巧妙な手口を使いますが、送信元メールアドレスの微細な違い、請求書の不自然さ、振込先口座の情報など、注意深く確認すれば必ず「いつもと違う点」「怪しい点」が見つかります。

今回ご紹介した事例から学べる最も重要な教訓は、「安易に信用せず、必ず正規の方法で確認を行う」という徹底したルール作りと、それを組織全体で実践することです。高額なセキュリティシステムを導入しなくても、従業員一人ひとりの意識と基本的な確認作業の徹底によって、多くのBEC攻撃は防ぐことが可能です。ぜひ、この事例を参考に、皆様の会社でも改めてBEC対策について話し合ってみてください。