BEC攻撃事例ファイル

【事例】「助成金の手続き」を騙るBEC攻撃：偽装サイトと送金指示の手口、見抜く兆候

増加する「助成金」を騙るBEC攻撃とその危険性

近年、国や自治体、各種団体による中小企業向けの助成金や補助金制度が数多く存在します。これらの制度は経営の助けとなる一方で、残念ながらサイバー攻撃者にとって新たな標的となっています。特に、事業継続や設備投資、雇用関連など、企業が申請を検討しやすいタイミングを狙って、「助成金の手続き」を装うBEC（ビジネスメール詐欺）攻撃が増加傾向にあります。

このような攻撃は、ITの専門知識がない中小企業経営者や担当者の方々にとって、見抜くことが非常に難しい場合があります。しかし、いくつかの兆候を知っておくことで、被害を防ぐ可能性が高まります。本記事では、「助成金の手続き」を騙るBEC攻撃の具体的な手口と、攻撃を見抜くための不審な兆候、そして、今すぐできる対策のヒントをご紹介します。

事例の概要：助成金申請を悪用したBEC攻撃の手口

この事例では、中小企業の経理担当者の元に、公的機関や助成金関連団体の名を騙るメールが届きました。メールの内容は、「現在申請中の助成金について、追加の手続きが必要です」といったものでした。

騙しの手口:

攻撃者は、公的機関の名称やロゴを巧妙に使い、公式サイトを模倣した偽のウェブサイトに誘導しようとしました。

1. なりすまし: メールは、実際にその企業が申請している可能性のある助成金に関連する公的機関や団体の名称を騙っていました。メールアドレスも、よく見ないと気づかないような、公式サイトのアドレスと酷似したものを使用しています。
2. 緊急性・重要性の強調: メール本文では、「追加手続きが期限内に完了しないと、助成金が支給されなくなる」「重要な確認事項のため、至急対応が必要」などと、受け取る側の焦りを誘うような言葉が使われていました。
3. 偽サイトへの誘導: メールの指示に従って詳細を確認しようとすると、「手続きは以下の専用サイトから行ってください」といった形で、本物そっくりの偽サイトのURLが示されていました。この偽サイトにアクセスすると、ログイン情報や企業の機密情報、さらには手数料や保証金といった名目で少額の送金を要求されるように仕組まれていました。
4. 巧妙な支払い要求: 偽サイトやその後のやり取りの中で、「システム利用料」「事務手数料」「保証金」など、助成金の手続きに関連しそうな名目で送金が指示されました。振込先は、個人名義や海外の口座など、普段取引のない不審なものでした。

この手口は、助成金申請という企業の関心が高いテーマに便乗し、偽の情報を提示して金銭や情報を騙し取ろうとするものです。

攻撃の兆候：いつもと違う「怪しい点」を見抜く

このようなBEC攻撃は巧妙ですが、注意深く確認することで、必ずいくつかの不審な兆候を見つけることができます。この事例で見られた、あるいは一般的に助成金詐欺メールで確認される兆候は以下の通りです。

• メールアドレスの不審な点: 送信元のメールアドレスが、公的機関の公式サイトに記載されているものと微妙に異なる場合があります。（例：meti.go.jp の代わりに meti-go.jp.support.co.jp など）ドメイン名（@マークの後ろの部分）をよく確認することが重要です。
• メール本文の不自然さ: 公的機関からのメールとしては不自然な、誤字脱字や言い回し、不自然な日本語が含まれていることがあります。また、企業の正式名称ではなく、「ご担当者様」といった曖昧な宛名になっている場合も怪しい兆候です。
• リンク先のURLの不審な点: メール本文中のリンクにマウスカーソルを合わせると、画面左下などに表示されるURLが、公的機関の公式サイトのURLと異なる場合があります。よく似せていても、一部の文字が違ったり、見慣れない文字列が含まれていたりします。クリックする前にURL全体を確認する癖をつけましょう。
• 急な支払い要求: 助成金の手続きで、申請途中に個人名義や普段取引のない口座への送金を求められることは、まずありません。特に「緊急」「本日中に」といった言葉とともに、少額でも送金を急かされる場合は、非常に危険な兆候です。
• 不必要な個人情報や情報要求: 助成金手続きに必要な情報だとしても、メールや偽サイト上で、企業の機密情報や担当者の個人情報を不必要に詳しく聞き出そうとする場合は注意が必要です。
• 公的機関の公式サイトとの情報の食い違い: 受け取ったメールの内容について、メールに記載されている連絡先ではなく、自分で検索してたどり着いた公的機関の公式サイトで確認しても、そのような追加手続きや支払いに関する情報が見当たらない場合は、詐欺である可能性が高いです。

これらの「いつもと違う点」や「怪しい点」に一つでも気づいたら、すぐに手続きを進めず立ち止まることが重要です。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員の方々がBEC攻撃を防ぐために学ぶべき教訓と、コストをかけずに今すぐできる対策のヒントは以下の通りです。

• 助成金関連メールへの注意喚起とダブルチェックの徹底:
  • 助成金に関するメールを受け取った場合は、すぐに内容を鵜呑みにせず、「本当に公的機関からのものか？」「公式サイトに情報はあるか？」と疑う習慣をつけましょう。
  • 特に、メールに記載されているリンクや、支払いを指示する内容については、必ず別の方法（自分で公式サイトを検索して確認するなど）で事実確認を行うようにしましょう。
  • 経理担当者だけでなく、助成金申請に関わる可能性のある従業員全員に、こうした詐欺メールが存在することを周知し、注意を促すことが大切です。
• メールアドレスとURLの指差し確認:
  • メールの送信元アドレス、そしてメール本文中のリンク先URLを、指差しするくらいの丁寧さで一文字ずつ確認しましょう。公式サイトと比較して、スペルミスや見慣れない文字列が含まれていないかチェックします。
  • 不安な場合は、メールのリンクをクリックするのではなく、自分で検索エンジンを使って公的機関の公式サイトにアクセスし、必要な情報や手続き方法を探すようにしましょう。
• 「いつもと違う」に気づける組織文化:
  • 普段の業務フローと異なる支払い指示や、通常の手続きではありえないような急な対応要求があった場合は、「なぜだろう？」「いつもと違うな」と疑問を持つことが重要です。
  • 少しでもおかしいと感じたら、すぐに担当者だけで判断せず、上司や関係部署に相談できる風通しの良い組織文化を作りましょう。一人で抱え込まないことが被害を防ぎます。
• 急な送金指示は必ず確認:
  • メールや電話で、理由が不明確な、あるいは普段の取引と異なる口座への送金を急かされた場合は、詐欺の可能性が極めて高いです。
  • たとえ役員や取引先からの指示であっても、必ずメール以外の方法（電話など）で、相手本人に直接事実確認を行うルールを徹底しましょう。メールや電話の相手が偽者である可能性を常に念頭に置くことが重要です。
• 最新情報の収集:
  • 公的機関や警察などが発信する、最新のBEC攻撃事例や詐欺の手口に関する情報を定期的にチェックするようにしましょう。手口は日々変化します。

これらの対策は、特別なITツールを導入したり、専門家を雇ったりすることなく、従業員一人ひとりの意識と少しの習慣付けで実施できます。コストをかけずにBEC攻撃のリスクを大幅に下げることが可能です。

まとめ

「助成金の手続き」を騙るBEC攻撃は、中小企業が関心を持つテーマを悪用した巧妙な手口です。公的機関や助成金団体の名を騙り、偽サイトへの誘導や不審な送金指示を行うことで、金銭や情報を騙し取ろうとします。

このような攻撃から身を守るためには、メールアドレスやURLの不審な点、不自然な日本語、そして何よりも普段と異なる急な支払い要求や情報提供の要求に「気づく」ことが第一歩です。そして、「おかしいな」と感じたら、すぐに公式サイトで情報を確認したり、関係者に相談したりといった、「立ち止まる」勇気を持つことが重要です。

コストをかけずにできる日々の注意と、組織内での情報共有、そして確認を怠らない習慣が、BEC攻撃の最も効果的な対策となります。この事例を通じて、貴社のBEC対策を見直すきっかけとしていただければ幸いです。