BEC攻撃事例ファイル

【事例】取引先からの『支払方法変更通知』を騙るBEC攻撃：普段と違う点を突く手口と見抜く兆候

取引先からの『支払方法変更通知』を騙るBEC攻撃とは

中小企業の皆様にとって、日々の業務で取引先との間で金銭のやり取りが発生するのは当たり前のことです。その中で、取引先から「支払方法を変更したい」という連絡が届くことも、珍しいことではないでしょう。しかし、この日常的なやり取りを巧妙に悪用するBEC攻撃の手法が存在します。「取引先からの支払方法変更通知を騙る攻撃」です。

この種の攻撃は、経理担当者や支払い手続きに関わる従業員を主な標的にします。攻撃者は、あたかも正規の取引先からの連絡であるかのように装い、偽の銀行口座への送金を指示することで、企業から資金を騙し取ろうとします。

本記事では、この「取引先からの支払方法変更通知」を悪用したBEC攻撃の具体的な手口と、被害を防ぐために見抜くべき「普段と違う点」、そして中小企業でコストをかけずにできる対策について解説します。この事例から学び、自社のセキュリティ対策に活かしていただければ幸いです。

事例の概要と騙しの手口

この事例では、攻撃者は長年取引のある重要なサプライヤーになりすましました。経理担当者のもとに、普段からやり取りのあるサプライヤー担当者の名前でメールが届きました。

メールの内容は、「会社の事業拡大に伴い、取引銀行を変更することになった。つきましては、今後の支払いは以下の新しい口座にお願いしたい。」というものでした。添付ファイルとして、新しい銀行口座情報が記載されたPDFファイルが添えられていました。

経理担当者は、普段からそのサプライヤーとのやり取りに慣れており、メールの送り主名も知っている担当者名だったため、特に疑うことなく添付ファイルを開き、新しい口座情報を支払いシステムに登録しました。そして、次の支払期日に、新しい口座へいつも通りの金額を送金してしまいました。

しかし、後日、サプライヤーから「支払いが確認できない」との連絡があり、初めて騙されたことに気づきました。送金した資金は、すぐに引き出され、取り戻すことは非常に困難でした。

この攻撃で使われた主な騙しの手口は以下の通りです。

• 正規の取引先・担当者へのなりすまし: 普段からやり取りのある、信頼している相手になりすますことで、警戒心を抱かせないようにします。
• メールアドレスの偽装: 送信元のメールアドレスを、正規のアドレスと酷似したものに偽装します（例: ドメイン名のスペルミス、ハイフンやアンダーバーの追加など）。あるいは、表示名だけを正規の担当者名にし、実際のメールアドレスが全く違うこともあります。
• 自然な理由付け: 支払方法を変更する理由として、事業拡大、銀行統合、経理システムの変更など、もっともらしい理由を付け加えることで、不自然さを感じさせにくくします。
• 添付ファイルによる情報提供: 新しい口座情報をメール本文ではなく、添付ファイル（PDF、Wordなど）に記載することで、情報を正規のものに見せかけようとします。また、本文を簡潔にし、詳細を添付ファイルに追いやることで、本文中の不審な点を見逃させやすくする効果もあります。
• 緊急性・重要性の示唆: 「次回の支払いから適用」「早急な手続きをお願いします」といった言葉で、迅速な対応を促し、冷静に確認する時間を与えないように仕向けます。

攻撃の兆候：どこが普段と違うのか？

この事例において、攻撃に気づくための「普段と違う点」や「怪しい点」は複数ありました。しかし、日々の忙しさや「いつもの取引先だから大丈夫だろう」という思い込みから、これらの兆候が見過ごされてしまいました。

見抜くべき具体的な兆候は以下の通りです。

1. メールアドレスの不審な点:
   • 表示名が正規の担当者名であっても、メールアドレスそのもの（@以降のドメインを含む）を注意深く確認しましたか？ 正規のアドレスと比べて、スペルが微妙に違ったり、見慣れないドメインになっていたりしませんか？
   • 正規の取引先がフリーメールアドレス（Gmail, Yahooなど）を使うことは考えにくいですが、もしそういったアドレスから連絡が来たら非常に怪しい兆候です。
2. 添付ファイルの不審な点:
   • 普段、支払先情報はどのように共有されていますか？ 添付ファイルで送られてくるのは普通ですか？
   • 添付ファイルのファイル名に不審な文字列が含まれていませんか？
   • 添付ファイルを開く際に警告が表示されませんでしたか？
3. メールのやり取りの不自然さ:
   • 普段のその取引先とのメールのトーンや言葉遣いと比べて、何か違和感はありませんか？
   • 過去のやり取りのスレッドに続く形でなく、突然新しいメールとして送られてきていませんか？
   • メール本文に、会社名や担当者名が正確に記載されていますか？（単なる「ご担当者様」などになっていないか）
4. 支払変更の理由の不自然さ:
   • 突然の支払方法変更について、具体的な説明や背景が乏しくありませんか？
   • 特に大企業の取引先の場合、銀行口座の変更はそう頻繁に行われるものではありません。唐突な変更連絡は疑うべきです。
5. 確認手続きの回避:
   • 通常、重要な変更について、電話やFAX、郵送など、メール以外の手段も使って確認が行われることはありませんか？ このメールは「メールで完結」させようとしていませんか？

これらの「普段と違う点」は、一つだけでは見過ごしやすいかもしれませんが、複数重なる場合は危険信号と捉えるべきです。

事例から学ぶ教訓とコストをかけない対策のヒント

この事例から得られる最も重要な教訓は、「たとえ普段から取引のある相手からの連絡でも、支払いに関わる重要な変更指示には、必ず複数の手段で確認を行う」ということです。

以下に、中小企業でコストをかけずに実施できる具体的な対策のヒントを挙げます。

• 「支払先変更時の二重確認ルール」の徹底:
  • 取引先から支払先情報（銀行口座など）の変更依頼があった場合、必ずメールとは別の方法（例えば、過去の契約書に記載されている正規の電話番号にかけ直す、普段から使っている別の担当者のメールアドレスに確認メールを送るなど）で、その変更が正規の取引先からのものか、指示された新しい情報が正しいかを確認するルールを設け、従業員に周知徹底します。
  • メールに記載されている電話番号にかけ直すのは危険です。攻撃者が用意した偽の電話番号である可能性があります。必ず、自社で把握している正規の連絡先を使用してください。
• メールのヘッダー情報やアドレスの確認習慣:
  • メールの「表示名」だけでなく、必ず実際のメールアドレスを確認する習慣をつけましょう。特に「@」以降のドメイン名が正規のものと一致しているかを厳しくチェックします。スマートフォンのメールアプリでは表示名しか見えないことも多いため、パソコンで確認することも有効です。
• 添付ファイルの取り扱い注意喚起:
  • 見慣れない、または送信元に心当たりのないメールに添付されているファイルは、安易に開かないよう従業員に注意喚起します。ファイルを開く前に、一度送信元に電話などで確認を取るよう指導します。
• 「緊急」「重要」に惑わされない冷静な判断:
  • 「緊急」「重要」といった言葉で焦らせるメールには、特に注意が必要です。一度立ち止まり、普段の手続きと異なる点がないか、冷静に確認する習慣をつけます。
• 社内での情報共有:
  • 不審なメールや、普段と違う手続きの指示があった場合は、担当者一人で抱え込まず、上司や同僚に相談・報告する体制を作ります。「これはおかしいかもしれない」という小さな違和感を共有することが、被害を防ぐ第一歩となります。
• 定期的な従業員への注意喚起:
  • BEC攻撃の手口は常に変化します。サイバー攻撃に関するニュースや、今回のような事例を共有するなど、定期的に従業員に注意喚起を行うことで、セキュリティ意識を高く保つことが重要です。

これらの対策は、特別なシステム導入などのコストをかけずとも、組織内のルール作りと従業員の意識向上によって十分に効果を発揮します。

まとめ

取引先からの「支払方法変更通知」を騙るBEC攻撃は、一見すると日常的な業務連絡に見えるため、非常に見破られにくい巧妙な手口です。しかし、攻撃メールには必ず「普段と違う点」が隠されています。

重要なのは、日々の業務の中で「おかしいな」「いつもと違うな」と感じる小さな違和感を見過ごさないことです。そして、特に支払いに直結するような重要な変更指示については、必ずメール以外の方法で確認を行うという基本的なルールを徹底することです。

中小企業においては、従業員一人ひとりがセキュリティ意識を持ち、不審な点があればすぐに報告・相談できる風通しの良い組織文化を醸成することが、BEC攻撃から会社を守る最も有効な対策と言えるでしょう。

この記事で紹介した事例と対策のヒントが、皆様の会社のBEC攻撃対策の一助となれば幸いです。