BEC攻撃事例ファイル

【事例】システム障害を装うBEC攻撃：緊急対応費用詐欺の手口と見抜く兆候

システム障害発生に乗じるBEC攻撃にご注意ください

BEC（ビジネスメール詐欺）は巧妙化しており、攻撃者は企業の様々な状況や内部事情を悪用してきます。中でも、システム障害やセキュリティインシデントといった「緊急事態」は、担当者の心理的な隙を突く絶好の機会となります。

今回は、「システム障害が発生した」という状況に便乗して行われたBEC攻撃の事例を取り上げ、その具体的な手口、見抜くべき兆候、そして中小企業が取るべき対策について解説いたします。この事例から学び、皆様の会社を守るためのヒントとしていただければ幸いです。

事例の概要：システム障害発生中の緊急指示

ある日、従業員が社内システムの一部にアクセスできないという障害が発生しました。原因調査と復旧作業が進められている最中、経理担当者の元に、普段やり取りのある取引先を装ったメールが届きました。

メールの内容は、システム障害の復旧を支援するために外部の専門家を急遽手配した、その費用について至急支払ってほしい、というものでした。普段とは異なる支払い指示でしたが、「システム復旧のためなら仕方ない」「緊急だから手続きも違うのだろう」と考え、指示に従って送金してしまい、被害が発生しました。

騙しの手口：緊急性と専門用語の悪用

この事例における攻撃者の主な手口は以下の通りです。

1. 状況の悪用: 実際にシステム障害が発生し、社内が混乱している状況を把握していました。おそらく、公開情報や社外への問い合わせなどを通じて、障害が発生していることを知ったと考えられます。
2. なりすまし: 普段から会社と取引のあるシステム関連の会社や、時には架空の「システム復旧専門業者」あるいは社内の人間（存在しない「IT担当部長」など）になりすましました。巧妙なメールアドレスの偽装や、過去のメールの内容を引用するなどして、正規の連絡に見せかけようとします。
3. 緊急性の強調: 「システム復旧には専門家による緊急対応が必要」「一刻も早く支払いを完了しないと復旧が遅れる」「情報漏洩の危険がある」といった言葉で、被害者を強く急かします。冷静に確認する時間を与えず、焦燥感を煽ることで判断能力を鈍らせます。
4. 専門用語の使用: システム障害やセキュリティに関連する専門用語を散りばめることで、メールの信憑性を高めようとします。ITの専門知識がない経営者や担当者は、内容を深く理解できずとも、「専門家が言っているなら正しいのだろう」と思い込んでしまう可能性があります。
5. 普段と異なる支払い指示: 急な対応を理由に、通常の請求書送付や支払い承認フローを省略させたり、普段とは全く異なる銀行口座への送金を指示したりします。少額の支払いを複数回に分けて指示するケースもあります。

攻撃の兆候：見抜くべき不審な点

この事例や類似の攻撃において、早期に攻撃を見抜くための「いつもと違う点」や「怪しい点」はいくつか存在します。

• メールアドレスの不審な点:
  • 差出人名が表示されていても、実際のメールアドレスを確認すると、普段と微妙に異なる（例：アルファベットが一文字違う、ドメイン名が少し違う .co.jp が .com になっているなど）。
  • フリーメールアドレスが使われている。
• メール本文の不自然な点:
  • 日本語の表現が不自然だったり、普段使わない言い回しがあったりする。
  • 社内や取引先との通常のコミュニケーションスタイルと異なる（丁寧すぎる、あるいはぞんざいすぎる）。
  • 不自然な添付ファイル（見慣れない拡張子のファイル、パスワード付きZipなど）。
• 支払い指示に関する不審な点:
  • 請求書の内容が具体性に欠ける、あるいは普段と書式が違う。
  • 支払い先の銀行口座名義や支店名が、取引先の情報と一致しない、あるいは個人名義になっている。
  • 通常の支払い承認フローを無視して、即時の送金を強く要求される。
  • 支払い方法が普段と違う（例：仮想通貨での送金を求められる）。
• 連絡手段やコミュニケーションの不審な点:
  • メールでのやり取りのみで、電話や別の手段での確認を避ける。
  • 担当者本人に直接ではなく、別の部署や担当者に指示が来る。
  • 指示元（なりすまされた相手）が、その件について他の担当者に話していないことを強調する（「これは緊急対応なので、〇〇さんにはまだ伝えていません」など）。
• 情報の不整合:
  • システム障害に関する情報が、社内からの公式な発表や他の担当者から聞いている情報と食い違う。
  • 外部の専門家を手配したという話が、経営層や関連部署に確認しても出てこない。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者や従業員がBEC攻撃の予防や早期発見のために学ぶべき点は多岐にわたります。特にコストをかけずにできる基本的な対策に焦点を当てます。

• 「緊急」の指示こそ冷静な確認を徹底する: 攻撃者は緊急性を悪用します。「至急」「緊急」「本日中」といった言葉に惑わされず、一旦立ち止まり、指示内容を冷静に確認する習慣をつけましょう。
• 「いつものやり方」との違いに気づく意識を持つ: 普段の取引や業務フローと異なる点がないか、常に意識することが重要です。請求書の書式、支払い先、支払い方法、連絡手段など、「いつもと違う」と感じたら、それは攻撃の兆候かもしれません。
• 支払いや重要な指示は必ず別の手段で確認するルールを設ける: メールでの支払い指示は、必ず電話やチャットツールなど、メールとは別の手段で、指示元本人に直接確認するルールを組織全体で徹底してください。「電話で話した通り」といったメールが来ても、鵜呑みにせず改めて電話で確認します。これは最も効果的で、かつコストのかからない対策です。
• メールアドレスや差出人を鵜呑みにしない訓練: メールに表示される差出人名やアドレスは簡単に偽装できます。メールを開く前に、あるいは返信する前に、メールアドレス全体を注意深く確認する習慣をつけましょう。
• 不審なメールを見分けるポイントを従業員と共有する: 日本語の不自然さ、過度な緊急性、普段と違う指示など、具体的な兆候を定期的に従業員に周知し、注意喚起を行います。
• パスワードの使い回しをやめる、二段階認証を利用する: BEC攻撃のきっかけの一つに、メールアカウントの乗っ取りがあります。重要なアカウントではパスワードを使い回さず、可能であれば二段階認証を設定しましょう。
• OSやソフトウェアを常に最新の状態に保つ: これも基本的なことですが、既知の脆弱性を悪用されないために重要です。

まとめ

システム障害といった緊急事態は、人間の判断力を鈍らせる心理的な弱点となり得ます。攻撃者はその隙を見逃さず、巧妙な手口で金銭を騙し取ろうとします。

今回ご紹介した事例のように、「システム障害対応費用」といった名目で緊急の支払いを要求するBEC攻撃は実際に発生しています。攻撃の手口や具体的な兆候を知り、「いつもと違う」「怪しい」と感じる点を敏感に察知する意識を高めることが、被害を防ぐ第一歩です。

特に中小企業においては、専門のセキュリティ担当者がいないケースも多いかと存じます。しかし、高額なシステムを導入せずとも、従業員一人ひとりが攻撃の手口を理解し、冷静に確認を徹底するという日頃の心がけと、簡単なルール作りによって、BEC攻撃のリスクを大きく減らすことができます。本記事が、皆様の会社のセキュリティ対策の一助となれば幸いです。