【事例】税務関連支払いを騙るBEC攻撃:経理担当者を狙う手口と見抜く兆候
税務関連支払いを騙るBEC攻撃の危険性
BEC(ビジネスメール詐欺)は、巧妙な手口で企業から金銭を騙し取るサイバー攻撃です。その中でも、経理担当者を標的とし、年末調整や法人税、消費税などの税務関連の支払いを装う手口が増加しています。これらの支払いは期日が迫っていることが多く、「急ぎの対応が必要」という心理を利用しやすいからです。
本記事では、税務関連支払いを騙るBEC攻撃の具体的な事例を分析し、攻撃者がどのような手口を用いるのか、そしてその攻撃にどのような「兆候」が現れるのかを詳しく解説します。この事例から学び、皆様の会社で同様の被害を防ぐためのヒントをお伝えします。
事例から見る攻撃の手口と具体的な兆候
この種の攻撃は、主に企業の経理担当者や、支払い承認権限を持つ従業員を狙います。
事例の概要
ある中小企業で、経理担当者のAさんの元に、普段からやり取りのある顧問税理士の名前でメールが届きました。メールの内容は「〇〇(会社の名前)様の法人税支払いについて、至急、振込先の変更をお願いいたします」というものでした。添付ファイルには、新しい振込先が記載された書類が含まれており、「税務署からの指示により、今回に限り振込先が変更になりました」と説明されていました。Aさんは普段の顧問税理士からのメールと信じ込み、確認を怠ったまま指定された口座へ多額の法人税を振り込んでしまいました。しかし、後日顧問税理士に確認したところ、そのようなメールは送っておらず、振込先も全く異なることが判明しました。
騙しの手口
この事例における攻撃者の手口は以下の通りです。
- なりすまし: 経理担当者が日頃信頼している「顧問税理士」になりすましています。これにより、警戒心を抱かせずにメールを開封させ、内容を信用させようとします。
- 状況の悪用: 税務関連の支払いという、企業にとって重要かつ期日が絡む業務を悪用しています。特に、年末調整や決算期など、経理担当者が多忙で確認がおろそかになりがちな時期を狙う傾向があります。
- 緊急性の強調: 「至急」「今回の支払いに限る」「税務署からの指示」といった言葉を用いて、すぐに送金手続きをしなければならないという焦りを生み出します。
- 振込先変更の指示: 通常とは異なる振込先への変更を指示することで、正規の支払いルートから外させます。添付ファイルに振込先を記載することで、メール本文の怪しさを減らし、正規の書類であるかのように見せかけています。
攻撃の兆候
この攻撃メールには、早期に攻撃を見抜くためのいくつかの「いつもと違う点」や「怪しい点」が含まれていました。
- メールアドレスの不審な点: 差出人名義は顧問税理士の氏名でしたが、実際のメールアドレスを確認すると、顧問税理士の会社の正規ドメインではなく、Gmailなどのフリーメールアドレスや、正規ドメインによく似た偽装ドメイン(例:
koumon-zei.comがkoumon-zei-office.comになっているなど)が使われていました。 - 件名や本文の不自然さ: 件名に「至急」「重要」といった言葉が含まれていても、普段の顧問税理士からのメールの件名や表現と比べて、どこか不自然な印象がありました。また、本文の言い回しや言葉遣いが、普段やり取りしている担当者のものと微妙に異なっていたり、丁寧すぎる、あるいは逆に簡潔すぎるといった違和感があったりする場合があります。
- 振込先情報の不審な点: 添付ファイルに記載されていた振込先が、会社の過去の記録にある顧問税理士や税務署への支払い口座と全く異なっていました。銀行名、支店名、口座番号、そして口座名義(個人名義になっている、会社名と一致しないなど)が、普段利用するものと違う場合は、非常に強い警戒が必要です。
- 手続きの不自然さ: 正規の手続きでは考えられないような、急な振込先変更の指示や、理由の説明が不十分であるなど、普段の業務フローから逸脱した指示が含まれていました。
これらの小さな違和感を見逃さずに確認することが、被害を防ぐために非常に重要です。
事例から学ぶ教訓と対策のヒント
この事例から、中小企業がBEC攻撃、特に経理担当者を狙う攻撃から身を守るために、どのような点に注意し、どのような対策を講じることができるでしょうか。
従業員への注意喚起と教育
最も重要で、かつコストをかけずにできる対策は、従業員一人ひとりの意識を高めることです。
- 不審なメールの見分け方: メールアドレスを必ず確認すること。件名や本文に不自然な点がないか注意すること。特に「緊急」「重要」「支払い」といった言葉を含むメールには細心の注意が必要であることを周知します。
- 「いつもと違う」に気づく: 普段の業務で利用している振込先、請求書、手続き方法と異なる点がないか、常に意識を持つよう伝えます。
- 相談しやすい雰囲気づくり: 少しでも「おかしい」と感じた場合は、自己判断せずにすぐに上司や同僚に相談できる環境を作ることが大切です。「もし違ったら恥ずかしい」という気持ちから一人で抱え込んでしまうことが、被害につながることがあります。
確認ルールの徹底
支払いに関する指示があった場合の具体的な確認方法を定めておきます。
- 多要素での確認: メールでの指示があった場合、そのメールに返信するのではなく、事前に登録しておいた電話番号に直接電話をかける、あるいは別のチャットツールなどで本人に確認を取ることを徹底します。この際、メールに記載されている電話番号ではなく、過去の正規の連絡先を使用することが重要です。
- 複数人での確認: 特に高額な支払い指示や、普段と異なる振込先への送金指示があった場合は、経理担当者だけでなく、経営者や他の承認権限を持つ担当者など、複数人で内容を確認するルールを設けます。
- 振込先リストの管理: 正規の振込先リストを作成・管理し、支払い前に必ずリストと照合する手順を取り入れます。リストにない新しい振込先への支払いの際は、必ず電話などで本人確認を行います。
技術的な対策のヒント
専門的な知識がなくても導入しやすい、あるいは業者に相談しやすい基本的な対策もあります。
- メールサービスのセキュリティ機能活用: ご利用のメールサービス(Gmail, Microsoft 365など)に備わっている迷惑メールフィルタリング機能や、不正メール検知機能を有効活用します。
- ウイルス対策ソフトの導入と更新: 添付ファイルからのマルウェア感染を防ぐため、信頼できるウイルス対策ソフトを導入し、常に最新の状態に保ちます。
- OSやソフトウェアの更新: 利用しているパソコンのOSやアプリケーションソフトを常に最新の状態に保つことで、既知の脆弱性を悪用されるリスクを減らします。
これらの対策は、多額のコストをかけずとも実施できるものが多くあります。
まとめ
税務関連支払いを騙るBEC攻撃は、中小企業の経理担当者を巧みに狙う危険な手口です。顧問税理士や税務署など信頼できる相手になりすまし、緊急性や機密性を強調して、普段と異なる振込先への送金を指示するというパターンが多く見られます。
しかし、このような攻撃メールには、メールアドレスの不審な点、件名や本文の不自然さ、そして特に振込先情報の異常といった「兆候」が必ず現れます。これらの小さな違和感を見逃さず、「おかしい」と思ったら、必ず正規の連絡手段で本人に確認を取ることが最も効果的な対策です。
日頃からの従業員への教育、支払いに関する確認ルールの徹底、そして基本的なセキュリティ対策を組み合わせることで、BEC攻撃のリスクを大幅に減らすことができます。本記事の事例が、皆様の会社のセキュリティ対策を見直すきっかけとなれば幸いです。