BEC攻撃事例ファイル

【事例】役員秘書を狙うBEC攻撃：巧妙な指示の手口と見抜くべき兆候

BEC攻撃は、取引先や役員などになりすまして騙し、金銭などを詐取しようとするサイバー攻撃です。特に中小企業は、大企業に比べてセキュリティ体制が手薄である場合が多く、狙われやすい傾向にあります。

本記事では、BEC攻撃の中でも特に役員秘書を標的とした事例を取り上げ、その手口と見抜くための具体的な兆候、そして中小企業がすぐにでも実践できる対策について解説いたします。役員秘書に限らず、社長や役員からの指示を受けて支払いなどを行う可能性のある従業員の方は、ぜひ参考にしてください。

事例の概要：社長からの「急ぎの依頼」メール

これは、中小企業の社長秘書であるAさんが経験したBEC攻撃の事例です。社長は出張中で海外に滞在しており、Aさんは普段通り業務を行っていました。

その日、社長のメールアドレスからAさん宛に一通のメールが届きました。件名は「【緊急】支払いのお願い」となっており、内容は「出張先で急に発生した契約に関わる支払いをすぐに行う必要がある」「至急、指定の口座に〇〇万円を送金してほしい」「詳細は後ほど伝えるが、まずは手続きを進めてくれ」「この件は機密事項なので、他の誰にも話さないように」といったものでした。

普段から社長の指示で支払い手続きを行うことがあったAさんは、社長からのメールであること、そして「緊急」「機密」といった言葉に焦りを感じ、指示された口座への送金手続きを進めようとしてしまいました。

騙しの手口：日常業務の盲点を突く巧妙さ

この事例で使われた攻撃者の手口は、役員秘書の日常業務における盲点を突く非常に巧妙なものでした。

まず、攻撃者は社長のメールアドレスに似せた偽のメールアドレスを使用しました。例えば、本物のメールアドレスが「president@〇〇company.com」である場合、攻撃者は「president@〇〇company.co」や「presidnt@〇〇company.com」といった、一見すると気づきにくい微妙に異なるアドレスを作成したのです。

次に、メールの内容です。「緊急」「機密」という言葉でAさんの判断力を鈍らせ、確認する時間を与えないように仕向けました。また、「詳細は後ほど」「他の誰にも話さないように」といった指示は、Aさんが周囲に相談したり、社長本人に確認したりするのを妨げるための常套手段です。

さらに、役員秘書が普段から社長の指示で支払いを行う業務フローを悪用しました。社長からの指示であれば、詳細な説明がなくとも手続きを進めてしまう可能性があることを攻撃者は知っていたのです。送金先の口座も、普段取引のない海外の銀行や個人名義であることが多く、これも攻撃の兆候の一つとなりますが、緊急性を装うことで見落としやすくしていました。

攻撃の兆候：いつもと違う点を見抜く

幸いにも、この事例ではAさんは送金手続きの直前にいくつかの「いつもと違う点」に気づき、被害を免れることができました。攻撃メールや不審なやり取りの中に潜む、早期に攻撃を見抜くための具体的な手がかりは以下の通りです。

• メールアドレスの不審な点: 送信者名が社長になっていても、メールアドレスのドメイン名や綴りが普段と微妙に異なっていました。「@」の後ろの部分が会社の正式なドメインではない、あるいはドメイン名やその前の部分の綴りが一文字だけ違う、といった点は最も重要な兆候の一つです。
• 件名や本文の不自然さ: 「【緊急】」といった過度に煽るような件名や、普段の社長の口調や言葉遣いとは異なる不自然な日本語（敬称がおかしい、言い回しが不自然など）が見られました。
• 普段の指示方法との違い: 社長は普段、重要な支払い指示の際はメールだけでなく、電話やチャットでも補足したり、担当役員にもCCで共有したりすることがありました。しかし、今回のメールはAさん個人宛てで、事前の相談や他の関係者へのCCが一切ありませんでした。また、通常は支払い目的や契約内容についてもう少し詳しい説明があるはずなのに、それがありませんでした。
• 送金に関する不審な点: 指示された送金先の銀行や口座名義が、普段取引のあるものと全く異なっていました。特に、海外の銀行口座や個人名義口座への送金指示は、通常の業務では非常に稀であるため、強く警戒すべき兆候です。
• 確認を急かす、秘密にするよう指示する: 「至急」「すぐに」「他の誰にも話すな」「社長本人に確認するな」といった、冷静な確認を妨げる指示や、周囲との情報共有を禁じる指示は、攻撃者である可能性が高い兆候です。

Aさんは、送金先の口座が普段と違うことに気づき、念のため社長に電話で確認しようとしました。メールに記載された連絡先ではなく、普段使用している社長の携帯電話にかけたところ、社長はこのメールを送った事実はないと答えたため、攻撃であることが判明しました。

事例から学ぶ教訓と対策のヒント

この事例から、中小企業経営者やその従業員がBEC攻撃の予防や早期発見のために学ぶべき教訓と対策のヒントは多々あります。特に、コストをかけずにすぐにでも実践できる基本的な対策に焦点を当ててみましょう。

• 「いつもの相手だから」と過信しない意識改革: メールの送信者名や件名だけで判断せず、「本当に本人からのメールか？」と疑う習慣をつけましょう。特に金銭の支払い、機密情報の提供、ID/パスワードの入力を促すメールは、常に警戒が必要です。
• 最重要対策：別の手段での「二重確認」ルールの徹底: メールやチャットなど、普段使っているコミュニケーション手段で金銭の支払い指示や重要な情報の要求を受けたら、必ず別の手段（電話、別のメールアドレス、ビデオ会議など）で指示の本人に真偽を確認するというルールを組織全体で徹底してください。特に、役員からの緊急の指示、普段と違う振込先、高額な支払い指示があった場合は必須です。
• メールアドレスの確認方法の周知: メールソフトやスマートフォンの設定によっては、表示名しか表示されない場合があります。従業員には、送信者の完全なメールアドレスを確認する習慣をつけさせましょう。アドレスに不審な点がないか（会社のドメイン名と合っているか、綴りに間違いがないかなど）をチェックすることが重要です。
• 普段からのコミュニケーションと情報共有: 役員がどのような場合に、どのような方法で指示を出す傾向があるのかを従業員が把握しておくことで、「いつもと違う」変化に気づきやすくなります。また、BEC攻撃の手口は常に変化するため、従業員向けに「BEC攻撃とは何か」「過去に社内や他の会社でこんな手口があった」といった注意喚起を定期的に行うことが効果的です。
• 社内における支払承認プロセスの見直し: 可能な範囲で、支払い指示に対して複数の人間による確認や承認が必要なプロセスを導入することを検討しましょう。これはコストがかかる場合もありますが、少なくとも、普段と違う高額な支払いについては、担当者一人で判断せず、上長や経理責任者などに必ず相談・報告する仕組みを作るだけでも効果があります。

これらの対策は、特別なITツールを導入することなく、従業員の意識と組織内のルール変更で実施可能です。中小企業にとって、最も効果的で現実的なBEC対策は、「疑う習慣」と「確認を怠らないこと」であると言えます。

まとめ

本記事では、役員秘書を標的としたBEC攻撃事例を通じて、その巧妙な手口と見抜くべき具体的な兆候、そして中小企業が実践できる対策をご紹介しました。攻撃者は、組織内の役割や日常業務フローを把握し、緊急性や機密性を盾に冷静な判断力を奪おうとします。

このような攻撃から会社を守るためには、特定の担当者だけでなく、従業員一人ひとりがBEC攻撃の手口を知り、「怪しい」と感じるアンテナを高く持つことが不可欠です。「いつもと違う」点に気づくこと、そして、迷わず「別の手段で確認する」という行動を取ることが、被害を防ぐための最も重要な鍵となります。ぜひ、この事例を参考に、皆様の会社でもBEC対策について話し合い、具体的な行動に繋げていただければ幸いです。