最新詐欺事例速報

経理担当者狙いのビジネスメール詐欺（BEC）：偽請求書手口の識別と企業防御策

導入：巧妙化するビジネスメール詐欺（BEC）の脅威と経理部門のリスク

近年、フィッシング詐欺の手口はますます巧妙化しており、特に企業を標的としたビジネスメール詐欺（Business Email Compromise, BEC）が深刻な問題となっています。BECは、取引先や経営層、あるいは社内の関係者になりすまし、偽の請求書を送付したり、振込先の変更を指示したりすることで、企業から不正に金銭をだまし取る詐欺です。

中小企業においては、セキュリティ担当者の人員が限られていることや、特定の担当者への業務集中が起こりやすいため、BECの標的となりやすい傾向があります。特に企業の金銭を扱う経理担当者は、詐欺師にとって最も魅力的なターゲットの一つです。本記事では、経理担当者を狙った偽請求書詐欺の具体的な手口と、それを識別するためのポイント、そして企業として講じるべき実践的な防御策について詳細に解説します。従業員の皆様への効果的な注意喚起方法も合わせてご紹介し、貴社のセキュリティ対策の一助となれば幸いです。

詐欺事例の詳細：偽請求書による金銭詐取の手口

経理担当者を狙う偽請求書詐欺は、以下のようないくつかのパターンで実行されます。

1. 取引先なりすまし型: 最も一般的な手口です。実際に取引のある企業になりすまし、偽の請求書や口座変更通知を送りつけます。多くの場合、本物の請求書と酷似したフォーマットを使用し、担当者が疑念を抱きにくいように工夫されています。送られてくるメールは、取引先のドメイン名と酷似した偽ドメインからのものや、実際に取引先のメールアカウントが乗っ取られて送信されるケースもあります。

2. 経営層・他部署なりすまし型: 自社の経営層（例：社長、CFO）や他部署の担当者になりすまし、緊急性の高い支払いを指示する手口です。「秘密のプロジェクト」や「監査対応」などと称し、メール以外の方法で確認することを牽制する文言が添えられることもあります。これにより、担当者が冷静な判断を失い、指示に従ってしまうことを狙います。

3. 弁護士・コンサルタントなりすまし型: 企業が顧問契約を結んでいる弁護士やコンサルタントを装い、M&Aや訴訟に関連する緊急の費用として金銭の支払いを要求する手口です。これらの案件は機密性が高く、通常の経理処理フローが迂回されがちである点を悪用します。

これらの手口は、ターゲット企業の組織構造や取引状況、担当者の役割を事前に調査した上で実行されることが多く、非常に巧妙です。メールの文面も不自然さが少なく、正規のメールと見分けがつきにくいほど精巧な偽装が施されるケースが増えています。

識別方法：偽請求書や不審なメールを見抜くポイント

巧妙な偽請求書詐欺を見抜くためには、以下の点に細心の注意を払う必要があります。

• 送信元メールアドレスの確認: メールの表示名だけでなく、実際の送信元メールアドレス（Fromアドレス）を必ず確認してください。正規のドメインと酷似した偽ドメイン（例: example.com の代わりに exanple.com や example-jp.com）が使われていることがあります。メールヘッダの詳細を確認し、IPアドレスや認証情報（SPF, DKIM, DMARC）にも不審な点がないかチェックすることも有効です。

• メール本文の不自然さ: たとえ巧妙に偽装されていても、不自然な日本語表現、誤字脱字、普段のやり取りとは異なる文体や署名がないかを確認します。緊急性を過度に煽る文言や、秘密保持を強調して電話での確認を避けるよう誘導する文言には特に注意が必要です。

• 請求情報の詳細な確認: 請求元企業名、請求金額、振込先口座情報（銀行名、支店名、口座番号、口座名義）に、過去の取引との変更点がないかを確認します。特に、振込先口座が海外の銀行に変更されていたり、口座名義が企業名ではなく個人名になっていたりする場合は、詐欺である可能性が極めて高いです。SWIFTコードなど、国際送金に必要な情報にも見慣れない点がないか確認してください。

• 添付ファイルやURLのチェック: 請求書がPDFファイルで添付されている場合、そのファイル名や内容に不審な点がないか確認します。また、メール本文に記載されたURLは、クリックする前にマウスオーバーして、表示されるリンク先URLが正規のものであるかを確認します。フィッシングサイトへ誘導する目的で、正規サイトと酷似したURLが使われることがあります。

具体的な対策：企業が講じるべき防御策

偽請求書詐欺から企業を守るためには、システム的な対策と運用体制の強化が不可欠です。

1. システム・技術的対策

• メールセキュリティゲートウェイの導入: 送受信されるメールを検査し、スパム、フィッシング、マルウェアなどを検知・ブロックするソリューションを導入します。これにより、怪しいメールが従業員の手元に届く前に排除できる可能性が高まります。

• DMARC, SPF, DKIMの設定強化: これらのメール認証技術を適切に設定することで、自社ドメインのなりすましを防ぎ、また受信側でなりすましメールを検知しやすくなります。

  • SPF (Sender Policy Framework): メールを送信してよいサーバをDNSに公開し、受信側がそれと照合することで、送信元が正当であるかを確認します。
  • DKIM (DomainKeys Identified Mail): 送信時にメールに電子署名を付与し、受信側がその署名を検証することで、メールが改ざんされていないことや、正当な送信元から送られたことを確認します。
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): SPFとDKIMの認証結果に基づき、なりすましメールに対するポリシー（拒否、隔離、監視）を定義し、受信側にそのポリシーを適用するよう指示します。これにより、ドメインなりすましメールに対する対策を強化し、レポート機能によって不正な送信の試みを把握できます。

• 多要素認証（MFA）の導入と徹底: メールアカウントやクラウドサービスアカウントに対するMFAを必須とすることで、仮にパスワードが漏洩しても不正ログインのリスクを大幅に低減できます。

2. 運用・プロセス対策

• 支払承認プロセスの複数人確認体制: 請求書に基づく支払いは、必ず複数人による承認プロセスを導入します。特に、振込先口座の変更や高額な支払いの際には、経理担当者だけでなく、上長や他の部門の担当者も関与する承認フローを確立します。

• 支払先情報変更時の厳格な確認: 取引先から振込先口座の変更依頼があった場合、メールのみで完結させず、必ず電話やビデオ会議など、メールとは別の信頼できる手段で直接相手に確認を取ることを義務付けます。その際、メールに記載された電話番号ではなく、事前に登録されている正規の連絡先を使用することが重要です。

• 定期的なセキュリティ教育と訓練: 従業員、特に経理担当者に対して、最新のフィッシング詐欺事例やBECの手口、識別方法に関する定期的な教育を実施します。疑わしいメールに対する報告体制を明確にし、不審な点があればすぐに報告できる企業文化を醸成します。

従業員への注意喚起：情報共有のポイント

従業員、特に経理担当者への注意喚起は、具体的な行動を促す内容であることが重要です。以下の点を参考に、社内での注意喚起文言やチェックリストを作成してください。

【全従業員向け注意喚起のポイント】

• 「不審なメールは即座に報告！」：少しでも怪しいと感じたメールは、絶対にクリックせず、すぐに情報システム部門または総務部門へ報告してください。
• 「送信元アドレスを必ず確認！」：差出人名だけでなく、メールアドレスのドメイン名に普段と異なる点がないか注意深く確認しましょう。
• 「安易なパスワード入力は厳禁！」：メール内のリンクをクリックしてIDやパスワードの入力を求められても、それが正規のサイトであるか、一度立ち止まって確認してください。

【経理担当者向け：偽請求書対策チェックリスト（例）】

以下のチェックリストは、貴社の業務フローに合わせて調整してください。

• 【送信元確認】 請求元企業のメールアドレス（ドメイン名）は正規のものか。
• 【メール内容確認】
  • 件名や本文に緊急性を過度に煽る表現はないか。
  • 日本語表現に不自然な点、誤字脱字はないか。
  • 普段のやり取りと異なる文体や連絡方法（例：メールのみでのやり取りを強要）はないか。
• 【請求内容確認】
  • 請求元企業名、金額、支払期日は、これまでの取引と矛盾しないか。
  • 特に、振込先口座情報（銀行名、支店名、口座番号、口座名義）に変更はないか。
  • 変更がある場合は、メール以外の手段（既存の電話番号など）で、請求元企業に直接電話して事実確認を行ったか。 （メールに記載された電話番号は信用しない）
  • 振込先口座が海外口座や個人名義になっていないか。
• 【添付ファイル・リンク確認】
  • 添付ファイルを開く前に、ファイル名や拡張子に不審な点はないか。
  • 本文中のURLは、マウスオーバーで正規のリンク先が表示されるか。

このチェックリストを共有し、日々の業務の中で活用することで、詐欺のリスクを大きく低減できます。

まとめ：継続的な意識と対策が企業を守る

ビジネスメール詐欺、特に偽請求書詐欺は、企業にとって甚大な金銭的損害をもたらす可能性があります。巧妙化する手口に対抗するためには、単一の対策だけでなく、システム的な防御と従業員一人ひとりのセキュリティ意識向上が不可欠です。

本記事でご紹介した識別方法と具体的な対策を参考に、貴社のセキュリティ体制を定期的に見直し、強化してください。従業員への継続的な注意喚起と教育を通じて、常に最新の脅威に対する意識を高く保つことが、大切な企業資産を守る上で最も重要な要素となります。情報システム部門、総務部門が連携し、全社的な取り組みとしてセキュリティ対策を進めていくことを推奨いたします。