ビジネスメール詐欺(BEC):社長や取引先を騙る「LINEグループ作成指示」メール対策
最近、組織のトップや取引先、公的機関を装い「至急、LINEグループを作って連絡してほしい」というメールが届く詐欺が急増しています。これはビジネスメール詐欺(BEC)の一種であり、最終的には金銭や機密情報を奪うことが目的です。
本記事では、偽装メールの具体例と、被害を防ぐための比較・対策をまとめました。
結論
「社長がメールでLINE誘導をする」ことは、現代のビジネスセキュリティ上、あり得ません。
犯人は「社長の権威」を利用して、社内の監視の目が届かないLINEという閉鎖空間にあなたを誘い込もうとしています。一刻を争う指示に見えても、まずは「既存の社内連絡ルート」で本人に確認を取ることが唯一の正解です。
とはいえ、社長から急にそんなことを言われると違和感に気づきやすいのですが、取引先などの外部となると信じるケースもあるため要注意です。
気をつけるための3つのポイント
- 「表示名」に騙されない
メールアドレスのドメイン(@以降)がフリーメールや無関係なものになっていないか確認する。
※最近は会社のドメインを使ってくるものもあり、さらに確認が必要なケースも増えています - 「即時性」と「秘匿性」は詐欺のサイン
「今すぐ」「内密に」という言葉で正常な判断力を奪おうとする手口を警戒する。 - アナログ確認を徹底
どんなに急ぎでも、電話や対面、あるいは既知の社内チャットで「さきほどメールされましたか?」と聞く勇気を持つ。
偽装メールのサンプルイメージ(再現)
以下は実際に送られてきた詐欺メールのサンプル(再現)です。
フリーメールはGmail、Outlook等など様々ですが、中には実際にあるドメインを偽装してくるものも急増中です。
件名: 【至急】社外秘プロジェクトに関する連絡
送信者: [代表取締役の名前] XXXXX@gmail.com
本文: お疲れ様です。 現在、極秘で進めている案件について、至急相談したいことがあります。 私のPCが現在不調でメールが見づらいため、取り急ぎ君の方でLINEグループを作成し、私を追加してくれないか。
QRコード、または以下のIDで私を検索して追加してください。 ID:XXXXX_officer
秘匿性が高い案件につき、他言無用で頼む。 [社長の名前]
底比較:本物の指示 vs 偽装メール
| 項目 | 本物の指示(通常運用) | 偽装メール(詐欺) |
| 送信元アドレス | 会社指定の独自ドメイン | Gmail, Outlook等のフリーアドレス |
| 誘導先 | Slack, Teams, Chatwork等 | LINE, WhatsApp等の個人SNS |
| 心理的アプローチ | 具体的、業務時間内 | 「至急」「内密に」「今だけ」 |
| 背景の理由 | 合理的な理由がある | 「PC故障」「外出中」など確認を妨げる理由 |
| 最終目的 | 業務の遂行 | 送金、ギフトカード購入、個人情報奪取 |
組織を守るための具体的な行動提案
- 「疑う」: 社長からのLINE誘導は100%疑う。
- 「報告」: 独断で動かず、IT担当者や上司に共有する。
- 「ルール化」: 弊社(a.design)では、公式ルート以外の指示は無効とする「セキュリティ指針」の策定を推奨しています。
「Reply-To(返信先)」で確認する
メールの「送信者」の名前やアドレスは偽装が容易ですが、犯人が自分の元へ返信を届かせるために設定する「Reply-To(返信先)」は、嘘をつけないポイントです。
返信ボタンを一度押してみて、宛先が会社のドメイン(@example.co.jp等)以外に変わったら、その瞬間にブラウザを閉じてください。
- チェック法: 「返信」ボタンを押したときに表示される宛先を確認。
- 異常な例: 送信者は「社長の名前」なのに、返信先が「XXXXX@gmail.com」などの無関係なアドレスになっている。
本対策は、以下の公的機関が発表している最新の脅威レポート及び統計を基に構成しています。
- IPA(独立行政法人 情報処理推進機構): 「ビジネスメール詐欺(BEC)対策特設ページ」
- 警察庁: 「サイバー警察局:ビジネスメール詐欺の手口と対策」
この記事が気に入ったら
いいね または フォローしてね!