「社長から『連絡先一覧を送れ』というメールが届いた」——もしあなたがこのようなメールを受け取ったら、それは99%詐欺です。
今回は、実際に届いた社長名義の詐欺メールを公開し、ビジネスメール詐欺(BEC)の手口と対処法を解説します。
実際に届いた社長名義の詐欺メール
先日、社内で以下のようなメールが複数の従業員に送られてきました。
現在、私自身の連絡先一覧を確認できない状況となっているため、
会社の最新の連絡先一覧を改めて整理する必要があります。
つきましては、各部署・各担当者の連絡先情報を確認のうえ、
変更や更新がある場合は反映し、最新の連絡先一覧を取りまとめて、
メールにて速やかに送付してください。
社内対応事項となりますので、お手数をおかけしますが、
早急なご対応をお願いいたします。
何か不明点がありましたら、ご連絡ください。
よろしくお願いいたします。一見すると丁寧なビジネスメールに見えますが、これは典型的なビジネスメール詐欺(BEC)です。
社長が自分の連絡先を確認できないという状況は不自然であり、全社員の連絡先一覧を一般従業員に要求することも通常ありえません。
社長が自分の連絡先を知らないはずがありません。この時点で詐欺確定です🚨
ビジネスメール詐欺(BEC)とは
BEC(Business Email Compromise)は、経営層や取引先になりすまして金銭や機密情報を騙し取る詐欺手法です。「CEO詐欺」「なりすましメール詐欺」とも呼ばれます。
FBIの報告によれば、BECによる被害額は年間数十億ドルに達しており、企業規模を問わず被害が発生しています。
なぜ社長名義が使われるのか?それは権威性と緊急性を演出できるからです。「社長からの指示」と言われると、多くの従業員は疑うことなく従ってしまいます。
経営層になりすまして「緊急対応」を装うのが常套手段です⚠️
この詐欺の3つの手口
手口1:実在する社長名を悪用
詐欺師は企業ホームページやSNSから経営者の名前を調べ、それらしいメールアドレスを作成します。
【よくある偽装パターン】
本物:taro.yamada@example.co.jp
詐欺:taro.yamada@examp1e.co.jp(Lが数字の1)
詐欺:taro.yamada@example.com(.co.jpが.com)
詐欺:taro-yamada@example.co.jp(ピリオドがハイフン)手口2:「連絡先一覧」で次の詐欺の準備
なぜ連絡先を要求するのでしょうか?目的は以下の通りです。
| 目的 | 詳細 |
|---|---|
| 取引先情報の入手 | 取引先になりすまして振込詐欺を仕掛ける |
| 組織図の把握 | 誰が決裁権を持つかを調べ、精度の高い詐欺を実行 |
| 個人情報の転売 | 収集した連絡先をリスト業者に販売 |
手口3:「早急に」「社内対応事項」で判断を鈍らせる
「速やかに送付してください」「早急なご対応をお願いいたします」という表現で緊急性を演出し、冷静に考える時間を与えません。
また「社内対応事項」という言い回しで、外部(本人)に確認させないよう誘導しています。
「何か不明点があればご連絡ください」で信頼感を演出するのも特徴です📱
詐欺メールを見抜く5つのチェックポイント
本物と詐欺を見分けるポイントをまとめました。
| チェック項目 | 本物 | 詐欺 |
|---|---|---|
| メールアドレス | 完全一致(ドメイン含む) | 1文字違い、類似ドメイン |
| 送信元の確認 | 社内システムから送信 | 外部メールサーバー経由 |
| 本人への直接確認 | 気軽に確認できる | 「メールで返信」のみ要求 |
| 依頼内容 | 通常業務の範囲内 | 異例(連絡先一覧など) |
| 緊急性の有無 | 理由が明確 | 理由不明だが「早急に」 |
最も重要なのはメールアドレスのドメイン部分(@以降)を必ず確認することです。少しでも違和感があれば、電話やSlackなど別の手段で本人に確認してください。
「社長が自分の連絡先を知らない」という設定自体がおかしいと気づくことが大切です💡
被害を防ぐ3つの対策
対策1:送信ドメイン認証の設定
SPF・DKIM・DMARCといった送信ドメイン認証を設定することで、なりすましメールを自動的にブロックできます。社内SEの方は、まだ未設定の場合は優先的に導入を検討してください。
対策2:「電話確認ルール」の徹底
高額な支払い指示や機密情報の提供を求められた場合、必ず電話で本人確認するというルールを社内で徹底しましょう。
「メールだけで完結させない」という習慣が、詐欺被害を防ぎます。
対策3:定期的なセキュリティ研修
実際の詐欺メール例を社内で共有し、従業員の意識を高めることが重要です。標的型攻撃メール訓練を実施して、クリック率や報告率を測定するのも効果的です。
技術的対策と人的対策、両方が必要です。どちらか一方では不十分です🛡️
もし返信してしまったら
うっかり連絡先一覧を送ってしまった場合の対処法です。
連絡先一覧を送信してしまった場合
1. 情報セキュリティ担当者(社内SE)に即座に報告
2. 送付した情報に含まれる全員に注意喚起
3. 不審なメールが届いたら報告を依頼
4. 必要に応じて取引先にも状況を説明添付ファイルを開いてしまった場合
マルウェアに感染している可能性があります。以下の対応を即座に実施してください。
| 対応 | 詳細 |
|---|---|
| ネットワーク切断 | Wi-Fi・LANケーブルを物理的に切断 |
| 情シス部門に報告 | 自己判断せず、専門部署に連絡 |
| ウイルススキャン | 指示に従ってスキャン実施 |
まとめ
| 項目 | 内容 |
|---|---|
| 詐欺の種類 | ビジネスメール詐欺(BEC)・CEO詐欺 |
| 特徴 | 社長名義で「連絡先一覧」「早急な対応」を要求 |
| 見分け方 | メールアドレスのドメイン確認、本人への直接確認 |
| 対処法 | 無視、報告、ドメイン認証の設定、電話確認ルールの徹底 |
ビジネスメール詐欺は年々巧妙化しており、「社長からのメール」でも疑う勇気が必要です。
違和感を感じたら、まず本人に直接確認。これが鉄則です。
このような詐欺を見かけたら、社内の同僚にも注意喚起をお願いします🙏
コメント