注文書や請求書を装うフィッシング詐欺:ビジネスの落とし穴、見分け方と被害時の対処法
注文書や請求書を装うフィッシング詐欺が増加中
日々の業務で欠かせない注文書や請求書。これらの文書がフィッシング詐欺に悪用されるケースが増えています。特に企業間のやり取りにおいて、こうしたビジネス文書を装う手口は巧妙化しており、多忙な業務の中でうっかり騙されてしまうリスクが高まっています。
このタイプの手口は、しばしば「ビジネスメール詐欺(BEC)」の一種として位置づけられます。取引先や関係者を装い、偽の請求書を送付したり、振込先の変更を指示したりすることで、金銭を騙し取ることを目的としています。また、偽の注文書を送りつけ、そこに仕込んだ不正なリンクや添付ファイルから個人情報や機密情報を窃取したり、マルウェアに感染させたりするケースも見られます。
ここでは、注文書や請求書を装うフィッシング詐欺の手口と、騙されないための具体的な見分け方、そして万が一被害に遭ってしまった場合の対処法を解説します。
偽の注文書・請求書メールの見分け方
不審な注文書や請求書メールを見分けるためには、以下の点を注意深く確認することが重要です。
1. 送信元アドレスを確認する
最も基本的な確認点です。知っている取引先からのメールであっても、送信元のアドレスが普段と異なっていないか、特にドメイン名(@の後ろの部分)に不審な点がないかを確認してください。正規のドメインに似せた、わずかに異なる文字列(例: company.co.jp が cornpany.co.jp や company-jp.com など)を使用しているケースが多く見られます。
2. 件名や本文に不自然な点がないか確認する
- 日本語の不自然さ: 明らかにおかしい日本語の表現や誤字脱字が多い場合は、フィッシング詐欺の可能性が高いです。ただし、最近は自然な日本語のメールも増えています。
- 緊急性や不審な要求: 「〇日までに支払わないと法的措置を取る」「振込先が変更になった」「新しい契約書に署名が必要」など、急を要する、あるいは普段と異なる手続きを求める内容は要注意です。
- 情報の不足や誤り: 記載されている取引内容、金額、日付などが実際の取引と合っているか確認してください。会社名や担当者名が間違っている場合もあります。
- 形式の不一致: 普段受け取る請求書や注文書のメール形式と異なっていないか確認します。
3. 添付ファイルやリンクに注意する
- 添付ファイル: 身に覚えのないメールに添付ファイルがある場合は、安易に開かないでください。特に、実行ファイル形式(.exe, .scrなど)や、圧縮ファイル(.zip)内に実行ファイルが含まれている場合は非常に危険です。WordやExcelファイルに見えても、マクロを有効化させようとする不正なファイルも存在します。ファイル名が不審でないかも確認してください。
- 本文中のリンク: 本文中に記載された「請求書を確認する」「詳細はこちら」といったリンクは、クリックする前にリンク先のアドレス(URL)を確認してください。リンクにカーソルを合わせると、画面下部などに実際のURLが表示されます。公式とは異なる不審なURLの場合は、絶対にクリックしないでください。短縮URLが使用されている場合も注意が必要です。
4. 事実確認を怠らない
少しでも不審な点を感じたら、メールや文書に記載されている情報だけを鵜呑みにせず、必ず別の手段(電話など)で正規の担当者に直接確認を取ってください。メールへの返信や、メールに記載された電話番号への連絡は避けてください。これは、相手が詐欺犯である可能性が高いためです。
万が一、被害に遭ってしまった場合の対処法
偽の注文書や請求書に騙されて個人情報や機密情報を入力してしまったり、不正なファイルをダウンロード・実行してしまったり、あるいは指定された口座に金銭を振り込んでしまったりした場合、速やかに以下の対応を取ることが重要です。
1. 落ち着いて被害状況を確認する
まずは冷静になり、何が起きたのか、どのような情報が漏洩した可能性があるのか、どのようなファイルを実行してしまったのか、いくら振り込んでしまったのかなどを把握してください。
2. 会社の関係各所へ速やかに報告する
フィッシング詐欺の可能性があること、および被害状況について、直ちに社内の情報システム部門、上長、経理部門、関係部署などに報告してください。組織全体で連携して対応を開始する必要があります。
3. 窃取された可能性のあるアカウントのパスワードを変更する
メールアカウントや社内システムのアカウント情報などを入力してしまった場合は、すぐに安全な別のデバイスからパスワードを変更してください。
4. クレジットカード情報などを入力してしまった場合
クレジットカード情報などを入力してしまった場合は、直ちにカード会社に連絡し、カードの利用停止手続きを行ってください。
5. 金銭を振り込んでしまった場合
指定された口座に金銭を振り込んでしまった場合は、すぐに振込先の金融機関に連絡し、組戻しや振込停止の相談をしてください。被害回復が可能な場合があります。また、すぐに警察にも被害届や相談を行ってください。
6. 証拠を保全する
受信した不審なメール(ヘッダー情報も含む)、アクセスしてしまった偽サイトの画面、ダウンロードしたファイルなど、被害に関する情報を可能な限り保存してください。これは、被害状況の特定や警察への相談時に役立ちます。
7. 関連機関へ相談する
上記の対応と並行して、以下の一般的な相談窓口にも連絡し、アドバイスを求めてください。 * 消費者ホットライン(188): 消費者問題に関する相談を受け付けています。 * 警察相談専用電話(#9110): 犯罪被害に遭うか遭うおそれがある場合の相談を受け付けています。 * サイバー犯罪相談窓口: 各都道府県警察のウェブサイトに設置されています。 * 情報処理推進機構(IPA): セキュリティに関する情報提供や相談窓け口を設けている場合があります。 ※これらの窓口は一般的な情報提供や相談を行うものであり、個別の事案に対する直接的な解決を保証するものではありません。
日頃からできる対策
- 不審なメールは開かない、クリックしない: 差出人が不明なメールや、件名、本文に不審な点があるメールは開かず、削除することが最も安全です。
- 安易にリンクをクリックしない: 信頼できる送信元からのメールであっても、重要なリンクは一度立ち止まって確認する習慣をつけましょう。
- セキュリティ対策ソフトを導入し、常に最新の状態に保つ: ウイルス検出や不正サイトへのアクセス警告などの機能が被害を防ぐ助けとなります。
- OSやソフトウェアを常に最新の状態にする: 脆弱性を修正することで、攻撃のリスクを減らします。
- 会社のセキュリティポリシーを遵守する: 社内で定められた情報取り扱いのルールを守ることが重要です。
- 二段階認証/多要素認証を活用する: アカウントへの不正ログインを防ぐ有効な手段です。
まとめ
注文書や請求書を装うフィッシング詐欺は、ビジネスシーンにおいて特に注意が必要な脅威です。これらの手口は巧妙化しており、見慣れた形式や差出人を装って油断を誘います。
「おかしいな」と感じたら、焦らず、まずは送信元アドレス、本文の内容、添付ファイルやリンク先を注意深く確認することが、被害を防ぐ第一歩です。そして、少しでも不審な点があれば、メールや文書に記載された連絡先ではなく、普段から使用している電話番号などで正規の担当者に直接確認を取りましょう。
万が一被害に遭ってしまった場合でも、落ち着いて速やかに関係各所への報告と必要な手続きを行うことが、被害を最小限に抑える上で非常に重要です。日頃からセキュリティ意識を高め、不審な点には注意深く対応する習慣を身につけ、フィッシング詐欺から自社と自身の情報を守りましょう。