サイバー犯罪者に狙われやすい部署は「〇〇部」だ!(前編)
- 目次
「脆弱性の高い」会社の部署が存在する
会社は常にサイバー犯罪の脅威に晒されており、サイバー犯罪者は常に「狙いやすい弱点」から攻撃をしかけようとします。会社には、サイバー犯罪者が最も狙いやすい「急所」があるんです。
どこだと思いますか?......それは、会社の「人事部」なんです。
人事部にお勤めの、そこのあなた。
もしかしたら、求職者を騙るサイバー空間の犯罪者に、すでに目をつけられているかもしれませんよ。
なぜ、人事部が情報セキュリティ上の「急所」なのか
●「知らない人=求職者からのメール」を怪しいと意識しづらい
「会社の専門部署に、いきなり連絡をしてくる知らない人」と聞くと、なんとなく怪しい印象を持ちますよね。でも、「求職者」だけは別です。求職者は、そもそも(会社から見れば)身元がわからない人間であることが普通だからです。
会社に攻撃を仕掛けたいサイバー犯罪者が最も選びやすい「変装」が、求職者の姿なのです。
●「履歴書」がファイルで添付されることが多い
求職者からのメールに「履歴書」がファイルで添付されているのは、全く不自然ではありません。また、とくに人事部であれば、履歴書には必ず目を通さなければなりません。
「知らない人から送られてくるファイル」を怪しむ気持ちが、送信者が「求職者」であるというだけで、途端に揺らいでしまうのです。
【事例】たとえばこんなメール、怪しまずに開いていませんか?
メール例A|件名:【重要】改めて履歴書をお送りいたします。
先日、御社OBの方にご連絡をいただきました、△△大学の〇〇〇〇太です。
私の手違いで、履歴書の提出が間に合わず、まことに申し訳ございませんでした。
改めて、データにて履歴書をお送りいたします。
添付ファイルをご確認ください。【添付ファイル:履歴書.pdf】
メール例B|件名:貴社での中途採用に関しまして
突然の連絡、失礼いたします。私は〇〇〇〇郎と申します。
御社のタカハシさまからご案内をいただき、こちらに連絡を差し上げました。
貴社の営業職での中途採用を希望おります。ぜひ一度、面接の機会をいただきたく存じます。
履歴書と職務経歴書をメールに添付いたしましたので、お目通しくださいませ。【添付ファイル:履歴書一式.zip】
メール例C|件名:制作部での採用を希望します。
はじめまして。フリーランスでイラストレーターをしている、〇〇〇美と申します。
制作部の求人情報を拝見しました。採用面接のお時間をいただくことは可能でしょうか?
下記URLの自作WEBサイトで、私が手がけた制作物を掲載しています。
これまで私は、某大手広告企業で広告制作を手がけてきました。
まずは、私のポートフォリオをご確認ください。 http://~~~~~~~~~~.com
いかがでしょうか。「どれもおかしくないけど?」「ファイルも開くし、リンクも見ると思う」......そう思ったあなたは、ウイルスメールへの耐性がなさすぎるかも?
これら3本のメールは、どれも「標的型攻撃メール」の可能性が十分にあります。
ちょっと冷静になって、これらの求職メールの例を疑いの目をもって読み直してみましょう。
知らない人からのメールは、「批判的に」読むべし
【メール例A】送り主の主張:「履歴書を提出し忘れたので、データで送った」
送り主の言う「大学のOB」は本当に存在するんでしょうか? そのOBの本名を述べないのはなぜなのでしょう?
さらに、ファイルがzip形式なことにも注意です。
【メール例B】送り主の主張:「社員からの紹介で、転職のために履歴書を送付した」
【A】と同じパターンです。送り主の言う「御社のタカハシさま」は、本当に存在するんでしょうか?
組織全体に一人はいそうな苗字を挙げて、関係者が社内にいるフリをしているだけかもしれません。
まったくの知らない人からのメールでも、「知り合いの紹介で......」と言われると、つい納得してしまいますよね。
メール例の【A】【B】ともに、読み手の心理を先読みしたメール本文となっています。
【メール例C】送り主の主張:「採用の検討に向けて、まずは制作実績をURL先で見てほしい」
文脈的にはもっともらしいですが、典型的なウイルスメールの「掲載のURLにアクセスするよう誘導する」手口であることにお気づきですか?
残念ながら、「標的型攻撃メール」を完全に防ぐ(見抜いて排除する)ことは不可能です(また同様に、全てのWEBサイトがその安全性を保障できるわけではありません)。ですので、逆に言えば、上記のメール例もすべて「ホンモノの求職者」から送られているものである可能性も十分にあるのです。
「何が危険で、何が安全なのかわからないじゃないか!」......そうお考えかもしれませんが、その通りです。近年の「標的型攻撃メール」は、ここまで進化を遂げているのです。サイバー攻撃とその防衛は常に「いたちごっこ」。攻撃手法の進化に合わせて、我々の側が都度、自衛の意識と体制を強化していく必要があります。
◆続きを読む:サイバー犯罪者に狙われやすい部署は「〇〇部」だ!(後編)