人事部承認依頼詐欺

仕事関連のメッセージを確認する際には、常に注意を払うことが不可欠です。特に、サイバー犯罪者が社内の部署を装って機密情報にアクセスするケースが増えているためです。こうした手口の最新事例の一つが、人事部を装った承認依頼詐欺です。これは、アカウントの認証情報を盗み出し、企業システムに侵入することを目的としたフィッシング詐欺です。

人事を装った欺瞞メッセージ

セキュリティ研究者が調査した不正メールは、企業の人事部からの内部通知を装っています。これらのメールは、今後の人材育成フェーズに関する最新情報を装い、新しい報酬体系、休暇ポリシーの改訂、給与調整について受信者が確認する必要があると主張しています。件名は「人事承認リクエスト：2025年のポリシー更新」といった内容であることが多いですが、正確な文言は様々です。

説得力のある口調にもかかわらず、これらのメッセージに記載されている内容はすべて捏造です。これらのメールは、受信者の雇用主、人事部、または正当な企業、組織、サービスプロバイダーとは一切関係がありません。むしろ、メールのログインポータルを模倣したフィッシングページへ受信者を誘導するための、いわばおとりとして機能しています。これらの偽装サイトは、パスワードを盗み出し、詐欺師に職場のアカウントへの完全なアクセス権を与えることを目的として作成されています。

サイバー犯罪者が職場のアカウントを狙う理由

従業員のアカウントへのアクセスは、攻撃者にとって非常に価値があります。ビジネス上の通信には、機密データ、業務の詳細、財務記録、社内サービスへのアクセスリンクなどが含まれることがよくあります。犯罪者がこれらの認証情報を入手すると、直接的な悪意のある目的に悪用したり、他の脅威アクターに売却したりする可能性があります。

侵害されたアカウントによって生じるリスク

• 機密性の高いビジネス情報の漏洩と、ランサムウェアやトロイの木馬感染などのマルウェア感染リスクの増大
• クラウドストレージ、ファイル共有ツール、プロジェクト管理システム、企業のソーシャルメディアアカウントなどの接続プラットフォームへの不正アクセス

適切なアクセス権があれば、詐欺師は被害者になりすまして金銭を要求したり、悪意のあるファイルを共有したり、同僚、パートナー、顧客に詐欺的なコンテンツを拡散したりする可能性があります。

攻撃が成功した場合の考えられる結果

• 金銭窃盗、不正取引、デジタルウォレットの不正使用
• 個人情報詐欺やなりすまし
• 長期的なプライバシーへの影響と企業データ漏洩の可能性

フィッシングメールの背後にある戦術

多くの人はスパムメールには明らかな誤りが満載だと予想しますが、こうした詐欺メールは洗練され、プロが書いたものが多いです。本物らしく見せるために、企業のトーンやブランドイメージを意図的に模倣しています。攻撃者はこのようなメールを配布することで、様々な詐欺行為を助長したり、有害な添付ファイルや埋め込みリンクを通じてマルウェアを拡散させたりします。

これらのキャンペーンで使用される悪意のあるファイルには、実行可能プログラム、アーカイブ、ドキュメント、JavaScriptファイル、その他の形式が含まれる場合があります。ファイルを開くと自動的に起動するものもあれば、Officeファイルでマクロを有効にしたり、OneNoteドキュメントに埋め込まれたアイテムをクリックしたりするなど、操作を必要とするものもあります。

被害者に何が起こるのか

人事部による承認依頼詐欺に騙された人は、連鎖的な被害に直面する可能性があります。盗まれた認証情報は、犯罪者に広範なネットワークへの侵入、さらなるデータの窃取、マルウェアの展開といった機会を与えます。結果として生じる被害には、プライバシー侵害、システム侵害、金銭的損失、個人情報の盗難などが含まれることがよくあります。

すでにアカウント情報を提供している場合は、直ちに対応が必要です。影響を受ける可能性のあるすべてのアカウントのパスワードを更新し、該当サービスの公式サポートチームに連絡することを強くお勧めします。

日常的または内部から送信されたように見える電子メールに対しても警戒を怠らないことが、現代のフィッシングの脅威に対する最も効果的な防御策の 1 つです。