セキュリティ

サイバー犯罪者に狙われやすい部署は「〇〇部」だ！（前編）

2017年10月24日

目次

「脆弱性の高い」会社の部署が存在する

会社は常にサイバー犯罪の脅威に晒されており、サイバー犯罪者は常に「狙いやすい弱点」から攻撃をしかけようとします。会社には、サイバー犯罪者が最も狙いやすい「急所」があるんです。

どこだと思いますか？......それは、会社の「人事部」なんです。

人事部にお勤めの、そこのあなた。
もしかしたら、求職者を騙るサイバー空間の犯罪者に、すでに目をつけられているかもしれませんよ。

なぜ、人事部が情報セキュリティ上の「急所」なのか

●「知らない人＝求職者からのメール」を怪しいと意識しづらい

「会社の専門部署に、いきなり連絡をしてくる知らない人」と聞くと、なんとなく怪しい印象を持ちますよね。でも、「求職者」だけは別です。求職者は、そもそも（会社から見れば）身元がわからない人間であることが普通だからです。
会社に攻撃を仕掛けたいサイバー犯罪者が最も選びやすい「変装」が、求職者の姿なのです。

●「履歴書」がファイルで添付されることが多い

求職者からのメールに「履歴書」がファイルで添付されているのは、全く不自然ではありません。また、とくに人事部であれば、履歴書には必ず目を通さなければなりません。
「知らない人から送られてくるファイル」を怪しむ気持ちが、送信者が「求職者」であるというだけで、途端に揺らいでしまうのです。

【事例】たとえばこんなメール、怪しまずに開いていませんか？

メール例A｜件名：【重要】改めて履歴書をお送りいたします。

先日、御社OBの方にご連絡をいただきました、△△大学の〇〇〇〇太です。
私の手違いで、履歴書の提出が間に合わず、まことに申し訳ございませんでした。
改めて、データにて履歴書をお送りいたします。
添付ファイルをご確認ください。【添付ファイル：履歴書.pdf】

メール例B｜件名：貴社での中途採用に関しまして

突然の連絡、失礼いたします。私は〇〇〇〇郎と申します。
御社のタカハシさまからご案内をいただき、こちらに連絡を差し上げました。
貴社の営業職での中途採用を希望おります。ぜひ一度、面接の機会をいただきたく存じます。
履歴書と職務経歴書をメールに添付いたしましたので、お目通しくださいませ。【添付ファイル：履歴書一式.zip】

メール例C｜件名：制作部での採用を希望します。

はじめまして。フリーランスでイラストレーターをしている、〇〇〇美と申します。
制作部の求人情報を拝見しました。採用面接のお時間をいただくことは可能でしょうか？
下記URLの自作WEBサイトで、私が手がけた制作物を掲載しています。
これまで私は、某大手広告企業で広告制作を手がけてきました。
まずは、私のポートフォリオをご確認ください。　 http://~~~~~~~~~~.com

いかがでしょうか。「どれもおかしくないけど？」「ファイルも開くし、リンクも見ると思う」......そう思ったあなたは、ウイルスメールへの耐性がなさすぎるかも？

これら３本のメールは、どれも「標的型攻撃メール」の可能性が十分にあります。
ちょっと冷静になって、これらの求職メールの例を疑いの目をもって読み直してみましょう。

知らない人からのメールは、「批判的に」読むべし

【メール例A】送り主の主張：「履歴書を提出し忘れたので、データで送った」

送り主の言う「大学のOB」は本当に存在するんでしょうか？　そのOBの本名を述べないのはなぜなのでしょう？
さらに、ファイルがzip形式なことにも注意です。

【メール例B】送り主の主張：「社員からの紹介で、転職のために履歴書を送付した」

【A】と同じパターンです。送り主の言う「御社のタカハシさま」は、本当に存在するんでしょうか？
組織全体に一人はいそうな苗字を挙げて、関係者が社内にいるフリをしているだけかもしれません。

まったくの知らない人からのメールでも、「知り合いの紹介で......」と言われると、つい納得してしまいますよね。
メール例の【A】【B】ともに、読み手の心理を先読みしたメール本文となっています。

【メール例C】送り主の主張：「採用の検討に向けて、まずは制作実績をURL先で見てほしい」

文脈的にはもっともらしいですが、典型的なウイルスメールの「掲載のURLにアクセスするよう誘導する」手口であることにお気づきですか？

残念ながら、「標的型攻撃メール」を完全に防ぐ（見抜いて排除する）ことは不可能です（また同様に、全てのWEBサイトがその安全性を保障できるわけではありません）。ですので、逆に言えば、上記のメール例もすべて「ホンモノの求職者」から送られているものである可能性も十分にあるのです。

「何が危険で、何が安全なのかわからないじゃないか！」......そうお考えかもしれませんが、その通りです。近年の「標的型攻撃メール」は、ここまで進化を遂げているのです。サイバー攻撃とその防衛は常に「いたちごっこ」。攻撃手法の進化に合わせて、我々の側が都度、自衛の意識と体制を強化していく必要があります。

◆続きを読む：サイバー犯罪者に狙われやすい部署は「〇〇部」だ！（後編）

関連記事

• 

  セキュリティ 2018年4月13日 00:00

  アンチウイルスソフト選びのヒント～情報セキュリティ６（後）

  パターンマッチングにヒューリスティック検知、そしてふるまい検知......さまざまなウイルス検出機能があるなかで、なぜ「ふるまい検知」が注目されているの？　「ふるまい検知」でPCが感染しないヒミツは「サンドボックス」にあり？　元・サイバー捜査官が教える、かしこくアンチウイルスソフトを選ぶヒントとは。

  • おしえて！情報セキュリティ
  • ウイルス
  • サイバー犯罪
  • セキュリティ基礎
• 

  セキュリティ 2018年4月 6日 00:00

  ヒューリスティック検知等の機能～情報セキュリティ（中）

  実際に検査対象のファイルを動かして、ウイルスかどうかを探る方法が「動的ヒューリスティック」。実際にウイルスを動作させて「ふるまい」を見る、ということから、この動的ヒューリスティックが「ふるまい検知」とも言われている。......なんだかちょっと難しい、アンチウイルスソフトの「ヒューリスティック検知」「ふるまい検知」のしくみ。"料理"でたとえて考えるとよくわかるかも？　

  • おしえて！情報セキュリティ
  • ウイルス
  • サイバー犯罪
  • マルウェア
• 

  セキュリティ 2018年3月30日 00:00

  ウイルス検知法「パターンマッチング」～情報セキュリティ６（前）

  アンチウイルスソフトがないと不安......でも、選び方がわからない！　アンチウイルスソフトを選ぶなら、その「ウイルス検知機能」に注目。「パターンマッチング」「ヒューリスティック検知」「ふるまい検知」などの代表的なウイルス検知機能のしくみを知って、かしこい選択を。

  • おしえて！情報セキュリティ
  • ウイルス
  • サイバー犯罪
  • セキュリティ基礎
  • マルウェア
• 

  セキュリティ 2018年3月16日 00:00

  リスクを考えるキーワード＝「ハインリッヒの法則」

  深刻なレベルの情報漏洩などが、ニュースになることがありますよね。「ハインリッヒの法則」で考えれば、そのウラには"少しの油断"による約300件にも及ぶ「ヒヤリ・ハット」が起きていたことがうかがえます。また逆に、日々あわや大惨事になりかねない事態が、職場のすみずみで何件も同時多発しているかもしれないわけです。それを考えると、なんだか少しヒヤッとしませんか？

  • インシデント
  • ウイルス
  • マルウェア
  • 情報漏洩
• 

  セキュリティ 2018年3月 9日 00:00

  紀元前から変わらない？～定番の「攻撃の手法」を考える

  「トロイの木馬」や、一斉にアクセス集中させる「DoS（Denial of Service Attack）攻撃」、ハッキングでの「暗号」解読、「毒（ウイルス）」入りファイルの送付など......。サイバー攻撃というと、いかにも高度でフクザツな技術を使ってアレコレしているように思えますよね。でも、攻撃の「手法」自体は、それこそ紀元前から存在するものだったりするんです。どんなに時代が変わっても、私たちにとっての「スタンダードなもの」は変わらない。今も昔も攻撃スタイル自体は変わらず、新しい技術が昔の手法を踏襲しているにすぎないということ、改めて確認してみましょう。

  • インシデント
  • ウイルス
  • サイバー犯罪
  • セキュリティ基礎
  • マルウェア
  • 犯罪心理
• 

  セキュリティ 2018年3月 2日 00:00

  「からだの健康」と「セキュリティ」の意外なつながり

  インフルエンザの予防接種は、秋冬の恒例行事！という方もいらっしゃるはず。ワクチンでウイルスへの耐性をつけることは、最も効果的な対策のひとつです。そして、ワクチンではカバーしきれないウイルス感染を防ぐのが、手洗いをはじめ、うがいや十分な睡眠、バランスのとれた食事の徹底といった「キホンの体調管理」。ワクチンなどで「ウイルスを寄せ付けない」ということと、「感染のリスクをつくらない」ということ。このふたつの「合わせ技」が、健康維持にかかせません！それって、「組織の情報セキュリティ対策」でも、まったく同じことが言えるんです。あなたのPCでは、ウイルス対策の「予防接種」はお済みですか？

  • ウイルス
  • サイバー犯罪
  • セキュリティ基礎
  • マルウェア
  • 情報漏洩