「偽人事部」からのメールに要注意 だまされやすいタイトルとは

セキュリティトレーニングを提供する企業が実施した調査によると、フィッシングのテストで最もクリックされたのは「人事関連」の内容だという。従業員はどのような内容のメールに特に“引っかかりやすい”のだろうか。

[Carolyn Crist，HR Dive]

　セキュリティトレーニングとフィッシングシミュレーションサービスを提供するKnowBe4の2023年7月25日の報告によると（注1）、フィッシングテストでクリックされた電子メールの件名の約50％は人事関連の内容だった。

　同社が発表した2023年の第2四半期におけるフィッシングレポートによると、3人に1人近くのユーザーが不審なリンクをクリックしたり、不正な要求に応じたりしている。

どのようなメールに引っかかりやすい？

　人事関連の電子メールの中にも、休暇や各種申請、人事評価などさまざまな内容のものがある。従業員はどのような内容の電子メールに“引っかかりやすい”のだろうか。

　人事関連の件名を使用したフィッシングメールで、最もクリックを誘発したものは、服装規定の変更やトレーニングの通知、W-4（米国の源泉徴収に関する申告書）のアップデート、業績評価、休暇ポリシーのアップデートだった。

　同レポートによると、人事関連の件名の使用はフィッシングのシナリオにおいて特に効果的だ。それらの件名は、電子メールの（差出人の）真正性を考えさせる時間を与えずに開封やクリックを誘発できるからだ。

　KnowBe4のCEOであるスチュ・ショウワーマン氏は次のように述べる（注2）。

　「犯罪者は、巧妙かつ信用できるメッセージを作るために絶えず手を加えており、フィッシングメールは相変わらず脅威だ。今回のレポートで明らかになったフィッシングメールの傾向は特に注意すべきものだ。これらの電子メールの50％は人事部から送信されたように見えるものだった。これらのフィッシングメールは従業員の信頼を利用したものであり、クリックによって組織全体に重大な結果をもたらす恐れがある。フィッシングや悪意のある電子メールによる被害を防ぐためには、従業員に対して新しいタイプのセキュリティ意識向上トレーニングを実施することが重要だ」

　残念なことに、最近の報告書によると（注3）、従業員が高度なフィッシング攻撃に引っかかる可能性が高まっている。特にテレワークや柔軟なスケジュールを採用する職場では、役職者や管理者になりすまして行われる攻撃に多くの人が引っかかっている。

　人事データもサイバーセキュリティ攻撃の標的になっており（注4）、人事担当リーダーはサイバーセキュリティに関する責任をより強く求められるようになっている。サードパーティ製のアプリケーションに保存され、暗号化されているように見えるデータであっても、従業員はそれらのデータをエクスポートし、電子メールやメッセージアプリで共有する恐れがある。

　採用リーダーも、機密情報を盗もうとする偽の求職者に注意すべきだ。FBIの捜査官は、人事担当者はビデオ面接でおかしな点がないか注意を払い、書類を注意深くチェックし、可能であれば少なくとも1回は対面の面接を行うべきだと語っている（注5）。

出典：Half of the most-clicked phishing emails contain HR-related subject lines（HR Dive）
注1：TOP-CLICKED PHISHING TESTS（knowBe4）
注2：KnowBe4 Phishing Test Results Reveal Half of Top Malicious Email Subjects Are HR Related（CISION）
注3：Workers increasingly likely to fall for ‘advanced’ phishing attacks, firm says（HR Dive）
注4：HR data is sought after on the dark web. How can employers protect worker info?（HR Dive）
注5：The FBI says fake job applicants are on the prowl. How can HR protect itself?（HR Dive）