日々増殖するフィッシングメール。記者も例外ではなく、毎日結構な数の迷惑メールを業務用アドレスで受け取っている(そしてそのほとんどが自動的に迷惑メールフォルダに送られていく)。普通ならそれで終わりだが、先日プレスリリースに紛れて少し目を引く迷惑メールが送られてきたので、注意喚起も兼ねて紹介しよう。
「2026年度下半期の人事情報」を装うメール
件名は「【機密】2026年度下半期の人事情報および昇進対象者リストの先行公開について」。送り元は「人事労務部 給与管理チーム」をかたっている。すでにお察しの通り、このメールは「会社は社員の努力に関係なく人事評価と昇進者を先に決めており、そのお知らせを誤送信した」ように装い、クリックを促す手口とみられる。いやらしい。
本文を見てみよう。以下画像の通りだ。本文のうち、「評価通知書・昇進リストの閲覧(要認証)」の部分がリンクになっている。確認はしていないが、これを踏むとフィッシングサイトなどに誘導されるのだろう。社内VPNからのアクセスを促しているので、もしかしたら転送先は社内ポータルなどを模した画面で、VPNの認証情報の入力を迫られるのかもしれない。
フィッシングメールの見分け方
記者は部署名の違いをはじめ複数の違和感からフィッシングと気づいたが、内容が内容なだけに、もしかすると衝動的にクリックしてしまう人もいるかもしれない。同様のメールに限らず、フィッシングにはご注意を。そして経営陣も、社員に「あらかじめ人事評価を決めていてもおかしくない」と思われるようなマネジメントをしていないか、ご注意を。
フィッシングメールは年々巧妙化しており、AIを活用したものも増えている。セキュリティ企業は、ChatGPTを使ったサイバー攻撃の可能性について注意喚起している。フィッシングメールや攻撃プログラムの生成に成功したという。知識がなくても攻撃可能になるため、特に注意が必要だ。
関連記事として、迷惑メール対策の強化が業界に求められている。総務省は9月1日、フィッシングメール対策の強化をIT関連の業界4団体に要請した。また、標的型攻撃メールによるトラブルを避けるポイントも紹介されている。
