採用サイトに｢社員の氏名｣載せる企業の危うさ サイバー攻撃者が狙う情報､新入社員も標的に

SNSに個人名と会社名、電話番号、メールアドレスなどを掲載するのは「狙ってください」と言っているようなもの（画像：NOBU / PIXTA）

自社の社風を理解してもらい、採用活動などにつなげるために実名での社員紹介や業務内容をウェブサイトに掲載するのは定番の手法であるが、そこにはリスクも潜んでいる。サイバー攻撃を目論む犯罪者にとっては、こうした情報が攻撃の糸口になるからだ。リスクを意識しないまま行われている企業の情報発信について、中堅中小企業向けにセキュリティ支援を行う那須慎二氏に語ってもらった。

「社員の個人名」を活用するサイバー攻撃者

――多くの企業が公式ホームページや採用サイトに、社員の名前と部署名を記載しています。サイバーセキュリティの観点から、社員個人の情報掲載にはどんな問題がありますか。

【図表で見る】4月から6月は、新入社員の応対を狙ったサイバー攻撃者側から電話が来ることも

危機感なく社員名を掲載している企業が多いですが、そこにはリスクしかありません。サイバー攻撃のパターンにはいくつかありますが、ターゲットのメールアドレスを入手して攻撃を仕掛けるのは常套手段です。

メールアドレスを取得する方法の1つとして、会社のメールアドレスは「名前＠ドメイン」がほとんどですから、社員の個人名がわかればある程度推測できます。そこで攻撃者は、企業の公式ホームページや採用サイトを見て、社員の名前を収集するのです。

サイバー被害に遭った企業から相談を受け、被害対応をしている際に多いのは、社長のパソコンが乗っ取られていたケースです。社長は自分の名前を隠しようがなく、メールアドレスを簡単に推測されてしまいます。最も社内の情報を保持していることに加え、ITリテラシーが高くない方も多くいるため、被害に遭いやすいのです

社長や役員をはじめ、自らの情報を対外的に公開している人ほどサイバー被害には遭いやすいので、注意が必要です。

――メールアドレスを取得した攻撃者は、どのようなアクションを行ってくるのですか。

メールで添付ファイルやURLリンクが送られてきます。パスワード付きzipファイルや.lnkなどは、それ自体は有害ではありません。しかし、ファイルを開いたりリンクを踏んだりした瞬間、皆さんのパソコンに標準装備されているソフトウェアが動き出します。

もともとパソコンに入っているソフトウェアなので、ウイルス対策ソフトは反応しません。攻撃者が送ったプログラムが実行されると、コンピューター自らウイルス対策ソフトを止めたり、検出を回避する技術等を使って攻撃者が用意したサーバーに接続し、遠隔操作を可能にしてしまいます。