採用サイトに「社員の氏名」載せる企業の危うさ サイバー攻撃者が狙う情報、新入社員も標的に
東洋経済オンライン / 2024年4月15日 8時0分
自社の社風を理解してもらい、採用活動などにつなげるために実名での社員紹介や業務内容をウェブサイトに掲載するのは定番の手法であるが、そこにはリスクも潜んでいる。サイバー攻撃を目論む犯罪者にとっては、こうした情報が攻撃の糸口になるからだ。リスクを意識しないまま行われている企業の情報発信について、中堅中小企業向けにセキュリティ支援を行う那須慎二氏に語ってもらった。
「社員の個人名」を活用するサイバー攻撃者
――多くの企業が公式ホームページや採用サイトに、社員の名前と部署名を記載しています。サイバーセキュリティの観点から、社員個人の情報掲載にはどんな問題がありますか。
【図表で見る】4月から6月は、新入社員の応対を狙ったサイバー攻撃者側から電話が来ることも
危機感なく社員名を掲載している企業が多いですが、そこにはリスクしかありません。サイバー攻撃のパターンにはいくつかありますが、ターゲットのメールアドレスを入手して攻撃を仕掛けるのは常套手段です。
メールアドレスを取得する方法の1つとして、会社のメールアドレスは「名前@ドメイン」がほとんどですから、社員の個人名がわかればある程度推測できます。そこで攻撃者は、企業の公式ホームページや採用サイトを見て、社員の名前を収集するのです。
サイバー被害に遭った企業から相談を受け、被害対応をしている際に多いのは、社長のパソコンが乗っ取られていたケースです。社長は自分の名前を隠しようがなく、メールアドレスを簡単に推測されてしまいます。最も社内の情報を保持していることに加え、ITリテラシーが高くない方も多くいるため、被害に遭いやすいのです
社長や役員をはじめ、自らの情報を対外的に公開している人ほどサイバー被害には遭いやすいので、注意が必要です。
――メールアドレスを取得した攻撃者は、どのようなアクションを行ってくるのですか。
メールで添付ファイルやURLリンクが送られてきます。パスワード付きzipファイルや.lnkなどは、それ自体は有害ではありません。しかし、ファイルを開いたりリンクを踏んだりした瞬間、皆さんのパソコンに標準装備されているソフトウェアが動き出します。
もともとパソコンに入っているソフトウェアなので、ウイルス対策ソフトは反応しません。攻撃者が送ったプログラムが実行されると、コンピューター自らウイルス対策ソフトを止めたり、検出を回避する技術等を使って攻撃者が用意したサーバーに接続し、遠隔操作を可能にしてしまいます。
この記事に関連するニュース
-
【ノートン|マッチングアプリによる被害実態調査】日本人のマッチングアプリ利用率は世界で最も低いが、累計課金額は世界1位 日本人のマッチングアプリ利用者の約5人に1人が詐欺被害のターゲットになったと回答
PR TIMES / 2024年5月1日 13時40分
-
SecurityScorecard、CISO向けにサイバー脅威の傾向を解説した「2024 S&P 500 サイバー脅威レポート」を発表-S&P 500企業の21%が2023年に情報漏えいの被害に-
Digital PR Platform / 2024年4月26日 10時25分
-
GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
ITmedia エンタープライズ / 2024年4月16日 7時15分
-
サイバー攻撃、被害公表のあり方に「正解」の道筋 被害組織の批判ではなく対応の適切な評価へ
東洋経済オンライン / 2024年4月5日 8時0分
-
五輪に忍び寄るサイバー攻撃、スポーツ業界も狙うランサムウェア
マイナビニュース / 2024年4月2日 11時27分
ランキング
-
1米スターバックス、3年ぶりの減収…中東での不買運動や北米の節約志向が重荷
読売新聞 / 2024年5月1日 22時24分
-
2円下落、一時158円台に迫る 介入観測後も円安止まらず
共同通信 / 2024年5月1日 18時30分
-
3Googleの「約束破り」が示す検索市場の"危うさ" ヤフーへの技術提供制限で公取委が初の処分
東洋経済オンライン / 2024年5月2日 7時20分
-
4「テーマパーク化した大学」を経たZ世代の不都合 先生と生徒が共犯でうみだす「いい子症候群」
東洋経済オンライン / 2024年5月1日 11時0分
-
5観光業で働く人のためにも「GWは廃止すべき」 こう提言しても、何も変わらなかった理由
ITmedia ビジネスオンライン / 2024年5月1日 6時40分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください