採用サイトに「社員の氏名」載せる企業の危うさ サイバー攻撃者が狙う情報、新入社員も標的に
東洋経済オンライン / 2024年4月15日 8時0分
自社の社風を理解してもらい、採用活動などにつなげるために実名での社員紹介や業務内容をウェブサイトに掲載するのは定番の手法であるが、そこにはリスクも潜んでいる。サイバー攻撃を目論む犯罪者にとっては、こうした情報が攻撃の糸口になるからだ。リスクを意識しないまま行われている企業の情報発信について、中堅中小企業向けにセキュリティ支援を行う那須慎二氏に語ってもらった。
「社員の個人名」を活用するサイバー攻撃者
――多くの企業が公式ホームページや採用サイトに、社員の名前と部署名を記載しています。サイバーセキュリティの観点から、社員個人の情報掲載にはどんな問題がありますか。
【図表で見る】4月から6月は、新入社員の応対を狙ったサイバー攻撃者側から電話が来ることも
危機感なく社員名を掲載している企業が多いですが、そこにはリスクしかありません。サイバー攻撃のパターンにはいくつかありますが、ターゲットのメールアドレスを入手して攻撃を仕掛けるのは常套手段です。
メールアドレスを取得する方法の1つとして、会社のメールアドレスは「名前@ドメイン」がほとんどですから、社員の個人名がわかればある程度推測できます。そこで攻撃者は、企業の公式ホームページや採用サイトを見て、社員の名前を収集するのです。
サイバー被害に遭った企業から相談を受け、被害対応をしている際に多いのは、社長のパソコンが乗っ取られていたケースです。社長は自分の名前を隠しようがなく、メールアドレスを簡単に推測されてしまいます。最も社内の情報を保持していることに加え、ITリテラシーが高くない方も多くいるため、被害に遭いやすいのです
社長や役員をはじめ、自らの情報を対外的に公開している人ほどサイバー被害には遭いやすいので、注意が必要です。
――メールアドレスを取得した攻撃者は、どのようなアクションを行ってくるのですか。
メールで添付ファイルやURLリンクが送られてきます。パスワード付きzipファイルや.lnkなどは、それ自体は有害ではありません。しかし、ファイルを開いたりリンクを踏んだりした瞬間、皆さんのパソコンに標準装備されているソフトウェアが動き出します。
もともとパソコンに入っているソフトウェアなので、ウイルス対策ソフトは反応しません。攻撃者が送ったプログラムが実行されると、コンピューター自らウイルス対策ソフトを止めたり、検出を回避する技術等を使って攻撃者が用意したサーバーに接続し、遠隔操作を可能にしてしまいます。
この記事に関連するニュース
-
「当社の情報が漏えいしました」──世間へどう発表すべき? タイミングは? セキュリティ専門家に根掘り葉掘り聞いてみた
ITmedia NEWS / 2024年6月12日 10時0分
-
“安心・お得” 4つのセキュリティ対策をパッケージ! バルテス、新オールインワンサービス「サイバープロテクト」 公開のお知らせ
PR TIMES / 2024年6月11日 17時45分
-
今押さえておきたいサイバーセキュリティ用語 第8回 巧妙化するフィッシングメール、情報漏洩のリスクと対策
マイナビニュース / 2024年5月30日 7時0分
-
【5/30(木)開催】サプライチェーンを狙ったサイバー攻撃をテーマにウェビナーを開催
PR TIMES / 2024年5月22日 13時15分
-
サイバー攻撃被害「お詫び」で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的
東洋経済オンライン / 2024年5月20日 8時0分
ランキング
-
1内定辞退者を追い詰めるいなば食品社長が「哀願手紙」を京都大学に送っていた!
文春オンライン / 2024年6月13日 17時30分
-
2テスラ株主、560億ドルのマスク氏報酬案承認 米企業で史上最高
ロイター / 2024年6月14日 8時30分
-
3「読者の7割ばあちゃん」福岡の新聞ヒットの裏側 75歳以上が働く「うきはの宝」のリアルに迫る
東洋経済オンライン / 2024年6月14日 7時0分
-
4マクドナルド 「サムライマック」の「炙り醤油風 トリプル肉厚ビーフ」14日から期間限定発売 ファン「今回こそ!」「絶対うまいやつだ」と感激
iza(イザ!) / 2024年6月13日 13時13分
-
5値上げで黒字化、達成なるか=試算に疑問の声も―日本郵便
時事通信 / 2024年6月13日 19時38分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください