フィッシング対策ガイド

人事評価や給与明細通知を装うフィッシング詐欺：見分け方と被害対処法

人事評価や給与明細を装うフィッシング詐欺とは

フィッシング詐欺の手口は巧妙化しており、ビジネスパーソンにとって身近な情報を悪用するものも増えています。その一つが、人事評価や給与明細といった社内通知を装うフィッシング詐欺です。

これらの通知は、受信者にとって非常に重要度が高く、確認を急がせる効果があります。攻撃者はその心理を利用し、偽の通知を送付してログイン情報や個人情報をだまし取ろうとします。多くの場合、メールやチャットツールを通じて送られ、偽サイトへの誘導やマルウェアの添付といった手口が用いられます。

人事評価・給与明細フィッシング詐欺の具体的な手口

人事評価や給与明細を装うフィッシング詐欺では、以下のような手口が見られます。

1. 緊急性・重要性を強調する件名: 「【重要】20XX年度人事評価について」「給与支払通知書のご確認」「至急：人事評価の最終承認が必要です」など、読者の注意を引き、すぐに開封させるような件名が使われます。
2. 偽のログインページへの誘導: 本文中に「詳細はこちら」「添付ファイルをご確認ください」といったリンクを貼り、クリックさせようとします。リンク先は、会社のイントラネットやシステムに見せかけた偽のログインページであり、そこでIDやパスワードを入力させることで情報を窃取します。
3. マルウェア付き添付ファイル: 給与明細のPDFや評価シートのエクセルファイルなどを装った添付ファイルが開かれると、コンピュータがマルウェアに感染する可能性があります。
4. 巧妙ななりすまし: 送信元アドレスを会社のドメインに似せたり、実際に使用されているメール署名をコピーしたりするなど、本物のメールに限りなく似せてきます。

フィッシング詐欺を見分けるポイント

これらの巧妙な手口を見破るためには、いくつかのポイントを確認することが重要です。

• 送信元メールアドレスを確認する:
  • 会社の公式ドメインと完全に一致しているか、よく確認します。微妙なスペルミスや見慣れないサブドメインが使われている場合があります。
  • 差出人名が表示されていても、必ずメールアドレス自体をチェックしましょう。
• 本文の内容を不審な目で見る:
  • 普段の通知と比較して、言葉遣いに不自然な点はないか、誤字脱字が多くないか確認します。
  • 敬称が間違っていたり、宛名が不正確だったりする場合も注意が必要です。
  • 会社の正式名称や部署名が正確か確認します。
• リンク先URLを安易にクリックしない:
  • リンクにカーソルを合わせる（クリックはしない）と、実際のURLが表示されます。会社の公式URLと異なる場合は非常に危険です。
  • 短縮URLは、クリックするまでリンク先が分からないため、特に注意が必要です。
• 添付ファイルは慎重に扱う:
  • 身に覚えのないメールに添付されたファイルは、絶対に開かないでください。
  • ファイルを開く前に、送信元や内容に不審な点がないか再度確認します。
• 会社の正規の通知方法と比較する:
  • 普段、人事評価や給与明細はどのような方法で通知されるのか（特定のシステム、イントラネット、紙など）を思い出してください。普段と異なる方法での通知は疑うべきです。
• パスワード入力を求められたら立ち止まる:
  • リンク先のページでIDやパスワードの入力を求められた場合、そのページが会社の正規のログインページであることを慎重に確認します。ブラウザのアドレスバーに表示されているURLや、SSL証明書の有無などをチェックします。

たとえ件名が重要に見えても、これらのチェックポイントを冷静に確認する習慣をつけましょう。

万が一、フィッシング詐欺の被害に遭ってしまった場合の対処法

もし、フィッシング詐欺に気づかずに情報を入力してしまったり、添付ファイルを開いてしまったりした場合は、慌てずに以下の手順で対処することが重要です。

1. 冷静になり、被害状況を確認する:
   • 何を、どこに入力してしまったのか（ID、パスワード、クレジットカード情報など）。
   • 開いてしまった添付ファイルの種類は何か。
2. 速やかに関係各所に連絡・対応する:
   • 社内への報告: 会社のセキュリティ部門、IT部門、人事部など、関連部署に速やかに報告します。会社のシステムでアカウント情報を入力してしまった場合は、アカウントの停止やパスワードリセットなどの対応が必要になります。社内規定の連絡先や手順に従ってください。
   • アカウント情報の変更: 入力してしまったIDやパスワードを使用している他のサービス（会社のシステム以外も含む）があれば、直ちにパスワードを変更します。使い回しているパスワードがある場合は特に危険です。
   • クレジットカードの利用停止: クレジットカード情報を入力してしまった場合は、カード会社に連絡してカードの利用を停止し、不正利用されていないか確認します。
   • 金融機関への連絡: 銀行口座情報などを入力してしまった場合は、利用している金融機関に連絡し、対応について相談します。
3. 証拠を保全する:
   • 受信した不審なメール、アクセスしてしまった偽サイトのURL、入力した情報、画面のスクリーンショットなど、被害に関する情報は削除せず、可能な限り保存しておきます。これらは後々の調査や相談の際に役立ちます。
4. 公的な相談窓口に相談する:
   • どのように対処すればよいか不明な場合や、広範な被害が懸念される場合は、以下の公的な窓口に相談することも検討します。
     • 消費者ホットライン（188）: 消費者トラブルに関する相談を受け付けています。
     • 警察相談専用電話（#9110）: サイバー犯罪を含む、生活の安全に関わる相談を受け付けています。被害届の提出が必要になる場合もあります。
     • 都道府県警察のサイバー犯罪相談窓口: 各都道府県警察に設置されています。詳細は警察庁のウェブサイトなどで確認できます。
   • 注意点: これらの相談窓口は一般的なアドバイスや手続きに関する情報提供を行うものであり、個別の被害回復を保証するものではありません。また、会社のシステムに関する被害は、まず社内の指示に従うことが最優先です。
5. 二次被害の防止に努める:
   • フィッシング詐欺に遭ったことで、さらなる詐欺のターゲットになる可能性があります。不審な連絡には引き続き警戒してください。

まとめ

人事評価や給与明細といった通知は、誰もが関心を持つ情報であり、フィッシング詐欺に悪用されやすいテーマです。送られてきたメールやメッセージの送信元、リンク先URL、本文の内容などを常に冷静に確認する習慣をつけましょう。万が一被害に遭ってしまった場合は、迅速な状況確認、関係各所への連絡、証拠の保全が重要です。日頃から警戒心を持ち、不審な点があれば安易に情報を入力したりファイルを開いたりしないことが、詐欺から身を守る最善策となります。