フィッシング対策ガイド

企業の採用活動や求職者を狙うフィッシング：見分け方と被害時の対処法

企業の採用活動や求職者を狙うフィッシング詐欺とは

フィッシング詐欺の手口は多様化しており、近年では企業の採用活動や、転職活動中の個人を狙った巧妙な手口が増加しています。これは、採用担当者が応募者情報にアクセスする必要があったり、求職者が個人情報や職務経歴を企業に提出したりするプロセスを悪用するものです。

攻撃者は、企業の人事部門や採用担当者、あるいは有名な転職サイトや企業の採用担当者になりすまし、偽のメールやメッセージを送付します。これらを通じて、企業の機密情報や個人情報を窃取したり、マルウェアを送りつけたりすることを目的とします。

多忙な業務の合間や、転職活動中の切迫した状況下では、こうした不審な連絡を見過ごしてしまうリスクがあります。ここでは、採用・求職関連のフィッシング詐欺の手口と見分け方、そして万が一被害に遭ってしまった場合の対処法について解説します。

主なフィッシング詐欺の手口

採用活動や求職者を狙うフィッシング詐欺には、以下のような手口があります。

• 企業側を狙う手口:
  • 偽の応募書類や問い合わせ: マルウェアを含む添付ファイル付きの応募書類を送りつけたり、個人情報やシステムへのアクセスを要求する問い合わせを装ったりします。
  • 偽の採用システムへの誘導: 存在しない採用管理システムへの登録やログインを促し、アカウント情報や社員情報を詐取します。
  • 候補者情報へのアクセス要求: 実際にはあり得ない方法で、候補者の詳細情報へのアクセスを要求してきます。
• 求職者側を狙う手口:
  • 偽の求人情報や面接案内: 魅力的な求人情報や、大手企業からの面接案内を装い、偽サイトへ誘導して個人情報を入力させます。
  • 偽の内定通知や採用関連連絡: 内定を餌に、機密保持契約への同意や研修プログラムへの参加費と称して金銭を要求したり、個人情報、銀行口座情報などを詐取したりします。
  • 偽の採用試験や適性検査: オンライン試験と称して、マルウェアが含まれるソフトウェアのインストールを促したり、個人情報を入力させたりします。
  • リファレンスチェック（経歴照会）を装う: 以前の勤務先などになりすまし、個人情報や過去の評価などを確認すると称して機密情報を聞き出そうとします。

これらの手口は、受信者の警戒心を和らげるため、実在する企業名や人物名を巧みに使い、非常に巧妙に作成されています。

採用・求職関連フィッシングの見分け方

不審なメールやメッセージを見分けるための具体的なポイントは以下の通りです。

• 送信元アドレスを確認する:
  • 企業やサービス名と関係のないフリーメールアドレスや、明らかに不自然な文字列のアドレスから送られてきていないかを確認します。
  • 正規の企業ドメインと酷似しているが、一文字だけ異なるなどの巧妙な偽装に注意が必要です。（例: @company.com が @cornpany.com のようになっているなど）
• 件名や本文に不自然な点がないか確認する:
  • 日本語の表現や文法に明らかな間違いがないか確認します。ただし、最近はAI翻訳の進化により自然な日本語の詐欺メールも増えています。
  • 過度に緊急性や限定性を煽るような表現（例: 「至急対応してください」「〇時間以内に手続きしないと無効になります」）は警戒が必要です。
  • 宛名が「お客様」や「ご担当者様」など、曖昧になっていないか確認します。
• リンク先URLに注意する:
  • メール本文中に記載されているリンクにカーソルを合わせる（クリックしない！）と、実際のURLが表示されます。表示されたURLが、その企業やサービスが通常使用しているドメインと異なっていないかを確認します。
  • 短縮URL（例: bit.ly/xxxxxx）は、遷移先のURLを隠すためフィッシングで悪用されやすいので、特に警戒が必要です。
• 添付ファイルを開く際は細心の注意を払う:
  • 心当たりがないメールや、送信元に不審な点があるメールに添付されたファイルは、絶対に開かないでください。
  • Word (.doc, .docx)、Excel (.xls, .xlsx)、PDF (.pdf) などのファイル形式でも、開いた際にマルウェアに感染する可能性があります。マクロの実行を求められた場合なども危険です。
• 個人情報や金銭の要求に警戒する:
  • 採用プロセスにおいて、最初に安易に銀行口座情報やクレジットカード情報、あるいは高額な金銭（研修費、保証金など）を要求されることは、正規の企業では考えにくいことです。
• 企業や担当者名を照合する:
  • メールに記載されている企業名や担当者名が、その企業の公式サイトや採用ページに記載されている情報と一致するか確認します。疑わしい場合は、メールに記載されている連絡先ではなく、公式サイトに記載されている正規の連絡先を通じて確認を取るのが安全です。
• 通常の採用フローとの違いを確認する:
  • 過去の採用経験や、その企業の一般的な採用フローと比較して、連絡方法や情報の要求内容に不審な点がないか確認します。

万が一、被害に遭ってしまった場合の対処法

どれだけ注意していても、巧妙な手口によって被害に遭ってしまう可能性はゼロではありません。被害に遭った、あるいはその可能性が高いと感じた場合の対処法は以下の通りです。落ち着いて迅速に行動することが重要です。

1. 被害拡大を防ぐ:
   • 偽サイトでIDやパスワードを入力してしまった場合は、速やかに正規のサイトでパスワードを変更してください。同じパスワードを使い回している他のサービスでも、念のためパスワードを変更することを推奨します。
   • クレジットカード情報や銀行口座情報を入力してしまった場合は、速やかにカード会社や金融機関に連絡し、カードや口座の利用停止手続きを行ってください。
   • 添付ファイルを開いてしまった場合は、オフラインにしてからお使いのセキュリティソフトでフルスキャンを実行してください。
   • 詐欺サイトやマルウェア感染の可能性があるサイトを閉じてください。
2. 証拠を保全する:
   • フィッシング詐欺に関するメールやメッセージの画面、アクセスしてしまった偽サイトのURLや画面などをスクリーンショットなどで保存しておきましょう。これらの情報は、その後の相談や手続きで重要になります。
3. 関係各所に相談・連絡する:
   • 社内の担当部署: 会社のメールアドレスで被害に遭った場合は、情報システム部門やセキュリティ担当部署に速やかに報告・相談してください。会社のシステムが侵害された可能性もあります。
   • 利用したサービス運営者: なりすまされた企業やサービス（例: 転職サイト）に連絡し、状況を報告してください。他の被害者の発生防止に繋がります。
   • 金融機関・カード会社: 金銭的な被害が発生した、あるいはその可能性がある場合は、利用停止措置を行った後、被害状況について相談してください。
   • 警察: 最寄りの警察署またはサイバー犯罪相談窓口に相談してください。被害届の提出が必要となる場合があります。
   • 国民生活センター / 消費者ホットライン: 悪質な業者との契約や金銭トラブルなど、消費生活全般に関する相談が可能です。「188番」で最寄りの消費生活相談窓口につながります。
   • 警察相談専用電話 #9110: 犯罪に当たるか不明だが、警察に相談したい場合に利用できる窓口です。

これらの相談窓口は一般的なものです。個別の状況に応じて、必要な連絡先は異なります。

まとめ

企業の採用活動や個人の転職活動は、多忙かつ重要なフェーズであり、攻撃者にとって狙いやすい状況と言えます。届いたメールやメッセージが正規のものか、常に注意深く確認することがフィッシング詐欺から身を守る基本です。特に、個人情報や金銭の要求には最大限の警戒が必要です。

万が一被害に遭ってしまった場合でも、パニックにならず、冷静に上記の対処法を実行することが被害の拡大を防ぐために不可欠です。日頃からフィッシング詐欺の手口を知り、不審な点はないか意識することで、リスクを低減することができます。