フィッシング対策ガイド

「福利厚生の案内」は危険？社内通知を装うフィッシング詐欺の見分け方と被害対処法

社内通知を装うフィッシング詐欺とは

リモートワークの普及や社内コミュニケーションツールの多様化に伴い、企業内での情報伝達も変化しています。これに伴い、社員向けの重要な通知やお得な情報を装ったフィッシング詐欺が増加しています。特に、福利厚生、社内イベント、健康診断、人事関連の通知、あるいは社内システム変更の案内などは、社員が「自分に関係ある」「見なければならない」と感じやすく、攻撃者にとって格好のターゲットとなります。

これらの詐欺メールやメッセージは、あたかも会社や関連部署（総務部、人事部、情報システム部など）から送信されたかのように見せかけ、受信者を偽のウェブサイトへ誘導したり、悪意のあるファイルをダウンロードさせたりすることで、個人情報や社内システムのログイン情報などを窃取しようとします。

社内通知を装うフィッシング詐欺の手口

攻撃者は、多忙なビジネスパーソンが詳細を確認せずに行動しやすい心理を利用します。具体的な手口としては、以下のようなものが挙げられます。

• 件名で緊急性や重要性を煽る: 「【緊急】【要対応】福利厚生申請のご案内」「重要：社内システム変更に関するお知らせ」「社員限定キャンペーン実施中！」など、開封を促すような件名を使用します。
• 内容で誘導する:
  • 「新しい福利厚生の申請手続きが必要です」と偽サイトへのリンクを提示する。
  • 「健康診断の予約サイトはこちら」と偽サイトへ誘導する。
  • 「社内システムへのログインが必要です」とログイン情報の入力を求める偽ページに誘導する。
  • 「キャンペーンへの参加は添付ファイルをご確認ください」と称してマルウェアを含むファイルを送付する。
  • 「規約変更のため同意が必要です」と、社内アカウントの認証情報を要求するページへ誘導する。
• 巧妙な偽装: 会社のロゴやフォーマットを真似たり、差出人名を部署名や担当者名に偽装したりして、正規の通知のように見せかけます。

これらの手口の目的は、最終的にログイン情報、個人情報（氏名、社員番号、住所、電話番号など）、あるいはクレジットカード情報や銀行口座情報などを不正に入手することです。

社内通知フィッシングの見分け方

以下の点に注意することで、不審な社内通知を見分けることができます。

1. 送信元アドレスを確認する:
   • 会社が使用している正規のドメイン名（例: @yourcompany.co.jp）と異なっていないか確認します。よく似た偽のドメイン名や、フリーメールアドレスが使用されている場合があります。
   • アドレスのスペルミスがないか、不自然な文字列が含まれていないかを確認します。
2. 内容の不自然さをチェックする:
   • 日本語の表現に不自然な箇所（誤字脱字、おかしな言い回し）がないか確認します。
   • 会社の正式名称が間違っていないか確認します。
   • 個人名ではなく、「お客様」「社員の皆様」といった漠然とした宛名になっていないか確認します（ただし、正規の通知でも使用される場合があります）。
   • 要求されている情報が、その通知内容に対して過剰ではないか確認します。例えば、福利厚生の案内でクレジットカード情報を要求されるのは不自然です。
3. リンクや添付ファイルの怪しさを見抜く:
   • メール本文中のリンクにカーソルを合わせると、画面の左下などに表示されるリンク先URLを確認します。正規の会社のURLと異なっていないか、不審な文字列が含まれていないかを確認します。安易にクリックしないでください。
   • 添付ファイルが実行ファイル（.exeなど）やスクリプトファイル、パスワード付き圧縮ファイルなど、通常業務で頻繁にやり取りしない形式でないか確認します。また、WordやExcelファイルであっても、マクロの有効化を要求するものは危険性が高いです。
4. 通知方法を確認する:
   • 会社からの重要な通知は、社内ポータルサイトやグループウェア、あるいはイントラネットなど、決まった方法で周知されることが多いです。受け取ったメールやメッセージの内容について、これらの正規の情報源で同様の通知が出ていないか確認します。
5. 緊急性や限定性を強調しすぎる:
   • 「〇時間以内に手続きしないと権利が失効します」「このリンクは〇分間だけ有効です」など、判断する時間を与えないような表現で手続きを急かすものは注意が必要です。

被害に遭った場合の具体的な対処法

万が一、社内通知を装ったフィッシング詐欺に騙されてしまった場合は、被害を最小限に抑えるために速やかに以下の行動を取ってください。

1. 冷静になり、状況を正確に把握する:
   • 何を入力してしまったか（ログインID、パスワード、個人情報、クレジットカード情報など）
   • どのサイトにアクセスしたか、またはどのファイルをダウンロード/実行したか
   • いつ頃、どのような経緯で被害に遭ったか などの情報を整理します。
2. 直ちに社内の担当部署へ連絡する:
   • 情報システム部、セキュリティ担当部署、人事部など、関連する社内の担当部署に、フィッシングメールを受け取ったこと、および騙されて情報を入力したりファイルを開いたりした可能性について、速やかに報告してください。これにより、会社全体のセキュリティリスク（社内システムへの不正アクセスなど）を防ぐ対策が取られます。
3. 関係機関への連絡:
   • 金融機関: クレジットカード情報や銀行口座情報を入力してしまった場合は、利用しているクレジットカード会社や銀行に直ちに連絡し、カードや口座の利用停止手続きを行ってください。不正利用されていないか確認し、被害が確認された場合は相談してください。
   • サービス提供者: 社内システム以外のオンラインサービス（個人のメール、SNS、ECサイトなど）のログイン情報を入力してしまった場合は、該当サービスの提供事業者に連絡し、アカウントの停止やパスワードのリセットを行ってください。
   • 警察: 警察のサイバー犯罪相談窓口や警察相談専用電話（#9110）に相談してください。被害状況を伝え、今後の対応について助言を仰ぐことができます。
   • 消費者ホットライン: 消費者ホットライン（188）でも、フィッシング詐欺を含む様々な消費者トラブルについて相談を受け付けています。 ※これらの連絡先は一般的なものであり、個別の被害状況によって適切な相談先は異なります。まずは社内担当部署に相談し、指示を仰ぐのが良いでしょう。
4. パスワードの変更:
   • 入力してしまったパスワードが、他のサービスでも使い回されている場合は、関連する全てのサービスのパスワードを直ちに変更してください。
5. 証拠の保全:
   • 受信したフィッシングメールやメッセージ、アクセスした偽サイトのURL、入力してしまった情報などが確認できる画面のスクリーンショットなどを保存しておきます。これらの情報は、警察や関係機関への相談時に役立ちます。
6. PCやスマートフォンの確認:
   • 不審なファイルをダウンロードしたり実行したりした場合は、使用しているPCやスマートフォンがマルウェアに感染している可能性があります。会社の規定に従い、社内担当部署の指示のもと、セキュリティソフトによるウイルススキャンなどを実行してください。個人の端末であれば、信頼できるセキュリティソフトでスキャンし、必要に応じて端末の初期化なども検討します。

まとめ

社内通知を装うフィッシング詐欺は、日々手口が巧妙化しています。一見、会社の正規のメールやメッセージに見えても、安易にリンクをクリックしたり、情報を入力したりせず、常に疑いの目を持つことが重要です。特に、個人情報やログイン情報の入力を求められた場合は、一度立ち止まり、送信元や内容に不審な点がないか複数確認する習慣をつけましょう。

万が一、被害に遭ってしまった場合は、速やかに社内担当部署に報告し、関係機関への連絡などの適切な対処を行うことで、被害の拡大を防ぐことができます。日頃からセキュリティ意識を高め、冷静な判断を心がけましょう。