2022 年 8 月 31 日 編集部記事

近年、サイバー犯罪者が人事部を標的にして機密データを窃取する傾向が強まっています。このケースでは、サイバー犯罪者が社会保障情報、生年月日、職歴、従業員や会社の銀行口座番号などにアクセスして甚大な被害を与え、多額の利益を得ることがあります。

人事部はその取り扱うデータ量が多いことから、攻撃者にとっては魅力的な標的です。一方で、潜在的なサイバー攻撃の防波堤ともなり得ます。

人事部を標的とした一般的な攻撃手法

Verizon Data Breach Investigations Report の最新データによると、データ漏洩の 85% はヒューマンエラーが原因で発生しています。このため、その点を強化し、サイバー攻撃のリスクを軽減し、データ保護を確実に行うための準備が最も重要です。

人事部はその取り扱うデータ量が多いことから、攻撃者にとっては魅力的な標的です。一方で、潜在的なサイバー攻撃の防波堤ともなり得ます。

人事部を標的とした一般的な攻撃手法

前述の通り、データ漏洩の 85% はヒューマンエラーが原因で発生しています。ですからその点を強化し、サイバー攻撃のリスクを軽減し、データ保護を確実に行うための準備が最も重要です。

フィッシング: 2021 年に Statista が世界の 3500 の組織を対象に行った調査によると、悪意のあるメールを受け取った従業員の 3％ が、メール内のリンクをクリックして組織を攻撃にさらしていることが判明しました。この調査結果から次のことがわかります。フィッシングメールは、最も広く使われている手法の 1 つであり、多くのユーザがすでに危険性を認識しているにもかかわらず、決して油断してはいけない、ということです。

給与詐欺: これは新しい詐欺です。攻撃者がソーシャルエンジニアリングによって、従業員の給与を自分の口座に振り込ませる手法です。特に人事部を標的にしています。部門間のコミュニケーションが希薄になりがちな大企業が標的になることが多くあります。

マルウェア: 攻撃者が、偽の応募書類にマルウェアを添付して送りつけます。正規の履歴書を装ったファイルにマルウェアが紛れ込んでおり、ファイルをダウンロードするとデバイスがマルウェアに感染します。

企業セキュリティ侵害の起点となる個人情報盗難

個人情報の盗難は、人事部を油断させるための非常に一般的な手口です。米国人材マネジメント協会（SHRM）は、ID 盗難のうち職場から発生するものの割合は 30%〜50% であると推定しています。

電子メールのなりすましが成功すると、攻撃者は従業員の ID を使用して人事部に連絡できるようになります。これによってハッカーは機密情報を入手し、別の強力な攻撃を仕掛けたり、先に説明したように、給与関連の詐欺を実行したりします。

ハッカーの攻撃手法

• 従業員の電子メールアカウント侵害。
• サイバースクワッティングの利用。これは。気付かれない程度の小さな変更を加え、送信者の正規のドメインを模倣したものです。受信者が気づきにくいメールアドレスの一文字を変更するなどの例があります。

最近米国では、リモートで働ける職種の面接においてディープフェイクの技術を利用して、別の顔で面接を受けるという新しいなりすましが報告されています。通常この手法は、顧客情報、財務データ、企業の IT データベース、専有情報などに個人的にアクセスできる仕事を得るために展開されます。

以上のようなインシデントを防ぐには以下の対策を検討してください。

• 人事部は、採用のプロセスや応募者から書類を受け取る際に、十分な警戒をする必要があります。添付ファイルを開く前に、送信者と文書が安全なことを確認してください。
• リモート面接の際には、カメラに映る面接者の動作や唇の動きが、話す音声と完全に連動していない場合は、ディープフェイクの明らかな兆候です。よく観察してください。
• システムおよびリソースへの不正アクセスや、企業データまたは保護されたデータの盗難を防止する、高度な ID 管理ソリューションを使用してください。
• リモートワークの手順を含め、会社のポリシーと手順が最新のものであることを確認してください。全従業員が自分の役割と責任を認識する必要があります。
• 従業員のアクセス権を見直し、場合によっては削除することで、業務に必要な権限だけにアクセスできるようにしてください。これにより、ハッカーが組織のシステムに侵入することが困難になります。