採用サイトに｢社員の氏名｣載せる企業の危うさ サイバー攻撃者が狙う情報､新入社員も標的に

――メールアドレスを取得した攻撃者は、どのようなアクションを行ってくるのですか。

メールで添付ファイルやURLリンクが送られてきます。パスワード付きzipファイルや.lnkなどは、それ自体は有害ではありません。しかし、ファイルを開いたりリンクを踏んだりした瞬間、皆さんのパソコンに標準装備されているソフトウェアが動き出します。

もともとパソコンに入っているソフトウェアなので、ウイルス対策ソフトは反応しません。攻撃者が送ったプログラムが実行されると、コンピューター自らウイルス対策ソフトを止めたり、検出を回避する技術等を使って攻撃者が用意したサーバーに接続し、遠隔操作を可能にしてしまいます。

ウイルス対策ソフトをインストールしていても、サイバー被害に遭ってしまう理由がここにあります。

SNSでつながった友達がサイバー攻撃者だった

――会社名と個人名、メールアドレスを紐づけられるといえば、Facebookやリンクトイン等のSNSにも危険はあるのでしょうか。

那須慎二(なす・しんじ)
株式会社CISO 代表取締役
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根をよくすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス（特許取得）を提供。業界問わず幅広く講演・執筆多数。近著に『知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識（ソシム）』あり（写真は本人提供）

SNSに個人名と会社名に加えて、電話番号、メールアドレスなどを掲載している方もいますが、これは「狙ってください」と言っているようなもの。

SNSで友達申請を受け、半年くらいやり取りを重ねて信頼関係を構築したところで、攻撃を仕掛けられたケースもあります。会話の流れで送られてきたリンクやPDFを開いたり、資料を送りたいのでメールアドレスを教えてほしいと言われ、メールアドレスを教えてしまったりしてマルウェアに感染し、被害に遭ってしまうのです。

会社にUSBメモリが郵送されてくることもあります。個人宛に届き、「何だろう」とパソコンに差し込むと、途端にマルウェアに感染して情報を抜き取られてしまうわけです。

落とし物を装ってUSBを置いておき、中身を確認するためにパソコンに挿入させようと誘導する手口もあります。

――社員の情報掲載はリスクがある一方、社員を登場させることで仕事内容や働き方等を理解してもらい、採用活動につなげたい企業は多いでしょう。掲載してよい情報とそうでない情報の線引きはどうすればよいですか。

サイバーセキュリティの観点では、本人を特定できないようにすることが基本です。会社のホームページで社員名を掲載すると特定されてしまうので、どうしても載せたい場合はイニシャル表示にするとよいでしょう。