業種を問わず、サイバー攻撃を受けやすい職種というものがあります。今回取り上げるのは、人事部門で働く人を狙ったサイバー脅威です。何と言っても、人事担当者のメールアドレスは、採用関連の問い合わせ用に企業Webサイトに公開されているので見つけやすいのです。
人事部門を狙うサイバー脅威
人事部門の社員は、他部門とは違って独特な立場にあります。社外からのメールを大量に受け取る一方で、漏洩があっては困るような個人情報にアクセスすることが多い傾向にあります。
受信メール
サイバー犯罪者が企業ネットワーク内に入り込もうとする場合によく使う手口は、悪意ある添付ファイルや悪意あるリンクを含むメールをその企業の従業員に送り付けることです。そこで、私たちはいつも「添付ファイルのついた不審なメールは開かないで」「知らない人から送られてきたリンクはクリックしないで」とお伝えしているわけですが、人事担当者たちがそのとおりにしていたら仕事になりません。外部から受け取るメールのほとんどは知らない人からのものである可能性が高く、履歴書が添付されている(または、過去の仕事例を参照させるためのリンクが記載されている)場合も少なくありません。大雑把にいって、少なくとも全体の半分は不審に見えるのではないでしょうか。
その上、過去にこなした仕事の一覧やサンプルは、一般的ではない形式で提出されることがあります。例えば、特定分野の人しか使わないCADのファイルなどがそうです。人事部門の社員は職務上、そうしたファイルを開いて中身を見る必要があります。サイバー犯罪者は、ファイルの拡張子を変えて別のプログラムのファイルに見せかけることがあります(例えば、実行形式のファイルを普通の文書ファイルに見せかけるなど)。そうした可能性をいったん忘れたとしても、そうした特殊なプログラムが常に最新の状態にあるわけではなく、脆弱性の有無を徹底的に検証してあるわけでもありません。Microsoft Officeのように広く普及していてしょっちゅう解析されているソフトウェアであっても、任意コードの実行を許してしまうような脆弱性がたびたび見つかっています。
個人情報へのアクセス
大企業であれば、就職希望者との連絡を担当する人、現社員とのやりとりを担当する人、という具合に担当者が分かれているかもしれませんが、小規模な企業の場合、人事担当者が1人でどちらも切り回していることが多いものです。おそらくその人は、会社が保持する全社員のデータにアクセスできるようになっていることでしょう。
しかし、何か問題を起こそうとするなら、人事担当者のメールボックスをハッキングするだけで十分です。履歴書を送ってくる人たちは、自分の個人情報を会社が処理して保管することについては(明示的または暗黙に)同意するとしても、誰だか分からない外部者に引き渡すことには同意しないはずです。そこで、サイバー犯罪者が、このような情報にアクセスできることを利用して会社に対して恐喝を働く可能性があります。
恐喝と言えば、ランサムウェアのことも考えなければなりません。このごろのランサムウェアは、データを暗号化してしまう前にデータを盗み、暗号化したデータの身代金を払わなければデータを公開する、と脅すことがしばしばです。こういうタイプのマルウェアが人事部門のコンピューターに入り込むと、サイバー犯罪者にとって大きなチャンスとなってしまいます。
巧妙なBEC攻撃の足がかり
サイバー犯罪者からすると、だまされやすい人や十分にセキュリティ教育を受けていない従業員がミスを冒すのを当てにするのは、確実性が高くありません。もっと難しいけれども成果の得やすいビジネスメール詐欺(BEС)の方が、今では主流になっています。よくあるBECのパターンでは、従業員の誰かのメールボックスを乗っ取ってその人になりすまして同僚へメールを送り、送金させたり社外秘の情報を遅らせたりします。攻撃を確実に成功させるためには、人に指示して従わせることができる立場の人物(会社幹部であることが多い)のメールアカウントを乗っ取る必要があります。そこで、まずは目的に合った上層部の人物を探り当てるために時間と労力をかけることになりますが、人事担当者のメールボックスにアクセスできれば、まさにうってつけです。
先に述べたように、人事担当者にフィッシングメールやフィッシングリンクを開かせるのは比較的容易です。さらに、従業員が人事部門からのメールを信用する可能性は高いものです。人事部門から部門長に応募者の履歴書を転送するのはよくあることですし、内部文書を全社員宛てに送ることもあります。こうしたことから、人事部門のメールアカウントは、BEС攻撃を仕掛け、企業ネットワーク内を水平展開していくための効果的な足場となり得るのです。
人事部門のコンピューターを守るには
人事部門のコンピューターに侵入される可能性を最小限にとどめるため、以下の対策をお勧めします。
- 可能であれば、人事部門のコンピューターを別のサブネットに置く。万一侵入されたコンピューターがあっても、脅威が企業ネットワーク全体に広がる可能性を最小限にとどめることができます。
- 個人を特定できる情報をワークステーションには保存せず、別のサーバー、または多要素認証で保護された個人情報専用のシステム(こちらの方が望ましい)に保存する。
- 従業員向けにサイバーセキュリティ意識向上トレーニングを実施するに当たっては、人事担当者の意見を取り入れ、人事担当者にトレーニングを優先的に受けさせる。
- 人事担当者に、就職希望者から送られてくるファイルの形式に注意を払うように促す。採用担当者は、実行ファイルを見分けることができ、実行しないという判断ができなくてはなりません。理想的には、履歴書や過去の仕事サンプルを受け取る際にどういった形式のファイルなら受け取ってもよいか、人事部門とITセキュリティ部門で協力してリストにまとめ、採用情報に明記するのがよいでしょう。
同時に、基本的なセキュリティの対策もやはり大切です。
- 人事部門のコンピューターに入っているソフトウェアを適切なタイミングで更新する。
- 厳格でありながら守りやすいパスワードポリシー(社内リソースにアクセスするためのパスワードは強力なものにする、パスワードは使い回さないなど)を運用する。
- 新しい脅威に速やかに対応し、ソフトウェアの脆弱性を悪用しようとする試みを特定できるセキュリティ製品を、すべてのコンピューターにインストールする。