2019年6月のハラスメント法改正により、職場におけるハラスメント対策が法的義務となりました。大企業では2020年6月から、中小企業では2022年4月から段階的に施行され、パワハラ対策の義務化は2026年現在、すべての規模の企業に適用されています。
多くの企業が、従業員へのハラスメント教育・研修の実施、社内外の相談窓口(ホットライン)の設置、就業規則・懲戒規定の整備に取り組んでいます。しかし、そうしたコンプライアンス意識の高さを逆手に取る、新たなサイバー攻撃が確認されています。
本記事では、実際に確認されている「ハラスメント申立の調査」を装った標的型攻撃メールの手口と、企業が取るべき対策をご紹介します。
ハラスメント行為の事実確認を装った攻撃メールとは、その手口を解説
実際に確認されている攻撃メールの件名には、たとえば以下のようなものがあります。このケースでは、送信元が実在するドメインを装っていたことや、日本語にも大きな違和感が見られなかったことから、非常に巧妙に作られていました。
攻撃メールのイメージ図
メールでは、受信者がパワハラを行ったという匿名の相談が寄せられているとして、会社として事実確認を行うため、明日の17時までに指定のURLへアクセスし、内容を確認のうえ回答するよう指示が記載されています。また、内容を誰にも口外しないよう求める指示も記載されています。
件名:【重要・親展】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼
なぜこの手口は巧妙なのか
このメールが危険な理由は、受信者の責任感や誠実さを巧みに悪用し、攻撃者が望む行動を促すからです。
| 心理的トリガー | 攻撃者の狙い |
|---|---|
| センシティブなテーマ | 「ハラスメント」というだけで緊張感が生まれ、冷静な判断を失いやすくなる |
| 自己防衛心理 | 「自分が訴えられた?」という恐怖が冷静な判断を奪い、すぐに確認しなければという焦りが、無意識のリンク・添付クリックを招いてしまう |
| 相談しにくい状況 | ハラスメントの疑いをかけられていることが周囲に知れると、上司や同僚からの評価に影響すると感じ、相談できないまま一人で対処しようとしてしまう |
| 権威への服従 | 人事・コンプライアンス部門を装うことで、疑わずに指示に従わせる |
典型的な誘導パターン
今回確認された攻撃メールには、本文内にリンクが埋め込まれており、クリックすると偽サイトへ誘導される仕掛けとなっていました。そのサイトでは、氏名・社員番号・パスワードなどの個人情報の入力を求められる可能性があります。
また、攻撃手法はこのようなリンクに限らず、返信を促す文面を含めたり、添付ファイル(PDF・Wordなど)を開かせることで、マルウェアを実行させるケースも想定されるため、注意が必要です。
少しでも不審に思われるメールを受信した場合は、いかなる操作も行わず、速やかに社内のセキュリティ窓口へ報告することが重要です。そのため、従業員一人ひとりが適切に行動できるよう意識を持つことが求められます。
攻撃メールへの企業として取り組むべき対策
このようなケースでは、情報システム部門・セキュリティ部門だけでなく、コンプライアンス部門なども連携した組織的な対応が重要です。
情報システム部門・セキュリティ部門の対策
攻撃の存在を社内に広く周知し、「疑ったら即報告」の文化を根付かせることが最大の防御です。また、「本物と偽物」を見分けるための教育や情報の整備も重要です。
具体的な対応の一例
- 不審メールの報告ルール・フローを明文化する
- 不審なメールの受信など、セキュリティインシデント発生時の相談・報告窓口を設置し、相談先を社内に明示する
- 攻撃メールの手口・事例を社内に定期的に周知する
- 標的型攻撃メール訓練や定期的なセキュリティ教育を実施する
コンプライアンス部門の対策
「本物の連絡」と「偽物の攻撃メール」を社員が見分けられる仕組みを整えるとともに、ハラスメント発生時の社内通報フローを明確化することが重要です。
具体的な対応の一例
- 調査開始・ハラスメントヒアリング(事実確認)の正式な手順を就業規則等に明記する
- 調査担当者・相談窓口の連絡先を社内イントラ等で常時公開する
- 本人への通知方法(メール・書面・直接口頭など)を事前に周知する
- 正式な連絡では「URLクリックを求める」「添付ファイルを開かせる」ことは行わないと周知する
- ハラスメント研修の機会を活用し、正式な連絡先や通知方法について説明する
従業員の対策
不審なメールの受信など、セキュリティインシデントにつながるおそれのある事象が発生した場合は、適切に窓口へ相談することが重要です。
具体的な対策の一例
- 標的型攻撃メール訓練や定期的なセキュリティ教育の受講
- セキュリティインシデントにつながる可能性がある事象が発生した場合は、速やかに社内ルールにのっとって行動する
- 社内のハラスメント窓口やセキュリティ窓口の連絡先・担当者を把握しておく(正しい情報の所在、実在する部門名、担当者の掲載場所など)
攻撃メール対策における現場の課題と運用負担
対策の重要性は理解されていても、特に情報システム部門やセキュリティ部門の現場では、以下のような課題に直面していませんか。
- 攻撃の巧妙化に伴い、不審メールに関する問い合わせが増加している
- 攻撃手口の変化に対応したセキュリティ教育の継続的な実施が難しい
- 夜間・休日に発生したセキュリティインシデントへの対応
リソースの制約から自社での体制構築が難しい場合、セキュリティインシデント発生時の窓口をアウトソーシングするという選択肢があります。
まず重要なのは、不審なメールを受信した際に、従業員が速やかに報告できる文化を醸成することです。そのためには、報告窓口を開設し、社内へ周知するとともに、従業員への利用促進を図ることが不可欠です。有事の際に迅速かつ適切な対応が取れるよう、日頃からの運用定着を進めていきましょう。
まとめ
ハラスメントを題材にした、実際に確認された攻撃メールの事例をご紹介しました。
JBサービス株式会社では、不審メールの受信をはじめとするセキュリティインシデントの受付を代行するサービスを提供しています。不審メール受信時の受付に加え、パソコンやスマートフォン、社員証の紛失・盗難の受付対応、MDMツールを活用したリモートワイプなどにも対応可能です。社内のセキュリティ窓口の開設や運営についてお悩みの際は、ぜひお気軽にご相談ください。
