BEC攻撃事例ファイル

【事例】求職者なりすましBEC攻撃：偽の応募書類と見抜く不審な兆候

中小企業の皆様、こんにちは。「BEC攻撃事例ファイル」編集部です。

皆様の会社では、採用活動を行っていますでしょうか。人材採用は企業の成長に不可欠ですが、残念ながらサイバー犯罪者はそのプロセスも悪用しようと企んでいます。今回は、採用担当者や経営者を狙った「求職者なりすましBEC攻撃」の事例を取り上げ、その手口や、被害を防ぐために見抜くべき兆候について解説します。

採用活動を狙う「求職者なりすましBEC攻撃」とは

この事例は、まさに採用活動中に発生したビジネスメール詐欺（BEC）の一種です。攻撃者は、求職者になりすまして企業にメールを送りつけます。その目的は多岐にわたりますが、主に以下のいずれか、または複数を目指します。

• マルウェア感染: 応募書類と偽った添付ファイルを開かせ、社内ネットワークに侵入するためのマルウェアを送り込む。
• 情報詐取: 応募手続きや面接準備と称して、個人情報やアカウント情報を聞き出す、あるいは偽のログインページへ誘導する。
• 金銭詐取: 採用決定後の手続き費用、研修費用、入社準備金などの名目で送金を指示する。

特に中小企業では、採用担当者が他の業務と兼務していたり、セキュリティ専門の担当者がいなかったりする場合が多く、このような巧妙な手口に見抜かれずに対応してしまうリスクがあります。

事例から学ぶ BEC攻撃の「手口」と具体的な「兆候」

今回取り上げる求職者なりすまし事例における、攻撃者の具体的な手口と、そこに見られた「不審な兆候」を見ていきましょう。

騙しの手口

攻撃者は、ターゲット企業の採用活動の状況をある程度把握しているかのように装います。

1. メールの送信: 企業のWebサイトに掲載されている採用情報や問い合わせ窓口などを確認し、採用担当者や代表者のメールアドレス宛に直接メールを送ります。
2. 求職者になりすます: 実在しない人物名や、ネット上で収集した情報（氏名、経歴の一部など）を用いて、いかにも実在する求職者であるかのように振る舞います。
3. 件名を工夫する: 「応募の件」「求人について」「履歴書のご送付」など、採用担当者が開封しやすい件名を使用します。
4. 本文で信用を得る: 丁寧な言葉遣いで自己紹介をし、企業のどのような点に魅力を感じたかなど、具体的な応募意欲を示す文章を記載します。これにより、正規の応募メールであると信じ込ませようとします。
5. 偽装した添付ファイルやリンクを送り付ける: 「履歴書」「職務経歴書」「ポートフォリオ」といった正規の応募書類に見せかけたファイルや、オンライン面接ツールへの招待リンクなどを添付・記載します。しかし、これらの実態はマルウェアが仕込まれたファイルであったり、情報を抜き取るための偽サイトへのリンクであったりします。特に添付ファイルは、実行ファイルや不正なスクリプトが隠された圧縮ファイル（zipなど）の形式が多い傾向があります。

攻撃の兆候：ここに気づけば防げる可能性が高い

このような求職者なりすましメールには、注意深く確認すれば必ずと言っていいほど「いつもと違う点」や「怪しい点」が含まれています。被害を防ぐためには、これらの兆候に気づくことが非常に重要です。

• メールアドレスの不審な点:
  • 普段応募を受け付けていないフリーメールアドレス（@gmail.com, @yahoo.co.jpなど）からのメール。
  • 求職者名とは関連性のない、ランダムな文字列のようなメールアドレス。
  • 企業の採用窓口として指定しているメールアドレス以外からの応募。
• 件名や本文の不自然さ:
  • 明らかにおかしい日本語表現や誤字脱字が多い。
  • 定型文をそのまま貼り付けたような不自然な文章構成。
  • 応募している企業名や募集職種が間違っている。
  • メールアドレスや氏名など、応募者の情報が本文中に含まれていない、あるいは不完全。
• 添付ファイルの不審な点:
  • 拡張子: 応募書類として一般的なPDFやWord (.doc, .docx) ではないファイル形式（例: .exe, .scr, .hta, .js, .vbsなど）。
  • 圧縮ファイル: 添付ファイルがzip形式で、解凍すると不審なファイルが含まれている。特に、本文にパスワードが記載されたzipファイル（パスワード付きzip）は、近年マルウェア感染の手口として多用されているため、最も注意が必要です。
  • ファイル名の偽装: 「〇〇履歴書.pdf.zip」のように、ファイル名に二重の拡張子が付いている、あるいは長いファイル名で本当の拡張子が見えにくくされている。
  • ファイルサイズ: 応募書類としては不自然にファイルサイズが大きい、あるいは極端に小さい。
• リンクの不審な点:
  • オンライン面接ツールなどの招待リンクが、正規のサービスのURLと微妙に異なる。
  • リンク先のURLが、企業の公式サイトや募集ページと関連性のないアドレスになっている。
• 要求内容の不審な点:
  • 採用プロセスとしては通常ありえないような、詳細すぎる個人情報（銀行口座情報など）の要求。
  • 面接前や内定前に、入社関連の費用などの金銭的な要求がある。
  • 急ぎの対応を強く求める、不自然な緊急性の強調。

これらの兆候は単独でも注意が必要ですが、複数組み合わさっている場合は、詐欺である可能性が非常に高いと言えます。

事例から学ぶ教訓：中小企業が取り組むべき対策のヒント

この事例から、中小企業の経営者や従業員がBEC攻撃から身を守るために、どのような点に注意し、どのような対策を講じることができるでしょうか。特に、コストをかけずに始められる基本的な対策に焦点を当てます。

従業員への注意喚起と教育

最も重要かつコストのかからない対策は、従業員のセキュリティ意識向上です。

• 不審なメールのチェックポイント共有: 上記で解説した「兆候」をリスト化し、応募メールを受け取る可能性のある部署や担当者に周知徹底します。特に、不審なメールアドレス、不自然な日本語、怪しい添付ファイル、見慣れないリンクについて具体的に説明します。
• 添付ファイル・リンクの危険性教育: 安易にメールの添付ファイルを開いたり、本文中のリンクをクリックしたりすることが、マルウェア感染や情報漏洩に繋がる危険性を理解してもらいます。特に、パスワード付きzipファイルの危険性について警告します。
• 「おかしいな」と感じたら相談するルールの徹底: 少しでも不審に感じた場合は、自己判断せず、必ず責任者や別の担当者に相談・報告する体制を構築します。

コストをかけずにできる基本的な対策

1. 応募受付方法の明確化: 企業のWebサイトや求人広告で、応募書類の送付方法やファイル形式（例: PDFのみ可、Wordファイルは特定のテンプレートを使用など）を具体的に指定します。指定外の方法や形式で送られてきた応募については、特に注意を要することを内部で共有します。
2. 添付ファイル開封・リンククリックのルール策定: 応募書類として許可するファイル形式以外は、原則として開封しないというルールを定めます。また、メール本文中のリンクについても、URLをよく確認してからクリックする、あるいは一度正規のサイトをブラウザで開き直して該当ページを探す、といった習慣をつけます。パスワード付きzipファイルは特に危険なものとして扱います。
3. 複数人での確認体制: 重要な採用関連のメール（特に手続きや金銭に関わる内容）や、少しでも不審な点があるメールについては、採用担当者一人で判断せず、責任者や他の担当者と情報共有し、複数人で確認するプロセスを取り入れます。
4. 事実確認の徹底: もしメールで不審な要求（例えば、急な送金指示や通常と異なる手続き）があった場合は、メール以外の別の手段（電話など）で、正規の連絡先や担当者に直接確認を取ります。この際、メールに記載されている電話番号ではなく、過去の取引や公式Webサイトで確認できる正規の連絡先を使用します。
5. 不審メールの報告体制整備: 従業員が受け取った不審なメールを、組織内で共有し、情報として蓄積・活用できる仕組みを整備します。

組織内で意識すべき行動指針

「急いでいるから」「応募者からの連絡だから大丈夫だろう」といった先入観を持たず、「もしかしたら詐欺かもしれない」という健全な疑いの意識を持つことが重要です。特に、普段と違う状況（採用活動、新しい取引、経営者からの指示など）や、緊急性を強調される状況では、冷静に対応することを心がけます。組織全体のセキュリティ意識を高めることが、個々の対策をより効果的なものにします。

まとめ

求職者なりすましBEC攻撃は、採用活動という企業の通常の業務プロセスに紛れ込むため、見抜くことが難しい場合があります。しかし、攻撃者の手口には必ず不審な「兆候」が含まれています。

今回の事例から学んだ手口と兆候を参考に、日頃から従業員の方々と情報共有し、不審なメールに対するチェックポイントや対応ルールを定めておくことが、被害を防ぐための重要な一歩となります。特別なIT知識がなくても、普段の注意と確認作業を徹底することで、多くのBEC攻撃は防ぐことが可能です。コストをかけずに始められる対策から、ぜひ取り組んでみてください。