SNSに個人名と会社名、電話番号、メールアドレスなどを掲載するのは「狙ってください」と言っているようなもの(画像:NOBU / PIXTA)

自社の社風を理解してもらい、採用活動などにつなげるために実名での社員紹介や業務内容をウェブサイトに掲載するのは定番の手法であるが、そこにはリスクも潜んでいる。サイバー攻撃を目論む犯罪者にとっては、こうした情報が攻撃の糸口になるからだ。リスクを意識しないまま行われている企業の情報発信について、中堅中小企業向けにセキュリティ支援を行う那須慎二氏に語ってもらった。

「社員の個人名」を活用するサイバー攻撃者

――多くの企業が公式ホームページや採用サイトに、社員の名前と部署名を記載しています。サイバーセキュリティの観点から、社員個人の情報掲載にはどんな問題がありますか。

危機感なく社員名を掲載している企業が多いですが、そこにはリスクしかありません。サイバー攻撃のパターンにはいくつかありますが、ターゲットのメールアドレスを入手して攻撃を仕掛けるのは常套手段です。


東洋経済Tech×サイバーセキュリティのトップページはこちら

メールアドレスを取得する方法の1つとして、会社のメールアドレスは「名前@ドメイン」がほとんどですから、社員の個人名がわかればある程度推測できます。そこで攻撃者は、企業の公式ホームページや採用サイトを見て、社員の名前を収集するのです。

サイバー被害に遭った企業から相談を受け、被害対応をしている際に多いのは、社長のパソコンが乗っ取られていたケースです。社長は自分の名前を隠しようがなく、メールアドレスを簡単に推測されてしまいます。最も社内の情報を保持していることに加え、ITリテラシーが高くない方も多くいるため、被害に遭いやすいのです

社長や役員をはじめ、自らの情報を対外的に公開している人ほどサイバー被害には遭いやすいので、注意が必要です。

――メールアドレスを取得した攻撃者は、どのようなアクションを行ってくるのですか。

メールで添付ファイルやURLリンクが送られてきます。パスワード付きzipファイルや.lnkなどは、それ自体は有害ではありません。しかし、ファイルを開いたりリンクを踏んだりした瞬間、皆さんのパソコンに標準装備されているソフトウェアが動き出します。

もともとパソコンに入っているソフトウェアなので、ウイルス対策ソフトは反応しません。攻撃者が送ったプログラムが実行されると、コンピューター自らウイルス対策ソフトを止めたり、検出を回避する技術等を使って攻撃者が用意したサーバーに接続し、遠隔操作を可能にしてしまいます。

ウイルス対策ソフトをインストールしていても、サイバー被害に遭ってしまう理由がここにあります。

SNSでつながった友達がサイバー攻撃者だった

――会社名と個人名、メールアドレスを紐づけられるといえば、Facebookやリンクトイン等のSNSにも危険はあるのでしょうか。


那須慎二(なす・しんじ)
株式会社CISO 代表取締役
中堅中小企業向けにセキュリティの支援を行う株式会社CISO 代表取締役。人の心根をよくすることで「セキュリティ」のことを考える必要のない世界の実現を目指し、独自のセキュリティサービス(特許取得)を提供。業界問わず幅広く講演・執筆多数。近著に『知識ゼロでもだいじょうぶ withコロナ時代のためのセキュリティの新常識(ソシム)』あり(写真は本人提供)

SNSに個人名と会社名に加えて、電話番号、メールアドレスなどを掲載している方もいますが、これは「狙ってください」と言っているようなもの。

SNSで友達申請を受け、半年くらいやり取りを重ねて信頼関係を構築したところで、攻撃を仕掛けられたケースもあります。会話の流れで送られてきたリンクやPDFを開いたり、資料を送りたいのでメールアドレスを教えてほしいと言われ、メールアドレスを教えてしまったりしてマルウェアに感染し、被害に遭ってしまうのです。

会社にUSBメモリが郵送されてくることもあります。個人宛に届き、「何だろう」とパソコンに差し込むと、途端にマルウェアに感染して情報を抜き取られてしまうわけです。

落とし物を装ってUSBを置いておき、中身を確認するためにパソコンに挿入させようと誘導する手口もあります。

――社員の情報掲載はリスクがある一方、社員を登場させることで仕事内容や働き方等を理解してもらい、採用活動につなげたい企業は多いでしょう。掲載してよい情報とそうでない情報の線引きはどうすればよいですか。

サイバーセキュリティの観点では、本人を特定できないようにすることが基本です。会社のホームページで社員名を掲載すると特定されてしまうので、どうしても載せたい場合はイニシャル表示にするとよいでしょう。

会社がセキュリティ対策を講じていても、社員が個人としてSNSで情報発信をしているケースもあります。とくに若い人たちはSNSネイティブで、情報の公開にあまり抵抗がありません。「入社しました!」と投稿したり、名刺などの個人が特定できる情報が写った写真をあげたりする事例はよくあります。

これに対しては会社の教育が重要で、SNSに情報をあげるリスクを伝えていく必要があります。サイバー攻撃を抜きにしても、ストーカー被害などパーソナルリスクにもなり得ますから。

一方で、社員が自分の名前を明らかにして発信したいケースもあるでしょう。個人の情報発信を縛ることは難しいですが、会社としてリスクは認識しなければいけません。個人名でSNSやブログ、YouTubeなどをしたい場合は申告制にするとよいでしょう。

社内で自撮りをしたら、機密情報が写ってしまっていたという場合もあります。とある会社は、入社に浮かれてオフィス内で自撮りした新入社員を1日でクビにしたそうです。そのくらい厳しい体制を敷いている会社もあります。

BtoB企業が、「お客様の声」として顧客の会社名や担当者名とともにコメントを掲載するのも、セキュリティの観点で申し上げると、実は控えるべきなのです。

また、エンジニアや社内の情シス担当等の募集サイトで、使用しているセキュリティツール(ファイアウォール等の具体的な機種名や、Windowsサーバの使用バージョン)をそのまま掲載してしまうと、「この会社はこのサービスを使っているのか」と攻撃者に情報を与えることになります。

新入社員の電話応対を狙って情報を聞き出す事例も

――社員の個人情報以外に、掲載にリスクがある情報はありますか。

実は、会社の地方拠点や支店の電話番号などを会社のホームページや採用サイト等に掲載することにもリスクがあります。特に4月から6月、支店では新人教育を兼ねて新入社員が電話応対をすることが多く、攻撃者はそこを突いてくるのです。


那須氏の話を基に東洋経済作成

こんなふうに、慣れない新人から必要な情報を聞き出し、攻撃の準備をするのです。

また、自社の信用を高めるために、ホームページに取引先一覧を掲載している会社もありますが、これもセキュリティの観点からは危ない。

いわゆる「サプライチェーン攻撃」ですが、最終的に攻撃したい大企業の情報を持っていると推測され、サイバー攻撃を受けるリスクが高まります。一般に大企業よりも中小企業のほうがセキュリティは甘く、攻撃者はその弱点を狙ってくるのです。

セキュリティに関する情報を集約、ルール化して

――ホームページパンフレットでの情報発信から事故が発生するのを防ぐには、どのような対策が有効ですか。

情報セキュリティ委員会を立ち上げて、セキュリティに関する情報がそこに集約されるような仕組みが望ましいです。

前述の通り、攻撃者は社員の名前を入手するとメールや郵送などさまざまな手段で接触してきます。「個人情報やメールアドレスの掲載、拠点の電話番号など掲載する場合は必ずここに一報を入れる」とルール化するとよいでしょう。

日本企業は社員情報の公開にもっと慎重になるべきです。社員個人に対しても、会社に関する情報発信は極めて注意が必要であり、発信してよいのはあくまで汎用的な情報だけであることを、きちんと周知させることが大切です。

とくに4月から6月の異動が多い時期や、人事部など不特定多数から情報を受け取る部署は注意が必要です。

(宮内 健 : ライター)