「2026年度下半期の人事評価と昇進者リストを先行公開します」──こうした件名や文面は、多くの組織で働く人にとって強い関心事です。近年のフィッシングは、銀行やECサイトの不正利用通知だけでなく、社内の人事・評価・異動といった“組織内の感情”に刺さるテーマを用いて、クリックや認証情報の入力を誘導する方向へ進化しています。本稿では、人事情報を装うフィッシングの狙い、典型的な構造、被害の広がり方、そして組織と個人が取るべき現実的な対策を整理します。
人事ネタがフィッシングに使われる理由
人事評価や昇進は、個人のキャリアや待遇に直結します。攻撃者はこの心理を利用し、次のような反応を引き出します。
- 緊急性:「先行公開」「本日中」「限定閲覧」などで判断時間を奪う
- 秘匿性:「機密扱い」「閲覧権限」などで周囲に相談しにくくする
- 好奇心:自分の評価だけでなく他者の昇進や評価も気になり、クリック率が上がる
さらに、こうしたテーマは企業の文化・制度に依存せず成立しやすく、業種を問わず通用します。攻撃者にとって“外れにくい餌”になっている点が重要です。
典型的な「昇進者リスト」フィッシングの流れ
人事情報を装うフィッシングは、表面的には社内向け通知の体裁を取りながら、最終的に認証情報の窃取やマルウェア感染に誘導します。よくある流れは次の通りです。
メールで閲覧を促し、リンクへ誘導
文面は丁寧で、組織名や部署名、社内で使われそうな言い回しを織り交ぜます。「閲覧はこちら」「一覧を確認」「添付を開く」といった自然な行動を促す一方、リンク先は社外ドメインであったり、短縮URLやリダイレクトを挟んでいたりします。
偽の認証画面でID・パスワードを回収
リンク先には、Microsoft 365やGoogle Workspace、社内SSO風のログイン画面が表示されます。見た目が本物に近く、スマートフォンではURL全体が見えにくいため、違和感に気づけないケースが増えています。ここで入力されたID・パスワードが攻撃者に送信され、メールボックスやクラウドストレージへの侵入に直結します。
二次被害として「社内なりすまし」「取引先被害」に波及
アカウントを奪われると、攻撃者は以下を狙います。
- メール転送ルールの設定:以後のやり取りを監視し、請求書詐欺(BEC)へ展開
- 社内での再拡散:同僚へ同じフィッシングを送って感染・窃取を拡大
- クラウド内データの探索:人事情報、顧客情報、契約書などの持ち出し
「人事リストを見たい」という入口は軽く見えますが、奪われるのは“社内の信頼”そのものです。
見抜くポイント:文面ではなく“技術的手掛かり”を見る
攻撃メールは日本語が自然になり、社内文書らしい体裁も整っています。したがって、精神論ではなく、確認手順を習慣化することが重要です。
URLとドメインの確認
最優先はリンク先のドメインです。社内ポータルや人事システムが通常使うドメインと一致するか、サブドメインや文字の紛らわしさ(似た綴り)に注意します。可能なら、メール内リンクは踏まず、ブックマークや社内ポータルから正規手順でアクセスします。
ログイン要求の妥当性
「昇進者リストの閲覧に再ログインが必要」など、手続きとして不自然な点がないか確認します。社内制度上、そもそも個別の昇進者一覧を全社員が見られるのか、公開範囲の前提と矛盾していないかもチェックポイントです。
添付ファイルの拡張子と実行形式
「一覧.xlsx」などを装いながら、実際はショートカット(.lnk)やHTMLファイル(.html)、パスワード付き圧縮ファイルなどで誘導する手口があります。添付を開く運用がある組織ほど、ファイル種別の制限とサンドボックス検査が重要になります。
組織として効く対策:技術と運用のセット
フィッシングはゼロにはできません。重要なのは、踏ませない工夫と、踏まれても破綻しない設計です。
多要素認証の徹底と“回避策”への備え
多要素認証(MFA)は必須です。ただし近年は、偽サイトがリアルタイムで認証を中継し、ワンタイムコードまで奪う手口もあります。可能であれば、フィッシング耐性の高い認証(セキュリティキー等)や、条件付きアクセス(国・端末・リスクベース)を組み合わせ、認証情報が漏れても侵入できない確率を上げます。
メール防御:DMARC等の送信ドメイン認証と隔離運用
なりすまし対策として、送信ドメイン認証(SPF/DKIM/DMARC)の整備が効きます。加えて、疑わしいメールを自動的に隔離し、ユーザーが“受信トレイで判断しない”状態を作ることが重要です。社外から「人事」「評価」「昇進」などのキーワードを含むメールが届くこと自体が稀なら、ルールで強めに扱う選択肢もあります。
侵害を前提にした監視:転送ルールと不審ログイン
アカウント侵害後に高頻度で行われるのが、メール転送ルールの追加です。ここを検知して止血できれば、取引先への詐欺や情報流出を大きく抑えられます。新規の転送設定、海外IPからのログイン、異常なトークン発行、短時間での大量検索・ダウンロードなどを監視対象にします。
社内広報の整備:本物の周知方法を固定する
「人事関連の通知はメールではリンクを送らない」「社内ポータルの掲示のみ」「Teamsの特定チャネルのみ」など、公式の周知経路を固定し、例外を作らない運用が効果的です。利用者が“いつもと違う”を判断しやすくなります。
個人が今日からできる実践策
- リンクは踏まずに正規導線で確認:社内ポータルやブックマークからアクセスする
- 認証画面ではURLを必ず見る:スマホでもドメインを表示して確認する
- 相談のハードルを下げる:「機密」ほど上司や情シスへ確認する文化を持つ
- 少しでも入力したら即時対応:パスワード変更、セッション破棄、情シス連絡を最優先にする
まとめ:狙われるのは情報ではなく“判断の隙”
「人事評価と昇進者リスト」という題材は、個人の関心と組織の秘匿性を同時に刺激し、クリックさせやすい巧妙な入口です。攻撃者の本命は、人事情報そのものではなく、認証情報や社内アクセス権限、そして社内外の信頼関係です。組織はMFAや送信ドメイン認証、監視・隔離といった技術的対策に加え、公式な周知経路の固定や相談しやすい運用設計を進める必要があります。個人は「リンクを踏まない」「URLを見る」「迷ったら相談する」を徹底し、判断の隙を最小化することが最短の防御になります。