私たちのほとんどは、人事部から届いたメールに疑いを持たず、本能的に信頼しがちです。この傾向は、KnowBe4のHRM+プラットフォームのデータにも表れています。2025年に最もクリックされたフィッシング訓練のテンプレートは、件名が”社内連絡”となっているものでした。
2025年5月1日〜6月30日にユーザーの反応が多かった上位10件のテンプレートのうち、98.4%の件名は社内トピックに関するもので、そのうち45.2%は人事に関連するものでした。データによれば、年末調整などの税に関すること、給与、服装規定の変更、休暇、人事評価に関わる件名に、特に反応しやすい傾向があります。
これらのテンプレート自体は、特段変わった内容ではありません。どれも人事部門から届いても不思議ではない、一般的な社内コミュニケーションです。そして、人々が自然と気にかけるテーマでもあります。残念ながら、「社内で当たり前の話題」であるがゆえに、人事部は攻撃者によるなりすましの的になりやすいのです。
なぜ人は人事なりすましのフィッシング攻撃に反応してしまうのか
人は人事部からのメールを受信すると、素早く判断するために、経験に基づく判断(ヒューリスティック)に頼ることがあります。
「権威バイアス」もその一つです。人は、権限を持つ人物や部署からの情報を過剰に信頼してしまう傾向があります。これは幼少期の保護者や教師といった権威との関わり方に由来する、根深い心理的傾向があることも少なくありません。また、権威バイアスは文化などのマクロ要因によって強弱が生じることもあります。
職場に入ると、CEOや取締役会を頂点とするヒエラルキーの中で働くことになり、人事は社内の公式のコミュニケーションや新方針を告知する役割を担います。私たちは人事部からの連絡に慣れ、それを信頼するようになり、結果として人事を装ったなりすまし攻撃への警戒が弱まりがちです。
もう1つのヒューリスティックが代表性(レプリゼンタティブネス)です。「それらしく見えるか」で正当性を早合点してしまう傾向を指します。通常の人事連絡と明らかに異なれば気づけますが、生成AIの普及でロゴや文面、差出人名まで「いつもの人事メールらしい」体裁が整った攻撃が増え、第一印象はおろか二度見しても見抜きにくいケースが増えています。
攻撃者は社会的証明(ソーシャルプルーフ)も利用します。曖昧な状況で「周りに合わせる」心理やFOMO(取り残される不安)を突き、「あなた以外はすでに対応済みです」と匂わせて、自分だけが遅れているかのように思わせます。
こうしたヒューリスティックに加え、攻撃者は多様なプレテキストを組み込みます。人事関連の話題は関心を引きやすく、なりすましの題材として格好の的です。
さらに一歩踏み込み、人事評価や給与改定、退職金・年金への不安に付け込んで、「福利厚生の申請期限に間に合わない」「新方針に従わないと不利益がある」といった緊急性を演出します。これにより人は即時対応を迫られ、本来なら慎重さを促す論理的な意思決定プロセスから逸れてしまいます
これらは単発の思いつきではありません。攻撃者は入念な事前調査に基づき、業界特化で標的を絞ります。たとえば製造業には偽の安全衛生メッセージ、医療分野にはHIPAA関連の偽連絡というような工夫を行っています。検出回避のため、侵害されたサイトやURL短縮を連鎖させる多段リダイレクト基盤を用い、最終的な資格情報窃取ページに至るまでの痕跡を巧妙に隠します。
HRなりすまし攻撃のリスクは上昇中
Threat Labチームは、2025年1月1日〜3月31日の間に、人事になりすましたフィッシング攻撃の件数が直前の3カ月と比べて120%増加したことを明らかにしました。その後も高止まりが続き、行政・財務カレンダー上のイベントに合わせてキャンペーンがピークを迎える傾向が見られます。同種の正規メールが増える時期に便乗し、受信者が「ちょうど来るはずのメールだ」と思って素早く行動してしまう心理を狙っています。
次回の投稿では、2025年に確認された人事になりすました攻撃の実例を4つ取り上げ、本記事で触れた理論がどのように実践され、人々の行動が操作されているのかを解説します。ぜひご覧ください。
リードリサーチャー:Jeewan Singh Jalal、Anand Bodke、Prabhakaran Ravichandhiran