人事になりすますフィッシングが急増中：実例で見る最新手口と対策

HRになりすましたフィッシング攻撃が増加しています。KnowBe4 Threat Labは、2025年1月1日から3月31日の間でPhishERで報告されたHR関連の攻撃が直前の3カ月と比べて120%増加したことを観測しました。ピークを迎えた2月以降も、高い水準が続いています。

2025年に観測したHRなりすまし攻撃には、主に次の4つの傾向が見られます。

• 季節性：決算期や人事・労務の繁忙期に合わせて戦略的に送られ、期限を強調して緊急性を演出し、受信者に行動を促します。
• 件数の急増と手口の高度化：HRテーマの攻撃は量と質がともに急速に上がっており、攻撃者は専門的なソーシャルエンジニアリングに投資していることがわかります。
• 業界特化型：製造、医療、金融など、業種にフィットする内容でメールが作り込まれていることが確認できます。

• SEG回避のための難読化：正規サービスのインフラを悪用するほか、ペイロードの偽装など複数の手口でメールセキュリティの検出をすり抜けます。

HRになりすますフィッシングの4つの実例

攻撃ベクトルと手法：Eメールフィッシング
主な手口：ソーシャルエンジニアリング、なりすまし、クイッシング（QRコード悪用）、ペイロードの難読化
対象：世界各国
プラットフォーム：Microsoft 365、Google Workspace
SEGなどの検出をバイパス：有り

1. 給与・福利厚生の変更
主な戦術：給与やその他金銭関連の話題で興味を惹き、QRコードを用いたマルチチャネル攻撃を組み合わせ、メールフィルターを回避して受信者を欺きます。

このキャンペーンは2025年5月に始まり、その後、世界各地の様々な業種を狙い、効果を最大にするために多くのバリエーションが用いられています。以下の例では、クイッシングのペイロードが添付ファイル内で難読化され、ネイティブセキュリティやSEGの検出を回避しています。メール本文は空欄ですが、受信者名や企業ロゴが差し込まれ、給与・報酬の話題でユーザーを誘導します。

また、QRコードをモバイル端末からの読み取りを促すことで、より堅牢な企業PCではなく、防御が弱い個人デバイスへ誘導して検出回避を狙うマルチチャネル型の攻撃です。

2. 人事ポリシー更新
主な戦術：正規で信頼されたサービス（Intuit QuickBooks）を悪用し、厳しい期限を設けることで、焦りから拙速な対応を引き出します。

2025年を通じて、攻撃者が正規サービスを利用してメールセキュリティを回避する事例が急増しています。3月には、Intuit QuickBooksのインフラを悪用する攻撃が36.5%増加したと報告しましたが、下記はそれが継続していることを示す一例です。

本件では、送信当日を期限に設定し、対応しない場合の不利益を示すことで緊急性を高め、安全確認よりも「急いで従う」行動を誘発します。

3. 401(k)の更新キャンペーン
主な戦術：従業員の退職金への不安につけ込み、公式風のテンプレートや偽の追跡番号で信憑性を高め、悪意のあるSVG添付で検出を回避します。

2025年6〜7月、中小企業を狙い、401(k)に関する文書提出を装うキャンペーンが確認されました。システム生成通知に見えるHTMLテンプレートを使い、受信者名や企業名でパーソナライズして正規な連絡を装います。

別の攻撃では、件名に偽の追跡番号を入れて信憑性を高めつつ、悪意のあるSVG添付の開封を促します。年初には、SEG回避のためにSVGファイルが245%増加したことも報告されています。

これらの例から、HRなりすましのフィッシングメールがいかに説得力を持つかが分かります。しかし肝心なのは届け方です。添付のQRコードはどう仕掛けて認証情報を奪うのか、SVGの中ではどんなコードが動いているのかなどが重要になります。

このシリーズの次回記事では、こうした高度な回避手法を技術的に詳しく解説します。

リードリサーチャー：Jeewan Singh Jalal、Anand Bodke、Prabhakaran Ravichandhiran