新入社員はサイバー攻撃者にとって格好の標的? ニセ社長やAI詐欺、巧妙化する手口への対策:「チェックシート」で対策
新年度を迎え、多くの企業で新入社員が現場に加わる4月。組織に新たな活力をもたらす一方で、サイバーセキュリティの観点では見過ごせないリスクも生じている。企業はどのように備えるべきなのか。
新入社員が職場に加わる4月は、組織の活性化に期待が集まる。その一方で、サイバーセキュリティの観点ではリスクが高まる時期でもある。
サイバーセキュリティや情報理論の専門家である神戸大学名誉教授の森井昌克氏は「企業にとって、新入社員がセキュリティホール(セキュリティ上の弱点)となる可能性がある」と指摘する。
最近では、経営者のふりをして従業員にメールを送り、現金をだまし取る「ニセ社長詐欺」が横行している。警視庁のまとめでは2026年1〜2月末までの2カ月間で、国内で約20億円の被害が出ている。また、ランサムウェアによる被害も注目されており、企業を対象にした巧妙なサイバー攻撃は高度化している。
こうしたリスクの高まりを受け、企業にはどのような対応が求められているのか。
キヤノングループのITソリューション事業を担うキヤノンITソリューションズ(東京都港区)が4月15日に開催したラウンドテーブルの内容から、現在のリスク構造と、企業が取るべき対策を整理する。
巧妙化する詐欺とサイバー攻撃 近年の傾向は?
森井教授が強調したのは、サイバー攻撃が「人間の心理」を突く形へと進化している点だ。代表例がビジネスメール詐欺やフィッシング詐欺だ。これらは巧妙に設計されたストーリーによって従業員をだまし、不正な操作をさせる点に特徴がある。
AI技術を使って社長の音声などを合成し、電話で送金を指示するディープフェイクを用いたフィッシング詐欺の事例も見られている。
2025年には、山形県内で鉄道を運行する山形鉄道(山形県長井市)がフィッシング詐欺で約1億円の被害を受けた。銀行の法人インターネットバンキングを悪用した手口で、銀行の自動音声を装って「ログインIDの更新が必要」と電話で流し、情報を取得していた。
キヤノンマーケティングジャパングループが4月7日に公開した「2025年サイバーセキュリティレポート」でも、偽のログイン画面やメールの添付ファイルを使って、IDやパスワード、クレジットカード情報などをだまし取る手法が増加していることが明らかになった。
また、同レポートによると、Web上に偽の画面を表示し、ユーザーをだまして悪意あるコマンドを実行させる「ClickFix」の被害も増加傾向にあり、警戒が求められている。
2025年はアサヒグループホールディングスやアスクルなど、企業のランサムウェア被害も大きな話題となった。
森井教授は「詐欺とサイバー攻撃が連動することで、手法の高度化が進んでいます。このような高度化した手法はこの先も増えていくと考えられます」と話す。
なぜ新入社員が“弱点”になるのか チェックシートで対策
こうした脅威の変化を踏まえて、なぜ新入社員が“弱点”となるのか。理由は大きく3つある。
まず、現場対応力の不足だ。新入社員研修で基本的な知識を学んでも、実際の業務の中で異常事態に直面した際、適切に判断し、対応することは難しい。
次に、社内ルールや業務プロセスへの理解不足がある。どの範囲まで自分の判断で進めてよいのか、誰に相談・確認すべきかといった認識が曖昧(あいまい)なまま業務を進めてしまうケースもあるだろう。
そして最後の理由が心理的要因だ。新入社員は入社直後ということもあり、ミスを避けたい、早く成果を出したいという意識が強い。問題を一人で抱え込みやすくなり、結果として、不審な状況に直面しても相談せず、自力で解決しようとする傾向がある。また、生成AIや検索サービスを十分な確認なく利用し、業務情報を外部に入力してしまうリスクもある。
では、企業はどのように対策すべきか。
キヤノンITソリューションズの池上雅人氏は「人とシステムの両面からの対策が必要です」と話す。
“人”の面からの対策として、同社は「新社会人向けチェックシート」を作成。シートは「インターネット・ソフトウェアの利用」「メール・チャットツールの利用」「データ・端末の取り扱い」「生成AIツールの利用」の4カテゴリで構成されている。
新入社員をはじめとする全社員に対して、このチェックシートなどを活用して基本動作を徹底させることは有効だという。
また、システム面については、外部のセキュリティサービスや対策診断サービスを活用することは有効な選択肢だが、適切なパートナーを選定するためにも社内での情報収集が不可欠だ。
「外部に任せきりにするのではなく、自社の状況に応じて何が必要かを見極め、社内で情報を集めて判断することが重要です。ベンダーによって得意分野や対応力も異なるため、企業側が主体的に選定しなければ思わぬセキュリティホールが生じかねません」(森井教授)
間もなくやってくるゴールデンウィークは、システム管理者が不在になりやすく、攻撃者にとっては狙い目にもなる。企業には警戒と事前対策が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
アサヒ・アスクルを襲った「PC1台の死角」 日本HPが説くセキュリティ投資の真意
2025年後半、ランサムウエアによるサイバー攻撃が、アサヒグループホールディングスやアスクルを襲った。システム障害と業務停止は、PC1台のハッキングが企業の命運を揺るがす事実を、日本中に突きつけた。「エンドポイント」を、いかに死守すべきか。日本HPの岡戸伸樹社長は「セキュリティは経費ではなく投資だ」と断言する。
「潜伏型サイバー攻撃」すでに侵入されているかも 企業はどう対策すべきか
日本企業がサイバー攻撃の被害を受けるケースが後を絶たない。サイバーセキュリティ企業のCEOによると、最近は「ステルス型」攻撃が増加し、長期的にネットワークに侵入される。被害に遭わないために、企業はどのような対策を実施すべきだろうか。
Googleも「声」にだまされた 25億人分が流出、“電話詐欺型”サイバー攻撃の実態
米Googleがサイバー攻撃で大量のユーザーデータを盗まれた。サイバー犯罪集団が「声」を使った手口で相手をだまし、データベースに不正アクセスした。電話やメールを使った手口は多い。攻撃とその対策について、どの企業も真剣に向き合うことが必要だ。