「内部告発者」を装う新手の詐欺、善意につけ込む巧妙なソーシャルエンジニアリング

背景

企業のコンプライアンス意識が高まる中、内部通報制度や公益通報者保護制度が整備され、従業員が不正を発見した際に安全に報告できる体制が構築されています。しかし、攻撃者はこの「善意のシステム」を逆手に取り、内部告発者や調査機関を装って企業の担当者に接触し、機密情報を聞き出したり、マルウェアを送り込んだりする新たなソーシャルエンジニアリング攻撃を展開しています。「重大な不正を発見した」「匿名で情報提供したい」「証拠資料を送付する」といった緊迫した状況を演出することで、受け手の警戒心を解き、通常では開かないはずの添付ファイルを開かせたり、通常では教えないはずの社内情報を提供させたりします。企業の倫理観や社会的責任感が、逆に攻撃の入口となる皮肉な事態が発生しています。

実態

この攻撃の典型的なシナリオは以下の通りです。まず、攻撃者はコンプライアンス部門、内部監査部門、人事部門、法務部門などの連絡先を企業ウェブサイトやLinkedInから収集します。次に、「社内で重大な不正行為を目撃した従業員」を装ったメールを送信します。内容は「経理部門での横領」「製品データの改ざん」「ハラスメントの隠蔽」など、企業が無視できない深刻な内容です。メールには「証拠の録音ファイル」「内部文書のスキャン」として添付ファイルが含まれており、これが実際にはマルウェアです。あるいは、「安全な通信のため」として外部のファイル共有サービスへのリンクが記載されており、アクセスすると認証情報を窃取するフィッシングサイトに誘導されます。受け手は「重大な不正を見逃してはならない」という責任感から、通常より慎重さを欠いた判断をしてしまいがちです。さらに高度なケースでは、電話でも接触し、「上司に知られると報復が怖い」「メディアに公表する前に会社に是正の機会を与えたい」といった心理的な圧力をかけ、即座の対応を求めます。

影響と対策

この攻撃により、マルウェア感染、認証情報の窃取、社内の機密情報（組織図、人事情報、財務データ）の漏えいが発生します。また、偽の内部告発への対応に時間とリソースを浪費し、本当の内部告発を見落とすリスクも生じます。対策としては、まず内部通報の受付プロセスを明確化し、「専用の窓口（ホットライン）以外からの通報は受け付けない」「添付ファイルは専用システム経由でのみ受領する」といったルールを策定します。FortiGateやCheck Pointのメールセキュリティ機能により、「内部告発」「不正」「証拠」といったキーワードを含むメールを自動的にサンドボックスで解析し、添付ファイルの安全性を検証することも有効です。また、内部通報を受ける担当者には、専門的なトレーニングを実施し、「緊急性を装う通報ほど慎重に対応する」「添付ファイルは必ずセキュリティチームに確認してから開く」「電話での通報者には折り返し連絡を基本とする」といった対応手順を徹底します。さらに、内部通報システムには、通報者の身元確認機能や、暗号化通信機能を実装することが推奨されます。

まとめ

企業の「善意」や「コンプライアンス意識」が攻撃の入口となる時代です。内部通報制度は重要ですが、その運用プロセスにもセキュリティ対策が必要です。「疑うことは失礼」ではなく、「検証することが責任」という文化の醸成が重要です。PSIでは、内部通報システムのセキュリティ強化支援と、コンプライアンス部門向けのセキュリティ教育プログラムを通じて、善意のシステムが悪用されないための対策をご提案いたします。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp