攻撃者はあなたを狙っている ― 新入社員が狙われる理由
サイバーレジリエンスサイバーレジリエンス株式会社
※本号はAIで執筆した文章を筆者が監修しています。
- 第1回 攻撃者はあなたを狙っている ― 新入社員が狙われる理由 ← 今回
- 第2回 そのメール、本物ですか? ― フィッシング・生成AI詐欺の見分け方
- 第3回 パスワード・MFA・SNS ― 社会人のデジタル習慣
- 第4回 もしもインシデントが起きたら ― 社員としての正しい初動
攻撃者はあなたを狙っている
― 新入社員が狙われる理由
はじめまして。サイバーレジリエンス株式会社のニュースレターへようこそ。
4月号では全4回にわたり、社会人として知っておくべきサイバーセキュリティの基本をお届けします。
「セキュリティって、IT担当者の話でしょ?」
そう思っているあなたこそ、今日この記事を読んでください。
攻撃者が最初に狙うのは、セキュリティに慣れていない新入社員です。
■ なぜ新入社員が狙われるのか
サイバー攻撃と聞くと、映画のような高度なハッキングをイメージするかもしれません。
しかし現実は違います。
攻撃者は「人間の隙」を狙います。
そして、最も隙が生まれやすいのが入社直後の新入社員です。
⚠️ 新入社員が狙われる3つの理由
- ① 社内ルールをまだ知らない:「上司からのメール」「IT部門からの連絡」を疑わずに信じてしまいやすい
- ② 「わからない」と言い出せない:不審に思っても「自分の知識不足かも」と判断を躊躇してしまう
- ③ 新しいアカウントを大量に発行される:入社直後は社内システム・クラウドサービスへのアクセス権が一気に付与される
攻撃者はこの「入社直後の混乱」を熟知しています。
「IT部門です。アカウント設定のご確認をお願いします」
「人事部です。書類の提出をお願いします」
こういったメールが、実は攻撃者からのなりすましメールだったというケースが後を絶ちません。
前後
侵害の大半を占める
Verizon DBIR 2025
最初は1通のフィッシングメール
各種事例より
IDとパスワードは攻撃者の手へ
各種事例より
はもう通用しない
Microsoft MDDR 2025
■ 「自分には関係ない」が一番危ない
「自分は普通の社員だから、攻撃者に狙われるはずがない」
そう思っていませんか?
実は、攻撃者にとってあなたのアカウントは「会社への入口」です。
あなた個人の情報を盗みたいわけではありません。
あなたのIDとパスワードを使って社内システムに侵入し、そこから重要な情報や取引先データを盗むのが目的です。
⚠️ 実際に起きた事件:アスクル(2025年)
2025年、大手企業アスクルでランサムウェア攻撃が発生し、約74万件の個人情報が流出しました。
侵入の起点は業務委託先の1アカウントでした。
そのアカウント1つから社内に侵入した攻撃者は、約4か月間誰にも気づかれず社内を探索し続けました。
あなたのアカウント1つが、会社全体の被害につながる可能性があります。
■ 攻撃者はどうやって近づいてくるのか
新入社員を狙う攻撃には、いくつかの典型的なパターンがあります。
「こんな手口があるんだ」と知っておくだけで、格段に防ぎやすくなります。
偽のリンクをクリックさせてIDとパスワードを盗む手口です。
→ リンク先は本物そっくりの偽サイト。入力した情報が即座に盗まれる。
ポイント:AIを使えば完璧な日本語・本物そっくりのデザインで作れる。見た目では判断できない時代。
信頼関係を築いてからマルウェアを送りつけたり、情報を聞き出す手口です。
→ 添付ファイルを開いた瞬間にマルウェアが実行される。
ポイント:入社したばかりで会社名・部署をSNSに公開している新入社員は特に狙われやすい。
口頭でパスワードやワンタイムコードを聞き出す手口です。
→ そのコードはMFA(多要素認証)の認証コード。教えた瞬間にアカウントを乗っ取られる。
ポイント:正規の組織はパスワードやコードを電話で聞くことは絶対にない。
■ 今すぐできる3つの習慣
難しいことは何もありません。
この3つを習慣にするだけで、リスクを大幅に下げられます。
✅ 新入社員が今日から実践すべき3つの習慣
-
① リンクをクリックする前に「送信者」を確認する
メールの表示名ではなく、実際のメールアドレスを確認。
少しでも不審なら、リンクをクリックせず上司や先輩に確認する。
「確認して損はない」という姿勢が大切。 -
② パスワードを使い回さない・MFAを必ず設定する
会社のアカウントに個人で使っているパスワードを流用しない。
MFA(多要素認証)の設定を促されたら、面倒がらず必ず設定する。
これだけで不正ログインのリスクが大幅に下がる。 -
③ 「やってしまったかも」と思ったら、すぐ報告する
怪しいリンクをクリックした、不審なファイルを開いてしまった。
そのときに「バレたら怒られる」と隠すことが最大の被害拡大要因です。
早ければ早いほど被害を最小化できる。迷わず上司・IT部門に報告する。
■ 入社1週間以内に確認すべきチェックリスト
【アカウント・認証】
- □ 会社から付与されたすべてのアカウントにMFAを設定した
- □ 会社のパスワードに個人で使っているものと同じものを使っていない
- □ パスワードをメモ帳・付箋・スマホのメモアプリに保存していない
- □ 会社のIDとパスワードを家族・友人に話していない
【メール・ファイル】
- □ 知らない送信者からのメールのリンクを確認なしにクリックしない習慣がある
- □ 添付ファイルを開く前に送信者・文面の不自然さを確認している
- □ 業務ファイルを個人のクラウドストレージ(Googleドライブなど)に保存していない
【SNS・プライバシー】
- □ SNSに会社名・部署名・業務内容を詳しく投稿していない
- □ 社内の会議・資料・社員証などの写真をSNSに投稿していない
- □ LinkedInなどで見知らぬ人からの接触に不用意に応じていない
【いざというとき】
- □ 不審なことがあったときに誰に相談すればいいか知っている(上司 or IT部門)
- □ 「やってしまったかも」と思ったときはすぐ報告することが被害最小化になると理解している
■ まとめ:知っているだけで、会社を守れる
📚 今回のポイント
- ✔ 攻撃者は新入社員の「慣れていない隙」を意図的に狙っている
→ 入社直後の混乱期こそ、最もリスクが高い - ✔ あなたのアカウント1つが、会社全体への侵入口になる
→ 「自分には関係ない」は最も危険な思い込み - ✔ 主な手口は「なりすましメール」「SNS接触」「電話・SMS詐欺」の3つ
→ パターンを知っているだけで格段に気づきやすくなる - ✔ 今日からできる対策は「確認・MFA・すぐ報告」の3つだけ
→ 難しい知識は不要。習慣にするだけでいい - ✔ 「やってしまった」を隠すことが最大の被害拡大要因
→ 気づいたらすぐ報告。早いほど被害を最小化できる
💡 次回予告(4月9日(水)配信)
第2回は「そのメール、本物ですか?」
AIが生成した完璧な日本語フィッシングメールの見分け方、
上司になりすます「ビジネスメール詐欺(BEC)」の手口と対処法をお届けします。
■ 参考情報
- IPA「情報セキュリティ10大脅威 2026」
- 警察庁「MirrorFaceによるサイバー攻撃について(注意喚起)」2025年1月
- Verizon「Data Breach Investigations Report 2025」
- Microsoft「Digital Defense Report 2025」
- トレンドマイクロ「アスクル株式会社のランサムウェア攻撃被害報告書を読み解く」2025年12月
※2026年4月時点の情報です。
最新情報は各公式サイトで確認してください。
最後までお読みいただき、ありがとうございました。
弊社の社名となっている「レジリエンス」は、
「回復力」や「弾性」を意味する英単語です。
つまり、環境の変化や突発的な事象に対して
しなやかに粘り強く対応していく
立ち位置を意味しています。
目まぐるしく変化する時流の中で、
それを見極めつつ流されない解決策を提案致します。
****************************
サイバーレジリエンス株式会社
日本レジリエンス株式会社
〒103-0026
東京都中央区日本橋兜町17番1号
日本橋ロイヤルプラザ706
Tel 03-6823-8902
E-mail: info@japan-resilience.co.jp
https://japan-resilience.co.jp/cyber
****************************
投稿者プロフィール
最新の投稿
情報2026年4月1日攻撃者はあなたを狙っている ― 新入社員が狙われる理由- 情報2026年3月25日サイバー戦争時代に企業が取るべきセキュリティ対策
- 情報2026年3月18日国家レベルのサイバー攻撃 ― APT攻撃という見えない脅威
- 情報2026年3月13日なぜ日本企業も無関係ではないのか ― サプライチェーン攻撃の現実
