コロナ禍に従業員への「フィッシング詐欺テスト」で大炎上してしまった企業

　9月下旬、米国イリノイ州のとあるメディア企業が、従業員のセキュリティリテラシーを確認するために、フィッシング詐欺メールを送る「フィッシング詐欺テスト」を実施しました。もちろん、本物のフィッシング詐欺に引っ掛けるものではありません。

　米国ではよく行われているテストで、外部のセキュリティ企業に依頼することもありますし、自社のセキュリティ部門が実施することもあります。2019年にサイバーセキュリティコンサルタント企業のCoalfireが発表したレポートでは、71％の従業員は騙されてアクセス情報を渡してしまったそうです。

　だからといって、引っ掛かった従業員に懲罰的な措置を講じるのは意味がなく、セキュリティ情報サイトの「Krebs on Security」によると、従業員は反抗的・非協力的になってしまうと説明しています。

　中でも最悪なのが、従業員を引っ掛けることに注力しすぎたフィッシング詐欺テストを行うことだと言います。前出のメディア企業では、こうしたテストを実施したことで大炎上しました。

　従業員には「コスト削減の取り組みによって、5000～1万ドルのボーナスを支払うことができるようになった」という内容のメールを送信していました。

　「ボーナスは助かる！」とメールに記載されているURLをクリックすると、「Oops! You clicked on a simulated phising test!（おっと！ フィッシング詐欺のテストをクリックしましたね！）」と表示されました。当然のようにボーナスは支払われません。

　コロナ禍の影響で、給与の削減やニュースルームの閉鎖などでコスト削減を行ったこともあり、このテストは、実際に生活に支障が出ていた従業員の反感を買ってしまいました。

　従業員の中には「このテストに関わった人全てを解雇しろ！」とツイートしている人もいました。結果的にこの企業は謝罪することになりました。テストを行う側は、できるだけ多くの人が引っ掛かるように工夫しますが、今回の場合は最悪の結果を招いてしまいました。

　しかし、この手のフィッシング詐欺メールは実在します。よく使われる文面だからこそ、ボーナスを餌にしたのです。似た文面の本物のフィッシング詐欺メールが送られてきたときでも、きちんと対処できることが肝心です。就業時はもちろん、プライベートで自らの身を守ることにも繋がります。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。