履歴書を装ったマルウェアがHR部門を直撃
採用活動で届く履歴書ファイルが、実は仮想通貨マイナーと情報窃取マルウェアの入口だった──。セキュリティ企業Securonixが2026年3月24日、フランス語圏の企業を標的にした新たなフィッシングキャンペーン「FAUX#ELEVATE」を報告しました。人事担当者が業務上開封せざるを得ない履歴書ファイルを悪用し、わずか25秒で認証情報の窃取から仮想通貨マイニングまで完了するという、極めて巧妙な攻撃手法です。
攻撃の全貌:22万行のコードに隠された266行の悪意
今回の攻撃では、履歴書に偽装したVBScript(Visual Basic Script)ファイルがフィッシングメールで配布されています。このファイルを開くと、フランス語でファイル破損を示す偽のエラーメッセージが表示されます。受信者は「ファイルが壊れている」と思い込みますが、その裏では悪意あるスクリプトが動作を開始しています。
注目すべきは、このスクリプトの巧妙な難読化です。ファイルは22万4,471行、約9.7MBという膨大なサイズですが、実際に実行されるコードはわずか266行。残りはランダムな英文のコメントで埋め尽くされており、セキュリティソフトによる検知を回避する仕組みになっています。
さらに、このマルウェアはWMI(Windows Management Instrumentation)を使用して、感染先が企業のドメインに参加しているかを確認します。個人の家庭用PCは除外し、企業環境のみを標的にすることで、認証情報窃取の価値を最大化しているのです。
25秒で完結する感染チェーン
攻撃の実行速度も特筆すべき点です。Securonixの報告によれば、VBScriptの実行から認証情報の外部送信まで、全工程がわずか約25秒で完了します。管理者権限を取得した後、Microsoft Defenderの除外パス設定やUAC(ユーザーアカウント制御)の無効化など、セキュリティ機能を次々と無効化。その後、Dropboxから悪意あるツールキットをダウンロードし、ブラウザの認証情報窃取、デスクトップファイルの外部送信、そしてMonero(仮想通貨)のマイニングを同時に実行します。
窃取された認証情報は、mail.ruのSMTPインフラを経由して攻撃者のメールアドレスに送信されます。正規のサービスやインフラを悪用する「Living off the Land」型の攻撃手法により、従来の防御機構をすり抜けることが可能になっています。
採用プロセスが攻撃ベクターに
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
今回の攻撃が示す重要な教訓は、採用・人事プロセスが攻撃の侵入口として常態化しているという事実です。2026年2月には、偽のNext.jsコーディングテストを使った攻撃や、HR部門を狙ったヴィッシング(音声フィッシング)攻撃も報告されています。履歴書は業務上開封が避けられないため、HR部門を狙うフィッシングは高い成功率を記録しています。
また、VBScriptを攻撃に使用している点も見逃せません。多くの企業でレガシーシステムや古いスクリプト実行環境が残っており、これが攻撃の足がかりになっています。
企業が今すぐ取るべき対策
この脅威から自社を守るために、以下の対策を検討してください。
HR部門への標的型フィッシング教育の強化と、不審な添付ファイルの報告フローの整備
履歴書などの添付ファイルをサンドボックス環境で検査する仕組みの導入
VBScriptやマクロの実行をグループポリシーで制限し、必要な場合のみ例外許可を設定
Microsoft Defenderの除外設定やUAC設定の変更を監視するEDR(エンドポイント検知・対応)の導入
外部へのSMTP通信の監視と、不審な宛先への送信をブロックするルールの設定
まとめ
偽履歴書を使った今回の攻撃は、人事業務の特性を巧みに悪用し、正規サービスを隠れ蓑にした高度なものです。25秒という短時間で感染が完了するため、事後対応では手遅れになりかねません。採用プロセスのセキュリティ強化は、もはや後回しにできない経営課題といえるでしょう。
自社のセキュリティ体制に不安がある場合は、GXOにご相談ください。180社以上の支援実績を持つ専門チームが、フィッシング対策からEDR導入、セキュリティ運用体制の構築まで、包括的にサポートいたします。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
