公開日: 2026年6月9日
分類: フィッシング(確定)
なりすまし対象: 人事部・コンプライアンス室
SHA-256: 95cf4c26bc1b378a64b0bf8fa7624ec6edb8f9692511a7485602de68368819c7
概要
見出し
2026年6月8日、人事部・ハラスメント相談窓口を騙るフィッシングメールが確認されました。件名は「【重要・親展】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼」で、差出人は jinji-compliance[@]example[.]com を名乗っています。
本メールは、受信者に対して「あなたがパワーハラスメントの加害者として匿名で申し立てられた」と通告し、「翌日17:00まで」という極めて短い期限を設けて外部のフィッシングサイトへ誘導するものです。誘導先は Microsoft Azure のクラウドインフラ上に構築されており、正規の社内人事ポータルとは一切無関係です。
メール本文(全文引用)
社員の皆様へ (本メールは、人事部・コンプライアンス室より対象者に直接配信されています) お疲れ様です。人事部・ハラスメント相談窓口です。 当窓口において、社内コンプライアンス規程に基づき、従業員の皆様からの相談を随時受け付けておりますが、 この度、あなたによる「パワーハラスメント(言動、過度な叱責、または精神的圧迫)」に該当する行為があったとして、匿名の相談・申立が行われました。 会社としては、事実関係を正確に把握し、公平な対応を行う必要があります。 そのため、本格的な調査委員会を設置する前に、まずは対象期間におけるご自身の認識について確認をさせていただきたく存じます。 大変重い内容となりますが、以下の社内人事ポータル(保護された専用ページ)にアクセスし、申し立てられた「具体的な発言内容、 日時、および状況」をご確認の上、回答期限までに弁明または事実関係のご回答をお願いいたします。 🔒 ハラスメント申立内容の確認および回答ページ ※回答期限:明日 17:00まで ※本メールは自動配信であり、返信は受け付けておりません。必ず上記リンクよりご対応ください。 ※プライバシー保護のため、本件を他者に口外しないよう厳守をお願いいたします。
証跡スクリーンショット
メール本文プレビュー
※記事公開時に自動埋め込み。メーラー環境の完全再現ではなく参考表示です。
誘導先サイトスクリーンショット
※TDS(Traffic Distribution System)やアクセス制御により取得できない場合があります。
ソーシャルエンジニアリング手法の分析
このフィッシングメールは、企業内部の人事手続きを精巧に模倣し、複数の心理的圧迫技法を組み合わせた極めて巧妙なものです。
1. ハラスメント加害者としての指名 ― 動揺と焦燥の誘発
「あなたによるパワーハラスメントに該当する行為があったとして、匿名の相談・申立が行われました」という文面は、受信者に強い心理的衝撃を与えます。パワハラの「加害者」として名指しされることは、社会人にとって職業生命に関わる深刻な指摘であり、冷静な判断力を大幅に低下させます。
2. 翌日17:00という極端な回答期限 ― 検証する時間の剥奪
「※回答期限:明日 17:00まで」という極めて短い期限を設けることで、受信者がメールの真偽を確認する余裕を奪います。実際の企業における人事調査では、弁明期間をわずか1日に制限することは通常ありません。
3. 口外禁止の指示 ― 相談による検証の封じ込め
「プライバシー保護のため、本件を他者に口外しないよう厳守をお願いいたします」という文言は、受信者が同僚やIT部門、実際の人事部に相談することを心理的に抑制します。もし上司やIT部門に確認すれば、このメールがフィッシングであることは即座に判明するため、攻撃者にとってこの「口封じ」は極めて重要な要素です。
4. 匿名申立という設定 ― 事実確認を不可能にする構造
「匿名の相談・申立」としているため、受信者は「誰が申し立てたのか」を確認する手段がなく、メールの正当性を人間関係から検証することができません。
5. 「保護された専用ページ」という表現 ― 正規感の演出
「社内人事ポータル(保護された専用ページ)」という表現で、あたかもセキュアな社内システムであるかのように装っています。しかし、実際のリンク先はクラウド上に設置された外部サイトです。
HTMLメール構造の分析(観測事実)
本メールはHTML形式(4,383文字)とテキスト形式の両方を含むマルチパート構成です。HTML本文内には1件のリンクが埋め込まれていることが確認されました。
| 要素 | 内容 |
|---|---|
| リンク表示文言 | 「ハラスメント申立内容の確認および回答ページ」 |
| リンク先URL | hxxps://fimerovig[.]z33[.]web[.]core[.]windows[.]net/ |
| CTA候補 | はい(誘導ボタンとして機能) |
| 直前の文脈 | 「保護された専用ページにアクセスし…弁明または事実関係のご回答をお願いいたします」 |
観測事実: リンク先URLのドメインは fimerovig[.]z33[.]web[.]core[.]windows[.]net であり、送信元の正規ドメインとは完全に異なります。z33[.]web[.]core[.]windows[.]net は Microsoft Azure の静的Webサイトホスティング(Azure Blob Storage)で使用されるドメインパターンです。
送信元・認証情報の技術分析
送信元IPアドレス
| 項目 | 内容 |
|---|---|
| 送信元IP | 201[.]246[.]203[.]152 |
| 所属組織 | Technical Contact Telefonica Chile |
| CIDR | 201[.]246[.]192[.]0/18 |
| 国 | チリ |
観測事実: このメールはチリの通信事業者 Telefonica Chile のIPアドレス帯から送信されています。
示唆: 日本国内で事業を行う企業の人事部門から、南米チリのIPアドレスを経由してメールが送信されることは、一般的な企業メールインフラの運用とは大きく乖離しています。
メール認証結果
| 認証 | 結果 | 解説 |
|---|---|---|
| SPF | pass | 送信元IPがドメインのSPFレコードで許可されたアドレスとして登録されている状態 |
| DKIM | 不明 | DKIM検証結果が付与されていない状態。署名の有無や検証の成否は確認できません |
| DMARC | 不明 | DMARC検証結果が付与されていない状態。ポリシー適用の有無は確認できません |
観測事実: SPFは pass となっていますが、DKIM および DMARC の検証結果は付与されていません。
示唆: SPF が pass であること単独では、メールの正当性を保証するものではありません。SPF はあくまで「送信元IPがドメイン管理者のSPFレコードに含まれているか」を検証する仕組みであり、メール内容の改ざん検知(DKIM)やポリシー準拠の総合判定(DMARC)とは異なります。DKIM・DMARCの検証結果が付与されていないため、送信経路全体の信頼性を確認する手段が限定されています。
メールクライアント情報
| 項目 | 内容 |
|---|---|
| User-Agent | Mozilla/5.0 (Windows NT 5.1; WOW64; rv:16.0) Gecko/20121011 Thunderbird/16.0.1 |
| OS | Windows NT 5.1(Windows XP) ― 2014年4月にサポート終了 |
| メールクライアント | Thunderbird 16.0.1(2012年10月リリース) |
| 送信日時タイムゾーン | UTC-5(日本標準時 UTC+9 とは14時間の差異) |
観測事実: メールヘッダに記録されたUser-Agentは、2012年リリースのThunderbird 16.0.1をサポート終了済みのWindows XP上で動作させていることを示しています。送信日時のタイムゾーンはUTC-5であり、日本標準時(UTC+9)とは大きく異なります。
示唆: 企業の人事部門が14年以上前のメールクライアントとサポート終了済みOSを使用し、日本とは大幅に異なるタイムゾーンからメールを送信することは、正規の業務運用として極めて不自然です。User-Agentヘッダは送信者側で任意に設定可能な値ですが、不審な指標の一つとして記録します。
誘導先URLの分析
URL構造
| 項目 | 内容 |
|---|---|
| 誘導先URL | hxxps://fimerovig[.]z33[.]web[.]core[.]windows[.]net/ |
| ドメイン | fimerovig[.]z33[.]web[.]core[.]windows[.]net |
| ステータス | 稼働中(確認済み) |
| ページタイトル | 「レポート WARN-SQQ」 |
| サーバー | Windows-Azure-Web/1.0 Microsoft-HTTPAPI/2.0 |
| ソースサイズ | 26,118 bytes |
Azure クラウドインフラの悪用
観測事実: 誘導先URLのドメインパターン *.z33[.]web[.]core[.]windows[.]net は、Microsoft Azure Blob Storage の静的Webサイトホスティング機能で使用されるものです。fimerovig はAzure上に作成されたストレージアカウント名にあたります。
示唆: 攻撃者は Microsoft Azure の正規クラウドサービスを悪用してフィッシングページをホストしています。この手法には以下の利点があります。
- SSL証明書が自動付与される:
hxxps://で始まるURLとなり、ブラウザの鍵マークが表示されるため、一見すると安全なサイトに見える - ドメインの信頼性:
windows[.]netは Microsoft が所有する正規ドメインであるため、セキュリティフィルタやURLフィルタリングを通過しやすい - インフラの即時展開・破棄が容易: 無料または低コストのアカウントで即座にフィッシングページを設置でき、検出後は別のアカウントで再展開できる
ページタイトルの不審さ: 誘導先ページのタイトルは「レポート WARN-SQQ」であり、社内人事ポータルとして期待される名称(例:「○○社 人事管理システム」等)とは大きく異なります。これは攻撃者がテンプレートを流用している痕跡と考えられます。
総合判断
以下の複数の証拠を総合し、本メールはフィッシング(確定)と判断します。
- 誘導先URLがAzure Blob Storage上の外部サイトであること(観測事実:
fimerovig[.]z33[.]web[.]core[.]windows[.]netは正規の社内ポータルではない) - 送信元IPがチリの通信事業者(Telefonica Chile)であること(観測事実:
201[.]246[.]203[.]152、日本国内企業の人事部門としては地理的に不整合) - 14年以上前のメールクライアント・サポート終了済みOSの使用痕跡(観測事実: Thunderbird 16.0.1 / Windows XP)
- タイムゾーンの不整合(観測事実: UTC-5で送信、日本標準時UTC+9と14時間の差異)
- DKIM・DMARCの検証結果が付与されていない(送信経路全体の信頼性が限定的)
- ブランドのなりすまし(確認済み)
IOC(Indicator of Compromise)一覧
メール関連
| 種別 | 値 |
|---|---|
| 件名 | 【重要・親展】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼 |
| 差出人 | jinji-compliance[@]example[.]com |
| Return-Path | jinji-compliance[@]example[.]com |
| 送信元IP | 201[.]246[.]203[.]152 |
| IPネットワーク | 201[.]246[.]192[.]0/18(Telefonica Chile) |
| SHA-256 | 95cf4c26bc1b378a64b0bf8fa7624ec6edb8f9692511a7485602de68368819c7 |
URL・ドメイン関連
| 種別 | 値 | ステータス |
|---|---|---|
| 誘導先URL | hxxps://fimerovig[.]z33[.]web[.]core[.]windows[.]net/ |
稼働中 |
| ホスティング | Microsoft Azure Blob Storage(静的Webサイト) | ― |
PhishTank登録状況
hxxps://fimerovig[.]z33[.]web[.]core[.]windows[.]net/ は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処法
リンクをクリックしていない場合
- メールを開いただけでは被害は生じません。本メールを削除するか、社内のセキュリティ担当部門に報告用として転送してください。
- メール内のリンクは絶対にクリックしないでください。
- 実際にハラスメントに関する連絡があるか不安な場合は、メール内のリンクではなく、日頃使用している社内ポータルや社内電話帳から人事部門に直接確認してください。
リンクをクリックし、情報を入力してしまった場合
- 直ちにIT部門・セキュリティ担当に報告してください。入力した情報の種別(社内ID、パスワード、個人情報等)を伝えてください。
- 入力したパスワードを他のサービスでも使い回している場合は、全てのサービスで速やかにパスワードを変更してください。
- 社内アカウントのパスワードを入力した場合は、不正ログインの有無をIT部門に調査依頼してください。
この手口に特有の注意点
- 「口外しないでください」という指示に従わないでください。これは攻撃者が検証・相談を封じるための罠です。正規の人事手続きであっても、不審に感じた場合にIT部門やセキュリティ担当に確認することは常に正当です。
- 期限の緊迫感に惑わされないでください。正規の人事調査で「翌日まで」という極端な期限が設けられることは一般的ではありません。急かされるほど、立ち止まって真偽を確認すべきです。
- URLのドメインを確認してください。本物の社内ポータルであれば、自社ドメイン上にあるはずです。
windows[.]netのサブドメインに社内人事ポータルが存在することはありません。 - ブラウザの鍵マーク(HTTPS)は安全の証明ではありません。Azure等のクラウドサービスでは誰でもSSL証明書付きのサイトを構築できるため、鍵マークの表示だけでサイトの正当性を判断することはできません。
企業のセキュリティ担当者へ
- 本件のようなハラスメント通知を装うフィッシングは、受信者が強い心理的動揺のもとでリンクをクリックする確率が極めて高い手口です。従来の「請求書」や「アカウント確認」を装うフィッシングよりも、人事・コンプライアンス系のなりすましはクリック率が高い傾向にあります。
- 上記IOCをメールゲートウェイおよびWebプロキシのブロックリストに追加してください。
z33[.]web[.]core[.]windows[.]net配下のURLへのアクセスについて、業務上の必要性がなければ監視対象に追加することを検討してください。- 「人事部門からの緊急連絡」を装うフィッシングに対する社員教育を実施してください。特に、正規の人事連絡経路を明確に周知し、「メール内のリンクではなく、必ず社内ポータルからアクセスする」というルールを徹底することが有効です。
まとめ
本フィッシングメールは、「パワーハラスメントの加害者として申し立てられた」という深刻な内容で受信者を動揺させ、極端な期限と口外禁止で冷静な判断と外部相談を封じ、Azure上に構築されたフィッシングサイトへ誘導する巧妙な手口です。送信元IPがチリの通信事業者であること、14年前のメールクライアントの痕跡、日本標準時とかけ離れたタイムゾーン、正規ドメインとは異なる誘導先URLなど、複数の技術的証拠からフィッシングであることが確定しています。
このような件名のメールを受け取った場合は、リンクをクリックせず、メール内の指示に従わず、社内の正規ルートで人事部門に確認してください。