【Gmail】人事評価を装う社内風メールを受け取った時の確認手順

人事評価の時期になると、社内から人事評価に関するメールが届くことは珍しくありません。しかし、最近ではそのようなメールを装ったフィッシング詐欺が増加しています。この記事では、人事評価を装う不審なメールを受け取った際に、被害を防ぐための具体的な確認手順を解説します。Gmailを利用している方向けに、安全な確認方法と対処法をまとめました。

なぜ人事評価を装うメールが危険なのか

人事評価を装うフィッシングメールは、受け取った側が「評価に関係する大切なメール」と認識しやすく、開封率やクリック率が高いため攻撃者に好まれます。実際、業務用メールを使った標的型攻撃の多くは、上司や人事部を装ったメールから始まります。Gmailのフィルタリング機能では検知されずに受信トレイに届くこともあり、注意が必要です。

攻撃者は、以下のような目的で人事評価メールを偽装します。

• 偽のログインページに誘導してアカウント情報を盗む
• マクロ付きの添付ファイルを開かせてマルウェアに感染させる
• 評価シートと称する偽のフォームに入力させ個人情報を取得する

これらの被害を防ぐためには、受け取ったメールが本物かどうかを落ち着いて確認する習慣が重要です。

不審なメールを受け取った時の基本対応

まず、人事評価を装うメールが届いたら、焦らずに以下の3つの原則を守ってください。

1. リンクをクリックしない: メール内のURLはクリックせず、ブラウザのアドレスバーに直接URLを入力するか、ブックマークからアクセスしてください。
2. 添付ファイルを開かない: 特にExcelやWordファイル、PDFなどはマクロやスクリプトが仕込まれている可能性があります。
3. 個人情報を入力しない: メールに返信してパスワードや社員番号を教えないでください。

これらの基本を守った上で、次の手順でメールの真偽を確認します。

Gmailで送信元を確認する手順

Gmailでは、メールの送信元アドレスを簡単に確認できます。以下の手順で確認してください。

1. メールを開き、送信者名の横にある「▼」または「詳細」をクリックします。
2. 表示されたポップアップで、実際の送信元メールアドレスを確認します。社内ドメイン(例:@company.co.jp)と完全に一致するかをチェックします。
3. ドメインが微妙に異なる場合(例:@company.com や @company.net など)、偽装の可能性が高いです。
4. 送信者名が「人事部」や「上司の名前」でも、アドレスが異なる場合は疑ってください。
5. もし以前の正規メールと比較できる場合は、送信元アドレスを並べて確認すると確実です。

この手順で明らかに異なるドメインであれば、その時点でフィッシングと判断して構いません。

メールヘッダーを確認して真正性を判断する方法

より詳しく確認するには、メールのヘッダー情報を表示します。Gmailでのヘッダー表示手順は次の通りです。

1. メールを開き、右上の三点メニュー(その他)をクリックします。
2. 「オリジナルを表示」を選択します。
3. 表示されたヘッダー内で「Received-SPF」「DKIM-Signature」「Authentication-Results」の項目を探します。
4. それぞれが「pass」または「OK」と表示されているかを確認します。failやneutralの場合は不審です。
5. また、「Return-Path」が送信元ドメインと一致しているかも確認します。

これらの認証結果が全てpassしている場合でも、絶対に安全とは言えません。ただし、failが多い場合はフィッシングの可能性が非常に高いです。

リンク先URLの確認と安全な確認方法

メール内のリンクは、クリックする前にURLを確認します。Gmailではリンクの上にマウスを置く(スマートフォンでは長押し)ことで、実際のリンク先が表示されます。表示されたURLが正しい社内システムのドメインと一致するかを確認してください。

例えば、評価システムのURLが「https://hr.company.co.jp/evaluation」だった場合、フィッシングメールでは「https://hr.company.co.jp.evilsite.com/evaluation」のように似せてきます。よく見るとドメインが異なります。

安全に確認するには、以下の方法を推奨します。

• ブラウザのブックマークや社内ポータルから直接アクセスする
• IT部門にメールを転送して確認を依頼する
• 同僚や上司に口頭で確認する(メールで返信しない)

通常の人事評価メールと偽装メールの比較表

項目	正規メール	偽装メール
送信元アドレス	@company.co.jp など社内ドメイン	@company.com など類似ドメイン、または個人アドレス
タイトル	「【人事評価】2025年度評価シートのご提出について」など具体的	「緊急:人事評価の確認」、「評価結果に重要事項あり」などあいまいで緊急性を強調
本文の文体	会社の正式な書式、丁寧な日本語、上司や人事担当者の署名あり	不自然な敬語、誤字脱字、署名がない、または架空の人物名
リンク先	社内システムの正規URL(httpsで始まる)	見覚えのないドメイン、IPアドレス、短縮URL
添付ファイル	必要な場合のみ、拡張子が.docや.pdfでも安全なことが多い	.exe、.zip、.docmなどマクロ付きファイル、または不自然なファイル名

誤って操作してしまった場合の対処

万が一、リンクをクリックしてしまった、添付ファイルを開いてしまった、または個人情報を入力してしまった場合、迅速に対応してください。

リンクをクリックした場合

そのページにパスワードなどを入力していなければ、即座にブラウザを閉じてください。入力してしまった場合は、直ちにパスワードを変更し、IT部門に報告します。Gmailのアカウント設定で「セキュリティチェック」を実行し、身に覚えのないログインがないかを確認します。

添付ファイルを開いてしまった場合

マルウェア感染の可能性があるため、そのPCをネットワークから切断し、社内ルールに従ってIT部門に連絡してください。自分でウイルススキャンを試みず、専門家の指示を待ちます。

個人情報を入力してしまった場合

入力した情報の種類(パスワード、社員番号、銀行口座など)を特定し、関連するアカウントのパスワードをすべて変更します。人事部や総務部にも連絡し、二次被害を防ぎます。

社内への報告と再発防止策

不審なメールを受け取ったら、必ず社内のセキュリティ担当者またはIT部門に報告してください。報告の際に必要な情報は以下の通りです。

• メールのスクリーンショット(送信元アドレスやヘッダー情報が写っているもの)
• メールの件名、受信日時
• 自分がどのような操作を行ったか(クリックした、添付を開いたなど)

また、再発防止のために、以下の取り組みを推奨します。

• 社内でフィッシング訓練を定期的に実施する
• Gmailの「不審なメールを報告」機能を活用して、Googleにフィードバックする
• 人事評価に関する連絡は、常に社内ポータルやチャットツールから行うルールを徹底する

よくある質問

Q1. 送信元アドレスが社内ドメインでも安心ですか?

いいえ、送信元アドレスは簡単に偽装できます。SPFやDKIMの認証結果も合わせて確認してください。

Q2. マウスオーバーでURLを確認しましたが、正規のURLに見えます。

それでも安全とは限りません。画面に表示されるURLと実際のリンク先が異なる場合があります。安全を期すなら、直接ブラウザでアクセスしてください。

Q3. スマートフォンのGmailアプリでも確認できますか?

はい、スマートフォンでも送信者名をタップするとアドレスが表示されます。リンクは長押しでURLが確認できます。

まとめ

人事評価を装う社内風メールは、特に注意が必要なフィッシングの手口です。受け取った際は、送信元アドレス、メールヘッダー、リンク先URLを慎重に確認し、怪しい場合は決して操作をせずに報告してください。Gmailにはフィッシング対策機能が備わっていますが、それを過信せず、自分自身で確認する習慣が重要です。社内全体でセキュリティ意識を高めることが、被害の防止につながります。

✉️

Gmail・Googleアカウントトラブル完全解決データベース 送受信エラー/迷惑メール対策/容量整理/ラベル・自動振り分け/アカウント復旧/2段階認証/スマホ同期/転送・複数アカウントのトラブルを即解消。GmailとGoogleアカウントの実務リファレンスとしてご活用ください。