2026年:求人応募を装う「コーディング課題」攻撃が増加?使い捨てメールで被害を最小化する実践ガイド
2026年の採用市場はオンライン完結が当たり前になり、エンジニア職では「コーディング課題」や「技術テスト」も日常的に送られてきます。便利な一方で、ここを悪用する攻撃が目立ち始めました。最近24時間の海外報道でも、偽の採用担当者が開発者向けの課題やリポジトリ閲覧に誘導し、マルウェア感染や情報窃取につなげる手口が取り上げられています(例:BleepingComputer)。さらに別件として、LLM由来の“成果物”を悪用しクリック誘導でMac向けインフォスティーラーに繋げる攻撃も報じられており(例:同)、入口がメールであるケースは今後も増えると考えられます。
この種の攻撃は、単に「怪しいリンクを踏ませる」だけではありません。応募者が焦っている状況、転職活動で複数の企業と同時進行している状況、やり取りがメール中心になる状況を利用し、本人確認(認証コード)や書類提出、課題提出の導線に“自然に”混ぜてきます。結果として、あなたの本当のメールアドレスがスパムリストに載ったり、認証コードが盗まれたり、端末の情報が抜かれたりする可能性があります。
結論から言うと:防御の第一歩は「分離」です
- 応募用:求人媒体・スカウト・応募フォームは使い捨てメール(捨てメール)で分離
- 連絡用:面接日程など継続連絡は別の転送アドレスに切り替え
- 認証用:ログインや提出ポータルの認証コードは「隔離」して取り扱う
一、なぜ「コーディング課題」が攻撃者にとって都合がいいのか
攻撃者が採用プロセスを狙う理由は明快です。採用のやり取りは、相手が外部の人間(=未知の送信者)であるにもかかわらず、受信者が“協力的に”行動してしまう特殊な状況だからです。たとえば以下のような心理と行動が揃います。
攻撃が通りやすい条件
- 1. 期限の圧力:「24時間以内に提出」「すぐ面談枠が埋まる」など急がせる
- 2. 添付・外部リンクが自然:課題ファイル、仕様書、ポータルURLの共有が当たり前
- 3. “技術者あるある”を利用:GitHub、パッケージ、スクリプト、CLIの実行を促しやすい
- 4. 個人情報が集まりやすい:履歴書、連絡先、過去の職歴、ポートフォリオURL
- 5. 認証コードが発生しやすい:採用ポータル、テストサービス、チャットツールの新規登録
ここで大事なのは、「リンクを踏まない」だけでは不十分という点です。攻撃者は、あなたの本当のメールアドレスを獲得した時点で勝ちに近づきます。なぜなら、その後にスパム、標的型フィッシング、なりすまし、認証コードの横取り(MFA疲労攻撃やリセット誘導)など、長期的に粘れるからです。
二、被害の本丸は「メールアドレスの露出」と「認証コードの横取り」
求人詐欺が厄介なのは、被害が二段階で進むことが多い点です。
二段階の典型パターン
第1段階:応募者のメールアドレスや行動データを集める(返信率、クリック率、使用端末など)
第2段階:「ログインが必要」「提出ポータルに登録して」などを口実に認証コードを奪い、アカウント乗っ取りや追加詐欺につなげる
この間に、あなたの受信箱はスパムで汚染され、重要な連絡が埋もれ、判断力が下がる……という負の連鎖が起きます。
だからこそ2026年の現実的な対策は、「完全に遮断する」よりも「被害を局所化する」設計になります。採用の入口を使い捨てメールで受け止めると、万が一メールアドレスが流出しても、汚染はそのアドレスの範囲で止められます。
三、使い捨てメール(捨てメール)で採用活動を“安全に運用”する手順
ここからは、TempForwardのような使い捨てメール/メール転送を前提に、実際の運用フローを提案します。ポイントは「入口」「継続連絡」「認証コード」を分けることです。
1) 入口:求人媒体・スカウト用アドレスを作る
まず、求人媒体(スカウト、応募フォーム、外部の技術テストサービス)に登録するメールは、必ず使い捨てメールにします。媒体ごとにアドレスを変えるのが理想です。こうしておけば、どの媒体から漏れたか/どの導線でスパムが増えたかを追跡できます。
💡 運用のコツ:「jobboard」「recruit」「codingtest」など用途が分かるプレフィックスを付け、どの登録に使ったかを後で見返せるようにします。スパムが増えたらそのアドレスだけ無効化すればOKです。
2) 継続連絡:面接調整は“別アドレス”に切り替える
入口のアドレスは汚染されやすいので、一次選考を通過し、相手の実在性がある程度確認できた段階で、連絡先を別の転送アドレスへ切り替えます。例えば、採用担当者の会社ドメイン、公式サイトの一致、複数チャネルでの確認(LinkedIn上の同一人物、電話確認など)が取れたら切り替え、というルールにすると現実的です。
3) 認証コード隔離:ログイン用コードは“作業スペースから分離”する
2026年に増えているのは、本人確認を装って認証コード(ワンタイムコード)を要求するタイプの詐欺です。採用ポータルやチャットツールへの招待を口実に「届いたコードを教えてください」「スクリーンショットを送ってください」と言ってきたら、ほぼ詐欺です。
認証コード隔離のチェックリスト
- コードは絶対に共有しない:採用担当者でも同僚でも、コード共有は不要です
- コード専用の受信フローを作る:使い捨てメールでコードを受け、必要な時だけ確認
- 作業PCと分離:課題ファイルを開く端末と、コードを確認する端末/ブラウザプロファイルを分ける
- 誘導リンクは踏まない:ポータルは自分で公式URLを検索してアクセス
「メールアドレスの分離」は、詐欺に気付いた後でも効きます。怪しい流れが見えたら、そのアドレスを即停止し、別アドレスに切り替えられます。これは“復旧が簡単なセキュリティ”で、忙しい転職活動と相性が良い対策です。
四、コーディング課題を受け取ったときの実務チェック(2026年版)
次に、課題そのものを評価するチェックです。攻撃は「自然さ」で勝負してくるため、技術的な違和感を言語化し、手順化しておくとミスが減ります。
課題チェック:赤信号サイン
- 1. 実行を急かす:「今すぐこのスクリプトを実行して確認」など
- 2. 署名やハッシュがない:配布物の正当性検証ができない
- 3. 権限が過剰:管理者権限、セキュリティ設定の無効化を要求
- 4. 送信先が不明:実行後にどこへ通信するのか説明がない
- 5. 連絡先が曖昧:会社ドメインがない、公式サイトと一致しない
現実的な運用としては、「課題は隔離環境(仮想環境・別ユーザー・別端末)で開く」「外部ネットワークに出る挙動があるものは止める」「不明点は公式チャネルで確認する」という三つが効きます。ここでもメール分離が役立ちます。入口メールが汚染されても、あなたのメインアドレスや重要アカウントへ波及しにくいからです。
五、TempForwardでできること:入口の露出を減らし、迷惑メールをコントロールする
TempForwardは「本当のメールアドレスを出さない」ための実務ツールです。転職活動のように外部との接点が増える期間は、特に価値が出ます。メールプライバシーの要点は、完璧に隠すことではなく、露出面を小さくし、漏れたときの影響を限定することです。
転職活動における「分離」の具体例
- 求人媒体:媒体ごとに使い捨てメールを作成(漏洩源の特定と遮断が容易)
- 企業ごと:選考が進んだ企業は専用転送アドレスに切り替え(スレッド管理が楽)
- 認証コード:コード受信専用アドレスを用意(共有禁止を徹底しやすい)
- スパム対策:不要になったらワンクリックで停止(受信箱の衛生を維持)
もちろん、メール分離だけで端末感染をゼロにはできません。ただ、攻撃者が狙う「次の一手」(追加のフィッシング、パスワードリセット誘導、認証コードの横取り)をかなりの確率で不発にできます。2026年の現場では、この“被害を小さくする設計”が最もコスパの良い防御です。
✅ 最後に:「怪しいかも」と思った瞬間に、該当アドレスを停止して連絡先を切り替えられる体制を作っておくと、判断ミスが起きてもダメージを抑えられます。採用連絡は増えがちだからこそ、仕組みで守りましょう。