身近で起こりうるネットの脅威を、検証結果をもとにお届けする本シリーズ。第1回では家庭内ネットワークに悪意を持った第三者が参加し、ホームルータの設定を書き換えられてしまう攻撃までを紹介しました。
第2回では、その結果起こり得る脅威を紹介します。ホームルータの設定を変更せず、そのまま使っていると、あなたにもこんなことが起こるかもしれません。

一般的なホームルータは、機種にもよりますが集合住宅や家屋が密接した地域では自宅の外にも通信範囲が及びます。そのため、悪意を持った第三者が近隣にいた場合、ネットワークに不正に参加されてしまう可能性があります。ネットワークへの参加が出来てさえしまえば、初期設定のままで利用しているホームルータの設定を書き換えることは容易です。なぜなら、家庭向け製品の多くはネット上に説明書が公開されており、そこには初期設定パスワードも記載されているからです。

通信への不正な参加と、ホームルータの設定書き換えに至るまでは第1回をお読みください。

ホームルータの設定を不正に書き換えられてしまうことで、攻撃者はWi-Fiの圏外からでも自由に攻撃を仕掛けることが可能になります。
例えば、楽天やAmazonに代表される総合ECサイト、スマホを利用する際に必要となるGoogleアカウントやApple IDといった利用者が多く、登録している可能性が高いサービスの偽ログインページを用意し、ホームルータに設定しておいた悪意あるDNSと紐づけることで、利用者がこれらのサイトや、よく利用されるサイトにアクセスしようとした際、正規サイトの代わりに不正サイトを表示させることができます。見た目上のURLは正規のものであるため、利用者がそのまま偽サイトでログインをしてしまうと、第三者に認証情報（ID、パスワード）が詐取されてしまいます。
誘導先はフィッシングサイトに限らず、不正アプリ（スマホウイルス）の配布先や、詐欺を目的としたサイトなど、攻撃者の思うままに変更することが可能です。

総合ECサイトやクラウドサービスの認証情報が奪われてしまうと、不正ログインによって第三者がその中の情報を盗み見ることが可能となります。総合ECサイトを日常的に利用している場合は、購入履歴から氏名や住所、趣味嗜好、保有している機器などが容易に分かります。また、クラウドサービスでは、メールの他、利用者の設定によっては画像、複数のオンラインサービスの認証情報、スマホの移動履歴などが参照できます。
このような情報を、悪意を持った第三者が盗み見た場合、不在時を狙った空き巣や、情報の暴露をネタにした恐喝など、さまざまな犯罪に悪用される可能性があります。

さらに、購入履歴から家庭内で利用していると考えられるスマート家電の情報を入手した場合、それらを介した攻撃も可能となります。スマート家電への攻撃は第3回で紹介します。

このように、発端はホームルータのセキュリティ対策不備という一つのほころびから、さまざまな被害に発展する可能性があります。では、このような被害に遭わないためにはどうすればよいのでしょうか？

一つの障害を突破されただけで連鎖的な被害を生まないためには、攻撃者に対する防御の壁を複数構えることが重要です。

一つ一つは基本的な対策ですが、万一に備えて攻撃者に対する防御の壁を複数構えておくことが安心、安全なネット利用につながります。ホームルータはインターネットと家庭内ネットワークをつなぐ重要な出入口です。セキュリティ対策を怠らないようにしましょう。

インターネットサービスのアカウント管理をおろそかにしていると、悪意のある第三者にアカウントを乗っ取られ、金銭や情報を盗み取られてしまうかもしれません。複数のサービスに同一のIDとパスワードを使い回してはならないワケを知り、安全なアカウント管理を行いましょう。

ショッピングサイトやSNS、動画配信サービス、ネットバンキング、スマホ決済など、インターネット上には便利なサービスがたくさんあります。サービスの多くは利用登録が必要で、アカウント作成時には本人認証用のIDとパスワードに加え、個人情報の登録を求められるケースもあります。さて、みなさんはサービスのアカウントをどのように管理していますか。

トレンドマイクロの調査*によると、インターネットサービス利用者の約6割が1～3種類のパスワードだけで複数のサービスを利用しており、パスワードの使い回しをしている利用者は全体の8割を超えました。また、回答者の多くは「異なるパスワードを考えるのが面倒」「異なるパスワードを設定すると忘れてしまう」などの理由から同じパスワードを使い回していることもわかりました。
*Web調査、調査期間：2020年8月17日～18日、有効回答数515

しかし、パスワードの使い回しはアカウント保護の観点で望ましくありません。まずは、その理由について見ていきましょう。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手したIDとパスワードを使って、さまざまなサービスへのログインを試みます。これは複数のサービスに同一のIDとパスワードの組み合わせを使い回してしまうユーザの行動の隙を突いてアカウントを乗っ取る手法（アカウントリスト攻撃）です。もし、複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合、どうなるでしょうか。各種サービスのアカウントを芋づる式に乗っ取られ、アカウントの悪用、金銭や情報の窃取などといった被害に遭う可能性があります。このような理由からパスワードの使い回しは避けるべきなのです。

ある大手国内ゲーム会社は2020年4月、独自のネットワークサービスにおいてアカウントリスト攻撃により不正ログインされた可能性のあるアカウントが約16万件に上ったことを公表しました（2020年6月時点では合計約30万件）。同社はサービス利用者に対してパスワードを変更するとともに、他のサービスと同じパスワードを使い回さないよう呼びかけています。

では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

代表的なのがフィッシング詐欺です。これは、実在するショッピングサイトやネットバンキングなどの正規ログインページを装う偽サイトにネット利用者を誘導し、そこで入力させた情報をだまし取る手口です。詐取の対象はサービスの認証情報、個人情報、クレジットカード情報など多岐にわたります。サービス事業者から提供される二要素認証を利用している場合も油断はできません。SMSや専用アプリなどで取得できる認証コード（二要素認証情報）を入力させるフィッシングサイトも出現しているためです。

また、サービス事業者の人為的なミスや内部不正、サイバー攻撃がきっかけで利用者のIDとパスワードが流出してしまうケースもあります。何かしらの要因で流出した認証情報はネット上で不正に売買されたり、サイバー犯罪者によって公開されたりすることによって、悪意を持った第三者の手にもわたり、さまざまなサイバー犯罪に悪用されてしまう可能性があるのです。

サイバー犯罪者は、辞書攻撃や総当たり攻撃（ブルートフォースアタック）によってパスワードを探り当てることもあります。辞書攻撃は、辞書や人名録などに載っている英単語やパスワードによく使われる単語のリストを準備し、それらを特定のIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによりパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。したがって、一般的な辞書に載っている単語やフレーズ、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクが高くなってしまいます。

マルウェア（ウイルスなどの不正プログラムの総称）の感染によって認証情報を窃取されてしまう場合もあります。たとえば、入力情報やSMSで受信したパスワードを外部に送信させたり、正規のログインページに偽のページを被せて情報を窃取したり、アプリから偽の通知を表示させて不正サイトに誘導するなどの手口があります。

アカウントの乗っ取りを防ぐ重要なポイントは、サービスごとに異なるIDとパスワードの組み合わせを使用することです。これにより、もしあるサービスのIDとパスワードが流出してしまっても、別のサービスに被害が及んでしまうことを防げます。また、各サービスにおいて第三者に推測されにくい複雑なパスワードを設定することも大切です。さらに、二要素認証などのセキュリティを強化できる認証方法が併用可能なサービスではあらかじめ設定しておきましょう。セキュリティソフトやアプリを最新の状態で利用することも忘れないでください。これにより、フィッシングサイトへ誘導されたり、マルウェアに感染したりするリスクを軽減できます。また手軽な対策としては、サイトにアクセスする前にURLの安全性を確認できるサービスを利用する方法もあります。

しかし、利用するサービスの数が増えれば増えるほどアカウント保護の意識は薄れ、管理がおろそかになるものです。複雑なパスワードを作成したり、メモを参照しながらフォームに入力したりする負担は思いのほか大きいためです。

アカウント管理の煩わしさを解消したい方におすすめしたいのがパスワード管理ツールです。その種類は多く、無料で配布されているものもあれば有償版もあります。共通の基本機能は利用中のサービスと、IDとパスワードの組み合わせの管理です。事前に登録したマスターパスワードでログインし、目的のサービスページに移動すると、フォームにIDとパスワードが自動入力*されます。このため、1つのマスターパスワードさえ厳重に管理すれば、ほかのサービスのIDとパスワードを覚える必要がありません。
*対応しているWebサイトでのみ有効。

パスワード管理ツールを選定する際は、機能や価格だけでなく、プライバシーポリシーも確認しましょう。その上で自身の用途に合った信用できるサービスを選ぶことが重要です。たとえば、トレンドマイクロのパスワードマネージャーは、登録された情報をクラウド上に暗号化して保存するため、サービス元もその内容を見ることはできません。また、他のサービスで登録済み、あるいはネット上に流出しているパスワード、脆弱なパスワードを指摘し、強固なものを自動生成してくれます。このため、少なくとも「異なるパスワードを考えるのが面倒」といった理由でのパスワードの使い回しを防げるはずです。さらに、あらかじめ登録された認証情報やメールアドレス、クレジットカード番号、銀行口座番号などがネット上に流出し、それを検知した際には対処法も合わせて通知してくれます。情報流出を察知できれば、クレジットカードの利用停止の手続きを行うなど、悪用に備えたしかるべき措置をいち早くとることができます。

「アカウント管理の負担を減らしたい」「万一の情報流出に備えたい」と考えている方は、セキュリティ対策にパスワード管理ツールを加えることで、さらなる安心・安全なネット利用につなげましょう。

iPhoneに標準で入っているカレンダーアプリから全く身に覚えのないイベントの出席依頼や通知が届いた場合、警戒してください。それはiPhoneユーザを不正サイトなどへ誘導するためにサイバー犯罪者が送りつけたスパムと考えられます。

情報処理推進機構（IPA）によると、「iPhoneのカレンダーから、ウイルスに感染しているという通知が出る」「iPhoneのカレンダーに身に覚えのないイベントが入っている」といった相談が増えており、2020年7月の相談件数は55件に上ったとのことです。
これまでに確認されているのは、「iPhoneが保護されていない可能性があります」「オンライン保護を確保します。今すぐクリックしてください」といった内容のイベントです。また、外部カレンダーを取り込む照会機能を悪用する手口も報告されています。もし、そのような不審なイベントに記載されているURLリンクを開いてしまった場合どうなるでしょうか。不正サイトへ誘導され、情報などをだまし取られたり、詐欺や迷惑行為に巻き込まれたりする可能性があります。

iPhoneのカレンダーに不審なイベントが登録されるパターンは大きく2通りあります。1つは、Webサイト閲覧時に表示されたカレンダー関連の通知画面で「照会」ボタンをタップしてしまい、外部のカレンダーが照会対象になってしまうパターン。もう1つは、あなたのiCloudメールアドレスを入手した何者かがカレンダーの「共有機能」や「出席依頼機能」を悪用し、勝手にイベントを追加するものです。

もし、iPhoneのカレンダーに不審なイベントが登録された場合、「身に覚えがない共有カレンダーを削除する」、あるいは「参加依頼を削除してスパム報告をする」のいずれかの対処を行ってください。

イベントの詳細にある「参加」や「欠席」などのボタンを不用意にタップするのは避けましょう。「欠席」を押すとカレンダー上のイベント表示は消えますが、あなたのiCloudメールアドレスが有効であることをスパム配信者に伝えてしまうことになります。

iPhoneを安全に利用するために、「iOSやアプリを最新バージョンに保つこと」、不正サイトへのアクセスを防ぐために「セキュリティアプリを常に最新の状態で利用すること」の2つの対策も徹底しましょう。

テレワーク勤務時は、オフィス勤務時に比べて情報漏えいやマルウェア感染などのリスクが高まります。テレワーク勤務者は、一定のセキュリティ知識を身につけた上で適切な対策を行わなくてはなりません。私用のMacでテレワークを安全に行うポイントを紹介します。

テレワークの導入で就労場所を問わない働き方が普及しています。もともと働き方改革の一環として進められてきたテレワークは、新型コロナウイルス感染症の影響で一気に浸透しました。

一方、セキュリティが強固なオフィスから離れ、外で就労することになるため情報漏えいやマルウェア（ウイルスなど不正プログラムの総称）感染などのリスクは高まります。テレワークを安全に行うためには勤務先が定めるガイドラインやポリシーにもとづいて行動しなければなりません。私用のMacでテレワークを行っている方に必要なセキュリティ知識と対策を紹介します。

Macに限らずテレワークで私用端末を使う場合は、勤務先にそれを許可されていることが大前提となります。私用端末は一般に、組織から貸与されている端末に比べて管理が行き届きにくく、セキュリティも弱いため、情報漏えいやデータ消失、マルウェア感染などのリスクが高いと言えます。もし、私用端末の無断利用によりこうしたトラブルが生じた場合、自身の責任を問われます。また、私用端末の利用が許可されていても、用途や職種、取り扱える情報などに制限が設けられている場合もあります。

世間では「Macにセキュリティソフトはいらない」というイメージが依然として残っています。しかし、MacもWindowsパソコンと同様、セキュリティソフトによる保護が必要です。実際、Macを狙うマルウェアの脅威は続いています。ネット利用者から金銭や情報をだまし取るネット詐欺も一向に衰える気配を見せません。私用のMacをテレワークで安全に利用するためにはどうすればよいでしょうか。

テレワーク勤務時は何か問題が起こったときにすぐに相談できる勤務先の担当者が近くにいません。いざという時に慌てないよう、勤務先のヘルプデスクを確認しておきましょう。Macやネットワークをめぐる技術的な問題に自身で対処できない場合は、Appleや利用しているネットワーク機器、インターネットプロバイダーのヘルプデスクを利用するのも1つの手です。各ヘルプデスクのサポート範囲を確認しておきましょう。たとえば、トレンドマイクロのデジタルライフサポート プレミアム付きのウイルスバスター クラウドでは、Macを含むデジタル機器の基本的な設定、操作の質問や相談を24時間365日受け付けています。私用のMacを使うテレワーク勤務者は10のポイントを押さえるとともに、問題が起こったときの対処法も確認しておきましょう。

Microsoft Office 2010（Excel 2010、Word 2010、PowerPoint 2010）は、2020年10月13日をもってすべてのサポートを終了します。

みなさんは、ソフトのサポート終了がどんなことを意味するか知っていますか。サポート切れのソフトは、動作や不具合などの問い合わせを開発元に一切受け付けてもらえなくなります。また、ソフトに脆弱性（セキュリティ上の欠陥や不備）が見つかっても、それを修正する更新プログラムが配布されなくなります。中でも後者は、ソフトを安全に使い続ける上で見過ごせない問題です。更新プログラムが配布されずに脆弱性が放置されると、その脆弱性を悪用するサイバー攻撃に対して無防備になってしまうのです。

Office 2010はサポート終了後も起動できるため、そのまま使い続けてしまう方もいるかもしれません。しかし、マルウェア感染や情報漏えい、不正操作といった被害に遭うリスクが日増しに高まってしまいます。できるだけ早くOffice 2010をアップグレードしてください。

まずは利用中のOfficeのバージョンを確認してみましょう。

脆弱性は文書作成ソフトに限らず、あらゆるソフトやOS、アプリに存在します。ネットにつながる機器には必ず更新プログラムを適用し、サポートが終了した製品については買い替えやアップグレードを検討してください。そして、セキュリティソフトやアプリの利用と最新版への更新も忘れないようにしましょう。脆弱性を悪用した攻撃や、不正サイトへの誘導などを防いでくれます。

マイクロソフトは、Microsoft Office 2010のサポートを2020年10月13日に打ち切ることを告知しています。Office 2010をはじめとするソフトのサポート終了は、ユーザーにどのような影響を及ぼすのでしょうか。それを理解し、適切に対処しましょう。

2020年1月にサポート期間の満了を迎えたWindows 7に続き、Microsoft Office 2010（Excel 2010、Word 2010、PowerPoint 2010）も2020年10月13日をもってすべてのサポートが終了します。

みなさんはWindowsやMacなどのOS（基本ソフト）、Officeなどのソフトにサポート期限があることをご存じですか。たとえば、マイクロソフト製品は、発売日を起点として最低5年間の「メインストリームサポート」と、それに続く最低5年間の「延長サポート」の2段階のサポートが提供されます。メインストリームサポート期間は、更新プログラムの提供をはじめとする各種サポートが無償で提供され、新機能の追加や仕様変更なども行われます。延長サポート期間に入ると、更新プログラムの提供を除く無償サポートが終了し、有償サポートに切り替わります。その期間が終了すると、マイクロソフトによるすべてのサポートが打ち切られます。

Office 2010のサポートが終了してもソフトが起動しなくなるわけではなく、これまでと同じように使えます。では、Office 2010をはじめとするソフトのサポート終了はユーザーにどのような影響を及ぼすのでしょうか。

大きく2つあります。1つは、サポート対象外となったソフトについての問い合わせを開発元に一切受け付けてもらえなくなることです。これは、ソフトに不具合などの何らかの問題が生じても開発元に動作検証やプログラムの改修を行ってもらえないことを意味します。

もう1つは、新たな脆弱性（セキュリティ上の欠陥）が見つかっても、それを修正する更新プログラムが提供されなくなることです。これは、ソフトを安全に使い続ける上で見過ごせない問題です。

脆弱性はプログラムの開発時には見つからなかった弱点や不具合、設計ミスなどが原因で生じるセキュリティ上の欠陥で、マルウェア（ウイルスなどの不正プログラムの総称）感染や情報漏えいなどの要因となる深刻なものも含まれます。通常、ソフトのサポート期間内に脆弱性が見つかった場合、その開発元は脆弱性を修正する更新プログラムを作成し、ユーザーに無償で提供します。ユーザーはそれを適用することでソフトを安全に使い続けることができます。たとえば、Officeなどのマイクロソフト製品では「Microsoft Update」を通じて更新プログラムをインストールする仕組みになっています。

しかし、サポート切れのOffice 2010では原則、更新プログラムが提供されません。つまり、サポート終了後に見つかったOffice 2010の脆弱性は放置されることになり、その脆弱性を悪用する外部からの攻撃に対して無防備になってしまいます。結果、マルウェア感染や情報漏えいといった被害に遭うリスクが増してしまうのです。

新たな脆弱性が修正されないOffice 2010はサイバー犯罪者の格好のターゲットになるかもしれません。サポート終了後、使い続ける期間が長くなればなるほどリスクが高まってしまうため、できるだけ早くアップグレードすることが望まれます。IPA（独立行政法人情報処理推進機構）によると、2019年1月から6月までにJVN iPedia（一般向けに公開される脆弱性情報データベース）に登録されたOffice 2010の脆弱性は22件。脆弱性の深刻度別割合は、全体の55％（22件中の12件）が3段階中最も深刻度の高いレベル3でした。

まずは、みなさんがご利用のOfficeのバージョンとサポート期限を確認してみましょう。

サポート終了前にアップグレートが必要なのはOfficeシリーズに限った話ではありません。WindowsやMacなどのOSはもちろん、Adobe Acrobat Readerなどのソフト全般にも言えることです。パソコンにインストールされているOSやソフトのバージョンとサポート期限を改めて確認してみましょう。サポート期間内のOSやソフトは常に最新バージョンに更新しながら利用することも大切です。セキュリティソフトも同様、常に最新の状態に保ちながら利用し、最新の脅威にも対処できるようにしましょう。

家庭内でWi-Fiを使って複数の機器や家電を連携、活用することが一般化しつつあります。便利な一方、基本的なセキュリティ対策をおろそかにしていると思わぬトラブルや被害に遭う可能性があります。その危険性を知り、対策を行いましょう。

家庭内で無線ネットワーク(Wi-Fi)を使ってスマホやタブレット、複数のスマート家電を連携、活用することが一般化しつつあります。一方で、それらの機器がつながっている家庭内ネットワーク（ホームネットワーク）のセキュリティについて、対策を重要視している家庭は限られます。家庭内ネットワークのセキュリティ対策の肝はホームルータの管理です。ホームルータは家庭内ネットワークとインターネットとの出入口であり、この出入口が侵害されてしまうと、第三者に家庭内のネットワークや、接続されている機器を意のままに不正操作されてしまう危険性があるためです。

本シリーズは全3回に分け、検証結果に基づく身近に起こり得る脅威と、その対策を紹介します。第1回目は攻撃の入口となる、Wi-Fiを介した不正なネットワークへの参加とホームルータの設定変更についてです。続く第2回と3回目では、不正に設定を変更されてしまったホームルータを経由して実行される、情報窃取やスマートデバイスの不正操作について脅威例と対策を紹介します。家庭での安心・安全なインターネット活用に役立ててください。

ホームルータを介した脅威には、大別してインターネット上から第三者が脆弱性などを悪用して攻撃を行う場合と、無線通信の圏内にいる第三者による攻撃の2つがあります。今回の検証は、より身近な脅威事例として、マルウェアや脆弱性を使わずに、専門知識があまりなくても攻撃可能なWi-Fi圏内からの攻撃を想定したものです。インターネット越しの攻撃に限らず、近くに悪意を持った第三者がいた場合、こんな被害に遭うかもしれません。

Wi-Fiネットワークの通信範囲は、ホームルータの種類によって異なるものの、建物の外や、隣家、集合住宅では上下左右の家庭にまで及ぶ場合があります。通常は自身の家庭内ネットワークをそれぞれが利用します。しかし基本対策をおこたった結果、通信圏内にいる悪意を持った第三者によって家庭内ネットワークに介入される危険性もあり、その被害は単に通信のただ乗りをされるだけではありません。

現在市販されている主なホームルータは、特に利用者が設定を行わなくてもネットワーク認証用のパスワードで暗号化されたWi-Fiネットワーク名(SSID)と、その認証用として一意のパスワードが割り振られています。
しかし、ネットワーク認証用のパスワードで暗号化されたネットワークであっても、ネット上で配布されている不正ツールなどを第三者が悪用した場合、ネットワーク認証用パスワードを解読されてしまう可能性があります。さらに、簡易な形式で暗号化された通信の場合や、そもそもネットワーク認証用パスワードを設定していない場合は、スマホ一台あれば容易に突破され、第三者に家庭内ネットワークへの参加を許してしまいます。

ネットワーク認証用パスワードの解読は、いくつかの条件にもよりますが最も簡易なWEP形式ではたったの10秒、その上位であるWPAで数分、さらに複雑なWPA2でも不十分なパスワードの長さや複雑さなどの条件によって数分から数日でパスワードの解読が成功する可能性があるという研究結果が公表されています。このことからも、ネットワーク認証用パスワードを設定していない通信や、WEP、WPAによる通信は、外部からの不正行為に対して非常に脆弱であることが分かります。最低でもWPA2以上を利用し、適切な長さや複雑さのパスワードを設定した上で、暗号化された通信を利用する必要があります。しかし、通信の暗号化だけでは十分な対策とは言えません。

通常、市販されているホームルータは設定管理画面に入るための初期設定パスワードが機種やメーカーごとに統一されており、そのパスワードが記載された説明書はネット上でも公開されています。つまり、攻撃者がネットワーク認証用パスワードを突破して家庭内ネットワークに侵入してきた場合、ホームルータの設定管理画面のパスワードを初期設定のままや、単純なものにしていると、設定画面に不正ログインされ、意のままに設定変更されてしまうことになります。

被害内容の前に、まずはDNSとは何かについて確認しておきましょう。私達がインターネット上のサイトを参照する際、通常英数文字のURLを入力します。しかし、これは人間が覚えやすいように変換されたものです。実際には、コンピュータ同士が通信を行う際、一意の数字の羅列で作られたIPアドレスによって通信先を参照しています。この、URLに紐づくIPアドレスの参照作業を行っているのがDNS(ドメインネームシステム)と呼ばれるものです。このDNSが正しい参照先と紐づいていることで、私たちはアクセス先にたどり着くことができます。

しかし、このDNSの設定を不正なものに書き換えられてしまうと、いくら私たちが正しいURLを入力しても、別のIPアドレスに紐づけられて異なるサイトに誘導されてしまいます。つまり、この仕組みを悪用することで攻撃者は被害者を遠隔からでも任意のサイトに誘導することが可能になるのです。

ホームルータを利用してインターネットに接続している場合、ホームルータの設定画面から任意のDNSサーバを参照するように設定を変更することが可能です。この設定を第三者が不正な参照先に変えることで、アクセス先のサイトを自由にコントロールすることが可能となってしまいます。

また、インターネット側からのリモートアクセスを有効にすることで、設定管理画面に遠隔からも不正アクセスが可能となり、いつでも自由に設定変更できるようになってしまいます。

このように、Wi-Fiを介して家庭内のネットワークへ不正に参加した後、ホームルータの設定画面に不正ログインし、設定を変更して攻撃の下準備を整えれば、インターネットを介した遠隔からの攻撃が可能になります。そのため、攻撃者はWi-Fi通信圏内に留まる必要は無くなり、外部からゆっくり標的を攻撃することが可能になるわけです。

家庭内ネットワークへの参加を防止するためには、基本対策が重要です。どれが欠けても十分とは言えませんのですべて実践しましょう。

長くて複雑なパスワードを考えたり、管理したりするのが困難に感じる場合は、パスワード管理ツールの利用が便利です。条件に合ったパスワードを自動生成し、そのパスワードを保管しておくことも可能です。

可能であれば以下の対策も追加で行いましょう。

詳しい設定方法は各ホームルータの説明書やサポートページを参考にしてください。

ネットワーク全体を保護するセキュリティ製品の利用を検討してください。例えば、トレンドマイクロのウイルスバスター for Home Network*の場合、ホームルータに接続し、専用アプリを利用するだけで、攻撃の第一段階となる家庭内ネットワークへの無断参加をブロックします。万一第三者がネットワークに参加しようとしても、管理アプリの通知から許可を行わない限り、第三者がネットワークに参加することはできません。また、ホームルータの設定画面へのアクセスを第三者が試みた場合にも、管理アプリに通知し、アプリ側から許可をしない限りホームルータの設定管理画面へのログインを許しません**。
他にも、利用しているホームルータや家庭内ネットワークに繋がっている機器に対し、パスワード設定やファームウェアなどの脆弱性を診断し、対処法を通知してくれます。さらに、専属のサポートスタッフによる電話やLINEを介した支援や、家族のネット利用見守り機能、不信な通信、不正サイトといったさまざまなネット上の危険からも守ってくれます。スマホやタブレット、パソコン同様、安心・安全なネット利用にはネットワークのセキュリティ対策も欠かさないようにしましょう。
*パソコンやモバイルには別途専用のセキュリティソフトやアプリのインストールが必要です。
**本機能はベータプログラム内の評価中の機能です。

第2回では、設定を不正に変更されてしまったホームルータを起点とした攻撃と、それに対する対策を紹介します。

ZoomやSkype、Microsoft Teams、Google Meetに代表されるビデオ会議ツールやビデオ通話サービスは、ビジネスや教育のシーンにとどまらず、個人間コミュニケーションにおいても活用が進んでいます。ただ、このようなツールやサービスの利用にあたってはセキュリティやモラルの観点でいくつか注意すべきことがあります。

まずは脆弱性です。脆弱性は、プログラムの設計ミスなどが原因で生じるセキュリティ上の欠陥で、悪意のある第三者からの攻撃に悪用される危険性があります。どんなソフトやアプリにも脆弱性はつきもので、Appleユーザにとってなじみ深い「FaceTime」でも過去に、グループ FaceTime で、相手が応答していなくても通話可能になってしまうような欠陥が見つかっています。既に修正プログラムが配布されていますが、利用者はソフトやアプリの開発元から脆弱性を修正する更新プログラムが提供された場合、速やかに適用することが対策として求められます。

次に、各ビデオ会議ツールなどが独自に用意しているセキュリティとプライバシーの設定です。Zoomでは、利用者の設定不備によって部外者がオンラインの会議や授業に参加し、進行を妨害する迷惑行為が問題になりました。これを受け、利用者の設定不備を補うための対策がサービス側で取られ始めています。利用者が個々に設定を行う必要は無くなりましたが、会議のIDやパスワードは必要な相手にのみ通知し、ネット上で公開しないようにしましょう。

最後に、組織においては勤務先が許可したビデオ会議ツールを利用することが原則です。もし、勤務先に無断で使用したサービスから機密情報が漏れ、勤務先や取引先などに損害を与えてしまうとどうなるでしょうか。懲戒の対象になるだけでなく、場合によっては損害賠償を請求される可能性もあります。また、動画のフィルター機能なども勝手にインストールしてはいけません。勤務先が定めるセキュリティポリシーやガイドラインを確認し、それに従うことが大切です。相手に無断で動画や画像を取得することもモラル上好ましくない行動となることがあります。業務上記録が必要な場合は相手に許可を得て取得し、業務で必要な範囲の利用にとどめましょう。

スパムメールや不正なメッセージを起点とする攻撃の勢いは一向に衰えません。サイバー犯罪者は言葉巧みに添付ファイルやURLリンクを開かせ、マルウェアに感染させたり、不正サイトへ誘導したりしようとしています。あやしげな添付ファイルやURLリンクをうっかり開いてしまったときの対処法を紹介します。

スパムメールや不正なメッセージを介してマルウェア（ウイルスなどの不正なプログラムの総称）に感染させられたり、不正サイトへ誘い込まれたりするケースが相次いでいます。こうした事例やその危険性についてはメディアが盛んに報じ、警察機関やセキュリティ関連団体も注意喚起を行っています。それなのになぜ被害が後を絶たないのでしょうか。

最近のスパムメールは、受信者に不信感を抱かせないように作り込まれています。内容や日本語の言い回しに不自然な点はほとんどなく、受信者が正規のメールと錯覚しがちです。たとえば、実在する通信販売事業者や宅配便事業者などを装って「セキュリティアラート」「サービス継続手続き」「請求書の送付」「商品の配送確認」などを名目とするもっともらしいメッセージを送りつけてくるため、受信者は疑いなく添付ファイルやURLリンクを開いてしまうのです。

2019年後半ごろから国内で話題になっているのは、実在する企業や組織、過去にメールをやり取りしたことのある人物などを装って「請求書」「ドキュメント」「賞与支払」などの件名のメールを送りつけ、受信者にOfficeの文書ファイルを開かせる手口です。

ファイルを開いて、メッセージバーの「編集を有効にする」「コンテンツの有効化」ボタンをクリックしてしまうとどうなるでしょうか。不正なマクロが実行され、マルウェアに感染してしまいます。メール内のURLリンクを開かせ、不正なマクロを埋め込んだ文書ファイルをダウンロードさせるパターンも確認されています。

※マクロは、事前に記録した操作内容や手順をまとめて実行させる機能です。WordやExcelなどのOfficeドキュメントの標準機能として備わっています。

このEMOTET（エモテット）と呼ばれるマルウェアを配布する手口は日々変化しており、直近でも不正な添付ファイルをパスワード付きのZIPファイルにして送ることで、セキュリティソフトの検知を回避しようとしたり、受信者に信じ込ませるために、実際に企業などから送信された文面や件名などを複製して偽のメールを仕立てたりするなど巧妙化を続けています。常に最新の情報を入手し、警戒を怠らないようにしましょう。

実在する企業や組織、よく知った相手が差出人でも、何らかの理由をつけてURLリンクを開かせようとするメールは、あなたを不正サイトへ誘導するためにサイバー犯罪者が送りつけたものかもしれません。たとえば、携帯電話事業者を装うメールで「契約更新」「支払い金額の返金」などと通知し、受信者に不正なURLリンクを開かせる手口が確認されています。誘導先は当選画面を表示する偽サイトで、当選金を受け取るためという名目で銀行口座情報などを入力するよう仕向けます。

不正サイトへの誘導手段はメールだけではありません。SNSの投稿やダイレクトメッセージ、SMS（ショートメッセージサービス）、一般のWebサイトに表示されるネット広告も不正サイトの入り口になっています。たとえば、TwitterやFacebook、YouTubeなどのSNSにおいてセキュリティ会社やオフィス機器メーカーを装うアカウントから「技術的な悩みを解決します」といった文言とURLリンクを投稿し、サポート詐欺サイトへ誘導する手口が確認されています。また、突然表示される「ウイルス感染」「システム破損」を警告する画面もサポート詐欺サイトにつながっているかもしれません。こうした警告は、ネット利用者の不安をあおることでクリックを促す演出に過ぎないのです。

サイバー犯罪者が偽装するのは、一般企業や知人だけではありません。警察庁をかたって「銀行の認証の設定が必要」などと呼びかけるSMSも確認されています。もし、メッセージ内のURLリンクを開くと特定の金融機関を偽装したフィッシングサイトへ誘導され、そこで入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

メールなどのURLリンクは、パソコンのOSやソフトの脆弱性（セキュリティの弱点）を攻撃する不正サイトの入り口になっていることもあります。OSやソフトの脆弱性を残したままのパソコンでは、こうした不正サイトを表示しただけでマルウェアに感染してしまうこともあるのです。

スパムメールは一目で不正なものと判断することが難しくなっています。どれだけ注意していても不正な添付ファイルを開いてしまうことがあるかもしれません。「あやしいファイルを開いてしまったかも」と感じた場合、どのように対処すべきでしょうか。

メールなどの「あやしいURLリンクを開いてしまったかも」と感じた場合、誘導先のWebサイトで「情報を入力する」「ソフトをダウンロードする」「アプリ連携を許可する」といったアクションを起こしてはいけません。次のポイントを最優先で確認してください。

スマホの場合、不正なURLリンクから不正アプリ（スマホウイルス）のインストールに誘導されることもあります。スマホにもセキュリティアプリをインストールしておき、最新の状態に保って利用してください。パソコンやスマホで不正サイト、詐欺サイトに遭遇したときの対処法も押さえておきましょう。

ネット利用者を不正サイトへ誘導し、情報や金銭をだまし取るネット詐欺の勢いは増すばかりです。トレンドマイクロによると、詐欺サイトへ誘導された国内のモバイル利用者数は6月の一か月で約45万件に上り、昨年6月の約15倍にも急増しています。

スマホ利用者を不正サイトへ誘導する手段は、主に不正なメールやSMS（ショートメッセージサービス）です。サイバー犯罪者は実在する企業や組織、サービスなどを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。

よく見られるのが、実在する配送業者をかたり「不在のため持ち帰りました。配送物をご確認ください」といった文言とURLリンクを含む内容で送りつけられる偽の不在通知メッセージです。こうしたメッセージが入り口となるスマホ向けの不正サイトの中には、アクセスしてきたスマホのOSを判別し、OSによってリダイレクト（転送）先を切り替えるものも存在します。

たとえば、Android OSの端末では偽の荷物問い合わせページを表示させ、そこからGoogle Playを模した偽サイトへ誘導されるパターンがあります。その狙いは、Android OSの端末ユーザに配送業者の公式アプリに見せかけた偽アプリや、OSのアップデートを装った偽アプリをインストールさせることです。万一偽アプリをインストールしてしまうと、端末内の情報を窃取されたり、自身の端末から不在通知を装った偽装SMSを勝手に送信されたりする被害に遭う可能性があります。

一方、iPhoneではAppleや、配送業者のサイトに偽装した偽のログインページに誘導されます。iPhoneユーザが正規のログインページと誤認してApple IDとパスワード、さらに2ファクタ認証（ワンタイムパスワード）を入力してしまうと、それらがサイバー犯罪者の手に渡ってしまい、アカウントの乗っ取りや金銭被害につながるかもしれません。また、同じ手口で金融機関のログイン画面に誘導するパターンも確認しています。

他にも、金融機関を装ったフィッシングサイトへ誘導され、オンラインバンキングの認証情報を詐取されたことで不正送金される被害も多数報告されました。

このように、スマホ利用者を不正サイトへ誘い込む手口はますます巧妙化しています。さらに、不正サイトは正規サイトをコピーして作られる場合もあり、一見しただけで真偽を判断することが難しくなっています。スマホでも必ず信用できるセキュリティアプリを利用し、それを常に最新の状態に保ちましょう。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。また、ネット詐欺の手口と事例を知ることも自衛策の1つです。もちろん、メールやSMS、SNS上のURLリンクを不用意に開かないこと、Google PlayやApp Store、携帯電話事業者などが運営する公式アプリストア以外のWebサイトからアプリを入手しないことも徹底してください。ただし、公式アプリストアにも不正アプリが紛れ込んでいる可能性があるのでインストール前の確認を怠らないようにしましょう。

SMSの進化版「＋メッセージ」を利用するのもネット詐欺対策として有効です。＋メッセージにおける企業の公式アカウントには携帯電話事業者3社による審査をクリアしたことを示す認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできます。また、＋メッセージでは連絡先未登録の相手からのメッセージを不明な差出人フォルダに振り分ける設定も可能です。自身が利用しているSMSの設定や機能を改めて見直し、対策に役立てましょう。