なにかと慌ただしい年末から気が緩みがちになる年始は詐欺の被害に遭わないよう、より一層の警戒が必要です。年末年始に気をつけたいネット詐欺の手口と5つの対策を押さえましょう。

ふるさと納税の手続きは余裕を持って行いたいものですが、年末に駆け込みで寄付しようとする利用者もおり、そのような焦った利用者をサイバー犯罪者は狙っています。特に初めて寄付をする際は、ふるさと納税サイトに見せかけた偽サイトに注意が必要です。偽サイトの中には各地方公共団体の公式サイトのデザインやレイアウト、返礼品の画像などをそのまま流用しているものもあり、一見しただけで真偽を判断することが難しい場合があります。

もし、偽サイトから寄付の手続きを行ってしまうとどうなってしまうでしょうか。寄付に対する返礼品が届かなかったり、返礼品は届いても税控除が受けられなかったりするだけではなく、その手続きで入力した個人情報やクレジットカード情報を盗み取られ、さらなる詐欺や金銭被害に遭う可能性もあります。以下のような特徴があるふるさと納税サイトは利用しないようにしましょう。

また、買い物シーズンの年末年始は実在するショッピングサイトや高級品のセールを装う偽サイト、詐欺にも要注意です。大手ショッピングサイトのフリをして「心当たりがない場合はキャンセルしてください」などと記載した注文確認メールを送りつけ、URLリンクを開いてしまった受信者を偽サイトへ誘導する手口が確認されています。また、誤って偽サイトを利用してしまうと、支払った代金だけでなく、認証情報（ID、パスワード）や決済時に入力した個人情報、クレジットカード情報などを盗み取られる可能性もあります。さらに、大幅な値下げと称して高級品の偽物や粗悪品を売りつける詐欺にも注意が必要です。

年末年始は宅配便の利用が増える時期でもあります。宅配事業者を装った偽のメールやSMS（ショートメッセージサービス）にも引き続き注意が必要です。もし、添付ファイルやURLを開かせるようなメッセージを受け取った場合は詐欺を疑い、その真偽を十分に確認しましょう。

2019年10月の消費税率引上げに伴い開始されたキャッシュレス・ポイント還元事業を悪用したフィッシング詐欺も確認されています。還付金や払い戻しなどと称したメールやSMSにも注意しましょう。

2019年10月に火災で焼失した首里城の再建に向けた寄付が広がる中、支援者の善意につけこもうとする詐欺も出現しています。実際に、携帯電話事業者を装い「首里城再建寄付に関して」を件名とするメールを送りつけ、URLを開いてしまった受信者をさまざまな詐欺サイトへ誘導する手口が報告されています。それらの詐欺サイトの中には「高額当選」のメッセージを表示し、当選金を受け取るためという名目で銀行口座番号や支店名などを入力させるフィッシングサイトも確認されました。

こうした詐欺メールから誘導されるフィッシングサイトには、受信者のメールアドレスなどの個人情報が記載されている場合もあります。今回の例では当選の信ぴょう性を高める演出の1つになっていますが、善意の受信者が注意喚起として詐欺メールをそのままネットに公開すると個人情報を意図せず不特定多数に公開してしまう危険性があります。

地震や大雪などの大規模自然災害発生時には、それを口実に実在する企業や公的機関をかたって義援金募金を呼びかける詐欺メールや偽サイトが出現する可能性があります。寄付する際には必ずその真偽を確認しましょう。もし詐欺が疑われたら、なりすましの対象として悪用されている組織をはじめ、警察や関連機関などに通報しましょう。

多くの人の関心事や旬な話題に便乗するのはネット詐欺の常とう手段です。実際、世界的なスポーツイベントを前に、観戦チケットの抽選結果を通知する偽メールがすでに出回っています。その主な目的は受信者を詐欺サイトへ誘い込み、情報や金銭をだまし取ることです。

イベントの開催が近づくにつれ、チケットをなんとしても手に入れたい利用者の心理につけ込む偽のメールや詐欺サイトが増加すると予想されます。また、チケット転売サイトやオークションサイト、フリマサイト、SNSなどでは、無効チケットや偽チケットが出品されるかもしれません。公式チケット販売サイトと見た目がそっくりの偽サイトにも注意が必要です。チケットの購入や再販に際してはあらかじめ公式チケット販売サイトをブックマークに登録しておき、毎回そこからアクセスすることをおすすめします。

ネット詐欺に遭ってしまったかもと感じたときの対処法については、下記参考記事をご覧ください。

私用のパソコンやスマホ、クラウドサービスを無断でビジネスシーンに持ち込んでいませんか。中には、仕事専用のモバイルデバイスがなく、私用端末を利用せざるを得ないケースもあるかもしれません。とはいえ、組織における情報セキュリティのルールにはそれが作られた理由があります。組織のルールを把握、遵守するとともに、無断で私用の端末やクラウドサービスを利用した場合、どのような脅威に遭遇する可能性があるかを改めて確認しておきましょう。

多くの企業は、断りなく業務データを私用のクラウドサービスに保存したり、フリーメールに転送したりすることを禁じています。なぜなら、有償、無償にかからわず、サービス事業者のミスやサイバー攻撃、認証情報（IDとパスワード）の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが破損、流出しても損害が補償されない場合もあります。さらに、無償で利用できるサービスの多くでは、その対価として利用者の情報が収集、分析され、運営元のビジネスに活用されているのです。
2019年に公表された被害の中には、大手クラウドストレージサービス事業者が外部からの不正アクセスによって約500万件もの会員情報を漏えいさせてしまった事例がありました。また、不特定多数に公開されたSNS上に顧客情報のファイルを誤って投稿してしまい、サービス利用者によってファイルがダウンロードされてしまった事故も公表されています。

より厳しいセキュリティポリシーを定めている企業では、そもそも私用端末（パソコンやスマホ、USBデバイスなど）の業務利用を認めていません。私物端末にはセキュリティポリシーを強制するツールを導入させることが難しく、端末をなくしてしまった場合などに業務データを流出させてしまうなどのリスクがあるためです。私用端末がマルウェアや不正アプリに感染している場合はどうでしょう。万一感染した端末を勤務先のネットワークにつないでしまうと、そこにつながっているすべてのコンピュータが脅威にさらされ、情報漏えいや業務停止といった重大なトラブルに発展するかもしれません。

自身が組織を狙うサイバー攻撃の起点にされないようにするためには、組織のルールを把握し、それを遵守することが重要です。利用したいサービスや機器がある場合は、必ず組織の担当者や責任者に相談し、承諾が得られてから利用するか、許可されている代わりの方法で対処しましょう。

ほかにも、社会人がセキュリティの観点で注意を払うべきことは数多くあります。パソコンやネット利用時の少しの不注意が企業や組織を狙うサイバー攻撃の足がかりになってしまうことを理解し、慎重に行動しなければなりません。企業や組織を狙う「ビジネスメール詐欺（BEC）」「ランサムウェア」「標的型サイバー攻撃」は、従業員に送りつけられるメールが主な起点となっています。それぞれの手口の詳細や従業員一人ひとりができる対策については下記の参考記事をご覧ください。

勤務先が定めるセキュリティポリシーやガイドラインをしっかりと確認し、それに従って行動しましょう。

インターネット上には私たちの生活を豊かにしてくれる便利なサービスがあふれています。ただ、利用するサービスが増えれば増えるほど、パスワードを個別に設定する意識は薄れてしまいがちです。パスワードを使い回してしまった場合のリスクを改めて知り、各種サービスを安全に利用するために3つの対策を実施しましょう。

ショッピングサイトやSNS、Webメール、クラウドストレージ、ネットバンキングなど、インターネットサービスのアカウントの作成時はほとんどの場合、IDとパスワード（認証情報）の登録が求められます。パスワードをいくつも覚えられないという理由で、複数のサービスに同一のIDとパスワードを使い回している方もいるのではないでしょうか。しかし、それはアカウントの保護という観点で望ましくありません。パスワードの使い回しはなぜいけないのでしょうか。

インターネットに潜むサイバー犯罪者は、何らかの方法で入手した他人のIDとパスワードのリストを用いて、複数のサービスへのログインを試みます。このため、複数のサービスに同一のIDとパスワードの組み合わせを使い回していると、盗まれたりした場合に複数のサービスのアカウントを芋づる式に乗っ取られてしまうのです。では、サイバー犯罪者は他人のIDとパスワードをどのように入手するのでしょうか。

代表的な手口はフィッシング詐欺です。これは、実在するショッピングサイトや銀行、クレジットカード会社などの正規のログインページを装う偽サイト(フィッシングサイト)へ利用者を誘導し、そこで入力させた情報をだまし取る手口です。たとえば、携帯電話事業者や、Appleを装い、不正利用の疑いがあるなどとしてログインを促すSMSを送りつけ、そこからフィッシングサイトへ誘い込む手口が確認されています。

キーロガーも認証情報を盗み出す手段の1つです。これはキーボードから入力された情報を外部に送信するマルウェア（ウイルスなど悪意のあるソフトウェアの総称）です。サイバー犯罪者はターゲットのパソコンにキーロガーを感染させ、収集したキーボードの入力情報を解析することでIDとパスワードを割り出します。ホテルや図書館などに設置された不特定多数が利用するパソコンにはキーロガーなどのマルウェアが仕込まれているリスクもあるため、認証情報や個人情報の入力は避けた方が無難です。

さらに、インターネットサービス事業者の人為的なミスやサイバー攻撃による情報漏えいがきっかけで利用者のIDとパスワードが流出してしまう事故も起こっています。そこから流出した認証情報は不正に利用されたり、闇サイト(闇市場)の商品として扱われたりし、サイバー犯罪者に売却される可能性もあるのです。

辞書攻撃や総当たり攻撃によって認証情報を探り当てられてしまうパターンもあります。辞書攻撃は、辞書に載っている英単語やパスワードによく使われる単語を登録したリストを準備し、それらを1つのIDに対して順番に試していく手法です。一方、総当たり攻撃はプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していくものです。一般的な辞書に載っている単語や、短く単純な文字列をパスワードに設定していると、アカウントの乗っ取り被害に遭うリスクを高めてしまいます。

サイバー犯罪者は、このようにさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりして各種サービスのアカウントを不正利用し、金銭や情報を得ようとしています。こうした被害を防ぐためにはどうすればよいでしょうか。

対策の詳細はSTOP! パスワード使い回し!キャンペーンのページで解説されています。
万一、クレジットカードやデビットカードの利用明細に覚えのない請求があった場合は、速やかにサービスの提供元やカード発行会社、警察に連絡しましょう。

だれもが一度は不要になったパソコンの処分に頭を悩ませたことがあるのではないでしょうか。正しい処分方法がわからず、以前利用していたパソコンを自宅に放置している方もいるでしょう。

パソコンに内蔵されるHDD（ハードディスクドライブ）やSSD（ソリッドステートドライブ）には個人情報や写真、動画、文書などのさまざまなデータが保存されているため、そのまま処分するわけにはいきません。ではどうすればよいのでしょうか。

多くの人がやってしまう誤りは、対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行することですが、それでは不十分です。なぜなら、データ復元ソフトを使えば、表面上は見えなくなっているデータを復元できてしまうためです。HDDの場合、データ消去ソフトを利用するか、データ消去の専門業者にHDDを強磁力または物理的方法で破壊してもらいましょう。SSDの場合、ドライブ全体を暗号化して初期化するか、業者にSSDを物理的に破壊してもらう方法があります。必ずいずれかの方法でデータを削除してから、パソコンを処分するようにしましょう。

いらなくなったパソコン内のデータの消去方法や、パソコンを処分する前に確認しておきたいポイントについてより詳しく知りたい方は下記の参考記事をご覧ください。

あらたまってコンピュータウイルス（以下、ウイルス）とはなにかを問われると答えに窮する方も多いのではないでしょうか。今回はそもそもウイルスとは何かに加え、サイバー犯罪者の目的や侵入経路、感染しないための3つの対策を解説します。

ウイルスはパソコンなどの機器に侵入すると内部のファイルに寄生し、さまざまな不正行為を働くプログラムで、自己増殖するための機能を持っています。ウイルスは一般にマルウェアの代名詞として用いられていますが、ウイルスはマルウェアの一種です。つまり、マルウェアは総称なので厳密にはこれらは別物です。

マルウェアとは「Malicious(悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータに何らかの損害を与えるために作成された不正プログラムや悪意のあるソフトの総称です。マルウェアにはウイルスのほかに次のような種類があり、パソコンだけではなく、スマホやIoT機器（スマートテレビやWebカメラなど）にも感染する危険性があります。

サイバー犯罪者はこのようなマルウェアを複数組み合わせて攻撃を行います。

一昔前のマルウェアの多くは、世間を騒がせ、自身の技術力も誇示したい愉快犯によって作成されてきました。パソコンに入り込むと画面に奇妙な画像が表示されたり、プログラムの動作が不安定になったりするため、ユーザがマルウェアの感染を察知できるケースがほとんどでした。

しかし、最近のサイバー犯罪はビジネス化しており、マルウェアも金銭や、お金になる情報の獲得を目論む犯罪グループや個人によって作成されています。そのため、より長く不正な活動ができるように被害者に感染を悟らせないものも多く、機器に侵入されても目立った症状が現れないこともあります。それらは潜伏して情報を盗み出したり、別のマルウェアをダウンロードしたりするのです。

では、犯罪グループはマルウェアを使ってどのように金銭を得ているのでしょうか。たとえば、マルウェアに感染させたパソコンやスマホからクレジットカード情報やインターネットサービスの認証情報、銀行口座番号などを盗み出し、それらを不正利用したり、インターネット上の闇サイト(闇市場）に売りさばいたりするのが典型的な方法です。また、ランサムウェアのように被害者から直接金銭を脅し取る場合もあります。いまや闇サイトで扱われる商品は情報だけではなく、ランサムウェアなどのマルウェアも売買されています。さらに、サービスとして販売し、利益を得るような仕組みまで構築されています。

攻撃者はユーザに気づかれることなくパソコンにマルウェアを送り込もうとしています。感染の発覚を遅らせれば遅らせるほど、お金になる情報の獲得という目的を達成しやすくなるためです。マルウェアの感染経路は大きくWeb、メール、USBメモリなどの外部機器の3つがあります。それぞれの主な感染パターンを見ていきましょう。

※マルウェアの感染が疑われたときの対処法
メールのURLリンクや添付ファイルを何気なく開いてしまい、マルウェアに感染したかもしれないと不安になったときの対処法も確認しておきましょう。

ネット詐欺はインターネット利用者を取り巻く代表的なサイバー犯罪の1つです。代表的な例としてAppleサポートを名乗るメールを介して受信者をフィッシングサイトへ誘導し、Apple IDなどの情報をだまし取る手口があります。Apple IDを利用している方はその手口を知り、詐欺に引っかからないように注意しましょう。

よく見られるのが、「Apple IDアカウントを回復してください」「お客様のApple ID情報は不足か、正しくないです」「ご利用のApple IDによる最近のダウンロードについて」といった件名のメールからログインを促すフィッシングメールです。
このようなメールでは、Appleをかたって「時間内に返信が無い場合はアカウントをロックします」「不正利用の可能性がある」などと通知して受信者の不安をあおり、対応を迫ります。さらに、時間制限を設けて受信者を焦らせ、判断を鈍らせようとするものもあります。このような手法はソーシャルエンジニアリングと呼ばれ、フィッシングメールに多用されます。

思わずURLリンクを開いてしまうと表示されるのがAppleのログインページに似せた偽サイトです。正規のログインページと誤認してApple IDとパスワードを入力すると、「アカウントがロックされている」というメッセージが表示され、ロックの解除を理由に個人情報やクレジットカード情報を入力させられます。その一連の流れの中で入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

サイバー犯罪者はネット利用者の心の隙を突き、巧みにフィッシングサイトなどに誘導します。MacやiPhoneでも被害に遭う可能性があることを認識し、WindowsやAndroid端末と同じようにセキュリティソフトやアプリを最新の状態に保つなどの必要な対策を講じましょう。

フィッシングサイトに情報を入力してしまったかもと思ったときは、正規のログインページからIDとパスワードを変更してください。2ステップ認証を有効にすることも重要です。

また、クレジットカード情報も入力してしまった場合は、すぐにクレジットカード会社に連絡し、利用停止の手続きを行ってください。その上で専門機関に相談しましょう。

ビジネスメール詐欺やランサムウェア、標的型メールは、規模や地域、業種に関係なく、あらゆる組織が遭遇するかもしれない脅威です。これらの攻撃は、従業員に送りつけられるメールが起点となる場合があります。職場を危険にさらさないよう、また自身が当事者になってしまわないよう、攻撃の手口と従業員一人ひとりが実践できる対策を押さえましょう。

組織を狙うサイバー攻撃の勢いは一向に衰える気配を見せません。トレンドマイクロが2018年9月、民間企業、および官公庁自治体における情報セキュリティの意思決定者（および意思決定関与者）1,455人を対象に行った法人組織におけるセキュリティ実態調査では、4割を超える組織が情報漏えいや金銭詐取、業務停止といったビジネスに影響を及ぼす重大な被害を経験していることがわかりました。

組織を狙うサイバー攻撃は、従業員に送りつけられるメールが発端となる場合も少なくありません。代表的な例として「ビジネスメール詐欺」「ランサムウェア」「標的型メール」の3つの手口を見ていきましょう。

ビジネスメール詐欺（BEC：Business Email Compromise）は、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。特徴の1つは、業務メールの盗み見や、ネット上の公開情報の調査などを通じて従業員を欺くための情報を事前に収集することです。標的企業で進行している取引や人間関係などを把握した上でもっともらしいメールを作成、送信し、従業員から金銭や情報を引き出します。

最高経営責任者や経営幹部になりすました送金指示メールを経理担当者などに送りつけ、サイバー犯罪者の口座へ送金させる手口はその典型です。取引先になりすましたメールに偽の請求書を添付し、振込先の変更を依頼するパターンもあります。サイバー犯罪者はメールのやり取りを盗み見て状況を把握し、振り込みが発生するタイミングで偽メールを送りつけてくるため、従業員は何の疑いもなく指示に従ってしまう恐れがあります。

世界的な被害が話題となったランサムウェア（身代金要求型ウイルス）による攻撃は、個人だけでなく、組織も標的としています。これは、パソコンやスマホ本体を操作不能にしたり、端末内のファイルを暗号化して開けなくしたりして、元に戻す条件として金銭の支払いを要求します。組織の場合は端末内のファイルのみならず、サーバ上の共有ファイルまで暗号化されて甚大な被害となる可能性があります。トレンドマイクロの調査によると、2019年上半期（1月～6月）において国内法人によるランサムウェア感染被害報告件数は前年同期比の約1.7倍にあたる37件に上りました。個人に比べ、重要な情報を大量に所有している組織は、犯罪者にとって多額の身代金を要求する格好の標的となり得るのです。

ランサムウェア拡散の手段はいくつかありますが、メールもその1つです。過去には、業務関連と錯覚させるようなメールを従業員に送りつけ、不正な添付ファイルを開かせたり、不正なURLをクリックさせたりする手口が確認されています。具体的には、「請求書」を装った不正な添付ファイルを送り付けたり、求人への応募を装い、履歴書のように見せかけた不正ファイルをクラウドからダウンロードさせたりする事例が報告されています。
メール以外にも、従業員がランサムウェアに感染した私用のパソコンやスマホ、USBメモリなどを勤務先のパソコンにつないだことが感染のきっかけとなる場合もあるため併せて注意が必要です。

一度、勤務先のパソコンにランサムウェアが入り込むとネットワークを通じてさまざまなコンピュータに感染が広がり、原因の究明からデータの復旧、業務の再開に至るまでに莫大な時間と労力、費用がかかることがあります。また、バックアップがない場合には、データが復旧できない状態で業務の再開を目指すことになるでしょう。

標的型メールとは、重要情報や多額の金銭などを目的とし、特定の法人組織を狙って、巧妙な偽のメールを送り付ける手口です。だまされた結果、その組織を狙う標的型攻撃の踏み台にされる恐れがあります。標的型攻撃は事業継続を脅かす深刻な被害につながる危険性の高い脅威です。たとえば、標的型メールによって従業員のパソコンに遠隔操作ツール（RAT）などのマルウェア（ウイルスなど悪意を持ったソフトウェアの総称）を感染させ、標的のネットワークに侵入することで情報を盗み出したり、別のマルウェアをダウンロードさせたりするなどの活動を行います。

標的型メールの手口でもBEC同様、実在する部署や人物、取引先など、怪しまれない相手を装ったメールを従業員に送りつけます。クラウドメールサービスを利用している組織に対しては、そのアカウントを窃取してメールの盗み見などを行うために、サービス事業者を装うメール経由で偽のログイン画面に誘導し、認証情報を盗み取る手口が報告されています。また、医療費通知に見せかけた添付ファイルを開かせてRATに感染させる手口も確認されています。他にも、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせを装って不正な添付ファイルを開かせる標的型メールも確認されました。

このように、標的型メールは受信者に不正なものと気づかれないように巧みに偽装しています。
トレンドマイクロが2019年1月～6月の間に全世界で検出した脅威総数の内、9割はメールによる脅威でした。すなわち、サイバー攻撃の主な起点はメールであると言えます。

ビジネスメール詐欺やランサムウェア、標的型メールは、あらゆる組織に降りかかる可能性があります。これらのサイバー攻撃は標的の従業員をだますことを前提としており、だれをターゲットにするかわかりません。従業員一人ひとりが当事者意識を持ち、職場や取引先を危険にさらさないよう慎重に行動することが求められます。組織に属する社会人が実践すべき5つの対策を紹介します。

オンラインゲームのアカウントを乗っ取られ、ゲーム内のアイテムや通貨などを盗まれてしまう被害が報道されています。時間やお金を費やしてようやく手に入れたアイテムなどを突然失ってしまった被害者のショックは大きいでしょう。

こうした被害に遭う原因の多くは、オンラインゲームの認証を突破されてしまったことにあります。悪意のある第三者は、フィッシング詐欺などの方法で認証情報（IDとパスワード）をだまし取ったり、複数のインターネットサービスで使い回されている認証情報を何らかの方法で入手したりしてアカウントに不正ログインし、アイテムなどを奪い取るのです。

自衛策の基本は、アカウントを厳重に管理することです。オンラインゲームを含め、複数のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用してください。ただし、IDとパスワードによる1要素の認証方法では、第三者にIDとパスワードを探り当てられたり、盗まれたりしてしまうと認証を破られてしまいます。IDとパスワード以外の認証方法（多要素認証）が用意されている場合、それらも併せて利用しましょう。
また、ゲーム内チャット経由でのトレード話やリンク先への誘導にも十分に注意してください。

普段からオンラインゲーム事業者やセキュリティ事業者などが公表する注意喚起情報に目を通し、詐欺の手口を知っておくことも大切です。アカウント乗っ取りによる被害を防ぐための7つのポイントを確認しておきましょう。