だれもが一度は不要になったパソコンの処分に頭を悩ませたことがあるのではないでしょうか。正しい処分方法がわからず、以前利用していたパソコンを自宅に放置している方もいるでしょう。

パソコンに内蔵されるHDD（ハードディスクドライブ）やSSD（ソリッドステートドライブ）には個人情報や写真、動画、文書などのさまざまなデータが保存されているため、そのまま処分するわけにはいきません。ではどうすればよいのでしょうか。

多くの人がやってしまう誤りは、対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行することですが、それでは不十分です。なぜなら、データ復元ソフトを使えば、表面上は見えなくなっているデータを復元できてしまうためです。HDDの場合、データ消去ソフトを利用するか、データ消去の専門業者にHDDを強磁力または物理的方法で破壊してもらいましょう。SSDの場合、ドライブ全体を暗号化して初期化するか、業者にSSDを物理的に破壊してもらう方法があります。必ずいずれかの方法でデータを削除してから、パソコンを処分するようにしましょう。

いらなくなったパソコン内のデータの消去方法や、パソコンを処分する前に確認しておきたいポイントについてより詳しく知りたい方は下記の参考記事をご覧ください。

あらたまってコンピュータウイルス（以下、ウイルス）とはなにかを問われると答えに窮する方も多いのではないでしょうか。今回はそもそもウイルスとは何かに加え、サイバー犯罪者の目的や侵入経路、感染しないための3つの対策を解説します。

ウイルスはパソコンなどの機器に侵入すると内部のファイルに寄生し、さまざまな不正行為を働くプログラムで、自己増殖するための機能を持っています。ウイルスは一般にマルウェアの代名詞として用いられていますが、ウイルスはマルウェアの一種です。つまり、マルウェアは総称なので厳密にはこれらは別物です。

マルウェアとは「Malicious(悪意のある)」と「Software(ソフトウェア)」を組み合わせた造語で、コンピュータに何らかの損害を与えるために作成された不正プログラムや悪意のあるソフトの総称です。マルウェアにはウイルスのほかに次のような種類があり、パソコンだけではなく、スマホやIoT機器（スマートテレビやWebカメラなど）にも感染する危険性があります。

サイバー犯罪者はこのようなマルウェアを複数組み合わせて攻撃を行います。

一昔前のマルウェアの多くは、世間を騒がせ、自身の技術力も誇示したい愉快犯によって作成されてきました。パソコンに入り込むと画面に奇妙な画像が表示されたり、プログラムの動作が不安定になったりするため、ユーザがマルウェアの感染を察知できるケースがほとんどでした。

しかし、最近のサイバー犯罪はビジネス化しており、マルウェアも金銭や、お金になる情報の獲得を目論む犯罪グループや個人によって作成されています。そのため、より長く不正な活動ができるように被害者に感染を悟らせないものも多く、機器に侵入されても目立った症状が現れないこともあります。それらは潜伏して情報を盗み出したり、別のマルウェアをダウンロードしたりするのです。

では、犯罪グループはマルウェアを使ってどのように金銭を得ているのでしょうか。たとえば、マルウェアに感染させたパソコンやスマホからクレジットカード情報やインターネットサービスの認証情報、銀行口座番号などを盗み出し、それらを不正利用したり、インターネット上の闇サイト(闇市場）に売りさばいたりするのが典型的な方法です。また、ランサムウェアのように被害者から直接金銭を脅し取る場合もあります。いまや闇サイトで扱われる商品は情報だけではなく、ランサムウェアなどのマルウェアも売買されています。さらに、サービスとして販売し、利益を得るような仕組みまで構築されています。

攻撃者はユーザに気づかれることなくパソコンにマルウェアを送り込もうとしています。感染の発覚を遅らせれば遅らせるほど、お金になる情報の獲得という目的を達成しやすくなるためです。マルウェアの感染経路は大きくWeb、メール、USBメモリなどの外部機器の3つがあります。それぞれの主な感染パターンを見ていきましょう。

※マルウェアの感染が疑われたときの対処法
メールのURLリンクや添付ファイルを何気なく開いてしまい、マルウェアに感染したかもしれないと不安になったときの対処法も確認しておきましょう。

ネット詐欺はインターネット利用者を取り巻く代表的なサイバー犯罪の1つです。代表的な例としてAppleサポートを名乗るメールを介して受信者をフィッシングサイトへ誘導し、Apple IDなどの情報をだまし取る手口があります。Apple IDを利用している方はその手口を知り、詐欺に引っかからないように注意しましょう。

よく見られるのが、「Apple IDアカウントを回復してください」「お客様のApple ID情報は不足か、正しくないです」「ご利用のApple IDによる最近のダウンロードについて」といった件名のメールからログインを促すフィッシングメールです。
このようなメールでは、Appleをかたって「時間内に返信が無い場合はアカウントをロックします」「不正利用の可能性がある」などと通知して受信者の不安をあおり、対応を迫ります。さらに、時間制限を設けて受信者を焦らせ、判断を鈍らせようとするものもあります。このような手法はソーシャルエンジニアリングと呼ばれ、フィッシングメールに多用されます。

思わずURLリンクを開いてしまうと表示されるのがAppleのログインページに似せた偽サイトです。正規のログインページと誤認してApple IDとパスワードを入力すると、「アカウントがロックされている」というメッセージが表示され、ロックの解除を理由に個人情報やクレジットカード情報を入力させられます。その一連の流れの中で入力したすべての情報がサイバー犯罪者の手に渡ってしまいます。

サイバー犯罪者はネット利用者の心の隙を突き、巧みにフィッシングサイトなどに誘導します。MacやiPhoneでも被害に遭う可能性があることを認識し、WindowsやAndroid端末と同じようにセキュリティソフトやアプリを最新の状態に保つなどの必要な対策を講じましょう。

フィッシングサイトに情報を入力してしまったかもと思ったときは、正規のログインページからIDとパスワードを変更してください。2ステップ認証を有効にすることも重要です。

また、クレジットカード情報も入力してしまった場合は、すぐにクレジットカード会社に連絡し、利用停止の手続きを行ってください。その上で専門機関に相談しましょう。

ビジネスメール詐欺やランサムウェア、標的型メールは、規模や地域、業種に関係なく、あらゆる組織が遭遇するかもしれない脅威です。これらの攻撃は、従業員に送りつけられるメールが起点となる場合があります。職場を危険にさらさないよう、また自身が当事者になってしまわないよう、攻撃の手口と従業員一人ひとりが実践できる対策を押さえましょう。

組織を狙うサイバー攻撃の勢いは一向に衰える気配を見せません。トレンドマイクロが2018年9月、民間企業、および官公庁自治体における情報セキュリティの意思決定者（および意思決定関与者）1,455人を対象に行った法人組織におけるセキュリティ実態調査では、4割を超える組織が情報漏えいや金銭詐取、業務停止といったビジネスに影響を及ぼす重大な被害を経験していることがわかりました。

組織を狙うサイバー攻撃は、従業員に送りつけられるメールが発端となる場合も少なくありません。代表的な例として「ビジネスメール詐欺」「ランサムウェア」「標的型メール」の3つの手口を見ていきましょう。

ビジネスメール詐欺（BEC：Business Email Compromise）は、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。特徴の1つは、業務メールの盗み見や、ネット上の公開情報の調査などを通じて従業員を欺くための情報を事前に収集することです。標的企業で進行している取引や人間関係などを把握した上でもっともらしいメールを作成、送信し、従業員から金銭や情報を引き出します。

最高経営責任者や経営幹部になりすました送金指示メールを経理担当者などに送りつけ、サイバー犯罪者の口座へ送金させる手口はその典型です。取引先になりすましたメールに偽の請求書を添付し、振込先の変更を依頼するパターンもあります。サイバー犯罪者はメールのやり取りを盗み見て状況を把握し、振り込みが発生するタイミングで偽メールを送りつけてくるため、従業員は何の疑いもなく指示に従ってしまう恐れがあります。

世界的な被害が話題となったランサムウェア（身代金要求型ウイルス）による攻撃は、個人だけでなく、組織も標的としています。これは、パソコンやスマホ本体を操作不能にしたり、端末内のファイルを暗号化して開けなくしたりして、元に戻す条件として金銭の支払いを要求します。組織の場合は端末内のファイルのみならず、サーバ上の共有ファイルまで暗号化されて甚大な被害となる可能性があります。トレンドマイクロの調査によると、2019年上半期（1月～6月）において国内法人によるランサムウェア感染被害報告件数は前年同期比の約1.7倍にあたる37件に上りました。個人に比べ、重要な情報を大量に所有している組織は、犯罪者にとって多額の身代金を要求する格好の標的となり得るのです。

ランサムウェア拡散の手段はいくつかありますが、メールもその1つです。過去には、業務関連と錯覚させるようなメールを従業員に送りつけ、不正な添付ファイルを開かせたり、不正なURLをクリックさせたりする手口が確認されています。具体的には、「請求書」を装った不正な添付ファイルを送り付けたり、求人への応募を装い、履歴書のように見せかけた不正ファイルをクラウドからダウンロードさせたりする事例が報告されています。
メール以外にも、従業員がランサムウェアに感染した私用のパソコンやスマホ、USBメモリなどを勤務先のパソコンにつないだことが感染のきっかけとなる場合もあるため併せて注意が必要です。

一度、勤務先のパソコンにランサムウェアが入り込むとネットワークを通じてさまざまなコンピュータに感染が広がり、原因の究明からデータの復旧、業務の再開に至るまでに莫大な時間と労力、費用がかかることがあります。また、バックアップがない場合には、データが復旧できない状態で業務の再開を目指すことになるでしょう。

標的型メールとは、重要情報や多額の金銭などを目的とし、特定の法人組織を狙って、巧妙な偽のメールを送り付ける手口です。だまされた結果、その組織を狙う標的型攻撃の踏み台にされる恐れがあります。標的型攻撃は事業継続を脅かす深刻な被害につながる危険性の高い脅威です。たとえば、標的型メールによって従業員のパソコンに遠隔操作ツール（RAT）などのマルウェア（ウイルスなど悪意を持ったソフトウェアの総称）を感染させ、標的のネットワークに侵入することで情報を盗み出したり、別のマルウェアをダウンロードさせたりするなどの活動を行います。

標的型メールの手口でもBEC同様、実在する部署や人物、取引先など、怪しまれない相手を装ったメールを従業員に送りつけます。クラウドメールサービスを利用している組織に対しては、そのアカウントを窃取してメールの盗み見などを行うために、サービス事業者を装うメール経由で偽のログイン画面に誘導し、認証情報を盗み取る手口が報告されています。また、医療費通知に見せかけた添付ファイルを開かせてRATに感染させる手口も確認されています。他にも、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせを装って不正な添付ファイルを開かせる標的型メールも確認されました。

このように、標的型メールは受信者に不正なものと気づかれないように巧みに偽装しています。
トレンドマイクロが2019年1月～6月の間に全世界で検出した脅威総数の内、9割はメールによる脅威でした。すなわち、サイバー攻撃の主な起点はメールであると言えます。

ビジネスメール詐欺やランサムウェア、標的型メールは、あらゆる組織に降りかかる可能性があります。これらのサイバー攻撃は標的の従業員をだますことを前提としており、だれをターゲットにするかわかりません。従業員一人ひとりが当事者意識を持ち、職場や取引先を危険にさらさないよう慎重に行動することが求められます。組織に属する社会人が実践すべき5つの対策を紹介します。

オンラインゲームのアカウントを乗っ取られ、ゲーム内のアイテムや通貨などを盗まれてしまう被害が報道されています。時間やお金を費やしてようやく手に入れたアイテムなどを突然失ってしまった被害者のショックは大きいでしょう。

こうした被害に遭う原因の多くは、オンラインゲームの認証を突破されてしまったことにあります。悪意のある第三者は、フィッシング詐欺などの方法で認証情報（IDとパスワード）をだまし取ったり、複数のインターネットサービスで使い回されている認証情報を何らかの方法で入手したりしてアカウントに不正ログインし、アイテムなどを奪い取るのです。

自衛策の基本は、アカウントを厳重に管理することです。オンラインゲームを含め、複数のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用してください。ただし、IDとパスワードによる1要素の認証方法では、第三者にIDとパスワードを探り当てられたり、盗まれたりしてしまうと認証を破られてしまいます。IDとパスワード以外の認証方法（多要素認証）が用意されている場合、それらも併せて利用しましょう。
また、ゲーム内チャット経由でのトレード話やリンク先への誘導にも十分に注意してください。

普段からオンラインゲーム事業者やセキュリティ事業者などが公表する注意喚起情報に目を通し、詐欺の手口を知っておくことも大切です。アカウント乗っ取りによる被害を防ぐための7つのポイントを確認しておきましょう。

みなさんは、使わなくなったパソコンをどのように処分しますか。売却、譲渡、廃棄にあたっては、パソコン内の重要なデータが漏えいしてしまうリスクを回避しなければなりません。パソコンを安全に処分する方法を紹介します。

2020年1月14日のWindows 7サポート終了を機にパソコンの買い替えを検討している方も多いのではないでしょうか。新しいパソコンへの移行が済んだら、使わなくなったパソコンを安全に処分する方法も確認しておきましょう。

みなさんは不要になったパソコンを処分するとき、どのようなことを心がけていますか。パソコンを手放す場合は、HDD（ハードディスクドライブ）やSSD（ソリッドステートドライブ）内のデータが第三者の手に渡ってしまうリスクを回避することが重要です。

HDDとは円盤状の記憶装置で、ディスクを回転させて磁気的に情報を書き込んだり消したりしています。一方SSDは半導体メモリ（フラッシュメモリ）を記憶装置としたもので、電気的制御によって情報を記憶しています。パソコンの中には、HDDとSSDの両方、もしくはどちらかが内蔵され、そこにさまざまなデータが記録されています。アドレス帳などの個人情報や写真、動画、文書だけでなく、場合によってはクレジットカード情報やインターネットサービスの認証情報（IDとパスワード）、業務関連情報なども含まれているでしょう。そんなパソコンを不用意に処分すると重要なデータを第三者に抜き取られ、悪用されてしまうかもしれません。

みなさんは、パソコンの処分にあたってHDDやSSD内のデータを完全に消去するとき、どのような方法をとりますか。対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行するだけでよいでしょうか。HDDやSSDを初期化したり、パソコンのリカバリを実行して工場出荷時の状態に戻したりすれば目的が達せられるでしょうか。実は、これらの方法をとってもデータそのものは消去されずに残ります。データ復元ソフトを使えば、表面上は見えなくなっているデータを容易に復元できてしまうのです。では、情報漏えいを防ぐためにはパソコンを処分する前に何をすればよいのでしょうか。

処分するパソコンのデータを復元できないようにする前に、必要なデータは必ず新しい機器や外付け記憶装置、クラウドサービスなどに保存し、移行先で問題なくファイルを開けることを確認してください。また、パスワード管理ソフトなどを使用し、利用しているネットサービスのパスワードを新しい機器にも引き継げるようにしておきましょう。さらに、データ消去ソフト等を利用する場合には、パソコンの周辺機器などもすべて外すことも忘れないでください。それらを接続したままでは、不完全なデータ消去、必要なデータの消去や破損につながる可能性があるためです。これらの確認が終わったら、作業を開始しましょう。
業務で利用しているパソコンについては、勤務先のルールに従って処分してください。新しいパソコンへのデータ移行時に勤務先が許可していないデバイスやクラウドサービスを利用するのは厳禁です。

パソコンを処分するのはHDDやSSDから重要なデータが漏えいしないという確信を得られてからにしましょう。処分方法は大きく、売却、下取り、譲渡、廃棄の4つあります。いずれの場合も確実に情報を消去してから処分するようにし、専門業者を利用する場合は複数を比較した上で信用できるサービスを選択しましょう。データ消去サービスが付帯されている場合もありますが、念のため自身で可能な限りデータを消去してから引き取ってもらう方がより安全でしょう。

家族に譲渡する場合については、次の利用者のために基本的なセキュリティ対策を行ってから渡すと良いでしょう。未成年やネットに不慣れな家族のだれかに譲り渡す場合は、安全に使える環境を用意してあげることが重要です。そのポイントは、セキュリティソフトを入れて最新の状態にしておくこと、OSやソフトを最新バージョンにアップデートしておくことです。これにより、ネット詐欺やウイルス感染にさらされるリスクが軽減します。また、ペアレンタルコントロールなどのサポート機能を適用し、不適切なWebサイトへのアクセスを防いだり、ネットやソフトの利用時間を制限したりすると良いでしょう。家庭のWi-Fiに接続される機器が複数ある場合は、ホームネットワーク全体を保護してくれるセキュリティ製品の利用もおすすめです。

故障などにより引き取り手のないパソコンは廃棄もやむなしです。ただし、パソコンを勝手に不燃ゴミとして捨ててはいけません。パソコンは資源有効利用促進法のリサイクル品目に指定されているためです。「PCリサイクルマーク」が付いているパソコンの場合、メーカーに連絡をすれば無料で引き取ってくれます。PCリサイクルマークがないパソコンや自作パソコンについてはパソコン3R推進協会に回収を依頼し、リサイクル料金を支払いましょう。また、小型家電リサイクル法に基づき、自治体によっては回収ボックスを設置してパソコンの回収、リサイクルを行っている場合もあります。小型家電リサイクル法の認定業者に回収を依頼すれば無料で引き取ってもらえることもあります。その際、故障などでデータ消去ソフトや暗号化ツールが使えない場合は、専門業者に物理的な方法でデータを消去してもらってから廃棄するようにしましょう。

一般社団法人パソコン３Ｒ推進協会
http://www.pc3r.jp/

スマホ決済が普及の兆しを見せています。これは、店舗やショッピングサイトでの買い物の支払いをスマホ1つで完結できる仕組みです。

スマホ決済はとても便利な決済手段ですが、悪意のある第三者に不正利用されるリスクもあることを心得ましょう。実際、スマホ決済サービスのアカウントを乗っ取られ、勝手に商品を購入される被害が発生しています。

スマホ決済の不正利用に遭う原因はいくつか考えられますが、その１つとして不正ログインがあげられます。フィッシング詐欺によって決済サービスの認証情報（IDとパスワード）を詐取された場合や、複数のインターネットサービスで決済サービスと同一のIDとパスワードを使い回しており、その組み合わせが漏えいしてしまった場合、不正ログインの被害に遭う可能性が高まります。

さらに、クレジットカード情報（カード番号、有効期限、セキュリティコード）が漏えいしてしまった場合も被害に遭うことが想定されます。悪意のある第三者は、何らかの方法で入手したクレジットカード情報を手元のスマホの決済アプリに登録し、勝手にチャージした上で商品を購入するのです。

フィッシング詐欺対策として、メールやSMS、広告などから誘導されたWebサイトではなく、必ず正規サイトからログインするようにしましょう。また、ログイン手順としてIDとパスワードに加え、ワンタイムパスワードのような多要素認証を採用しているなど、不正利用対策が講じられているサービスを選択してください。そして、決済サービスの利用履歴や連携している銀行口座、クレジットカードの明細を、最低でも月に1回は確認することを心がけましょう。
被害に遭ったら速やかに利用停止の手続きを行えるよう、利用している各サービスや金融機関の連絡先、被害の相談先を予め確認しておくことも大切です。

インターネットサービスのアカウントを不正利用される被害が相次いでいます。サイバー犯罪者はさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりしてサービスに不正アクセスし、金銭や情報を不正に取得しようとしています。第三者によるアカウントの不正利用を防ぐための6つの自衛策を紹介します。

SNSやクラウドストレージ、ショッピングサイト、ネットバンキングなど、ほとんどのインターネットサービスにログインするときはパスワード認証が求められます。これは、ログイン時に利用者本人だけが知るIDとパスワードを入力することで認証を得る方式です。

ただ、パスワード認証は必ずしも安全とは言えなくなっています。IDとパスワードを第三者に盗まれたり、探り当てられたりしてしまうと認証を破られてしまうためです。

実際、IDとパスワードをだまし取られ、各種インターネットサービスのアカウントを不正利用される被害が後を絶ちません。その手口の最たるものがフィッシング詐欺です。このほか、アカウントを乗っ取る手口にはプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあり、IDとパスワードだけで本人か否かの認証の精度を担保することは難しくなっています。

金融機関などの高いセキュリティが求められるインターネットサービスを中心にパスワード認証の弱点を補完する認証方式の採用が進んでいます。どのようなものがあるか見ていきましょう。

二要素認証は、2つの異なる認証の要素を組み合わせることで本人認証の精度を高める方式です。認証の要素は、「記憶」「所持」「生体情報」の3つに分類されます。3つの要素を組み合わせる方式は「多要素認証」と呼ばれます。

記憶：本人のみが知っている情報によって利用者を認証します。パスワードやPIN、秘密の質問（「母の旧姓は？」「出生地は？」「ペットの名前は？」など）の回答などがこれにあたります。
所持：本人のみが所持している物によって利用者を認証します。ICカードやキャッシュカード、乱数表、トークン（一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器）などが該当します。スマホをトークンとして使用する場合は、SMS（ショートメッセージサービス）や認証用アプリなどで取得できる認証コードを入力します。
生体情報：本人の身体的特性にもとづく情報によって利用者を認証します。指紋や顔、静脈パターン、虹彩などがこれに該当します。

多くのネットバンキングなどの金融系Webサービスでは、記憶と所持の2つの要素を組み合わせた二要素認証が採用されています。送金などを行う際はIDとパスワードだけでなく、乱数表で指定された枠内の英数字や、事前に登録したスマホなどで取得できる認証コードの入力も必要になります。そのため、第三者によるログインはIDとパスワードのみの認証方式と比べて難しくなります。

リスクベース認証は、普段と異なる IP アドレスや OS 、Web ブラウザから認証要求（IDとパスワードによるログイン）があったときなど、第三者による不正アクセスのリスクが高いと判定された場合のみ追加の認証を求める方式です。追加の認証方法としては、あらかじめ設定された秘密の質問への回答を求めたり、事前に登録されたデバイスに届く認証コードを入力させたりするなどのパターンがあります。

Apple IDでは、記憶と所持の2つの要素を組み合わせた2ファクタ認証を提供しています。リスクベース認証も採用しており、新しく購入したデバイスではじめてAppleのサービスにログインした場合のみ、事前に登録したスマホなどで取得できる認証コードの入力が必要になります。信頼できるデバイスに追加されると、次回以降のログイン時に追加認証を求められることはありません。

フィッシング対策協議会が2019年2月、何らかの個人認証を実施しているインターネットサービス事業者（10業種・308名）を対象に行ったアンケート調査では、76.9％がパスワード認証しか行っていないことがわかりました。一方、二要素認証やリスクベース認証を採用していると回答したインターネットサービス事業者は21％にとどまり、複合的な認証方式の採用に遅れが見られます。

インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果
https://www.antiphishing.jp/news/pdf/wg_auth_report01_20190701.pdf

このため、インターネットサービス利用者は第三者によるアカウントの不正利用を防ぐための自衛策を講じることが必要です。そのポイントを確認しておきましょう。