Adobe Readerの旧バージョン(1～9、X、XI)を使い続けていませんか？　Adobe Readerは、PDFファイルを閲覧、印刷、保存するための便利なソフトです。多くのパソコンにあらかじめインストールされているため、無意識に利用している方もいるかもしれません。

しかし、Adobe Reader XIを含めそれ以前の古いバージョンを利用するのは避けるべきです。Adobe ReaderXIを含むそれ以前のものはすでにサポート期間が終了しています。そのため、もし新しく脆弱性（セキュリティの穴）が見つかっても、それを修正する更新プログラムが提供されないためです。（※Adobe Reader 8は2011年11月3日、Adobe Reader 9 は2013年1月31日、Adobe Reader X は2015年11月15日、Adobe Reader XIは2017年10月15日にサポートが終了しました）したがって、サポート終了後に見つかった脆弱性はそのまま残ってしまうので、そこを突いてくる攻撃に対して無防備な状態になってしまいます。

Adobe Readerでは脆弱性がたびたび確認されています。たとえば、Adobe Reader XIではサポート終了後、ソフトが異常終了したり、攻撃者にパソコンを制御されたりする脆弱性が見つかっています。 Adobe ReaderXI以下のバージョンを利用している方は、Adobe Acrobat Reader DCへ速やかに移行することをおすすめします。 （※バージョン DC より、Adobe ReaderはAdobe Acrobat Readerへ名称が変更されました）

2019年、フィッシング詐欺は引き続き個人や組織にとって大きな脅威になりそうです。さらに、人の心理や行動の隙を突くような手口とサイバー犯罪の技術を組み合わせた攻撃は、より巧妙化が進むと予測されます。2019年、私たちが気をつけたいネットの脅威と対策を紹介します。

2019年には、個人利用者を標的としたサイバー脅威の多様化が進むと予測されますが、具体的にどのような手口が流行すると考えられるのか知っておきましょう。

2019年は、ソーシャルエンジニアリングを駆使したフィッシング詐欺の激化が予想されます。ソーシャルエンジニアリングとは、人の心理を利用して意図する行動を相手にとらせる手法です。サイバー犯罪者はこの手法を悪用して意図したところにネット利用者を巧みに誘導します。たとえば、メールやSMS（ショートメッセージサービス）などのメッセージ機能で利用者が関心を持つ話題を投げかけ、不正なURLリンクや不正ファイルを開かせようとします。このような手口では、より多くの人からの関心が集まる話題が悪用されます。そのため、ラグビーワールドカップ2019や2020年開催予定の東京オリンピック、各国で実施予定の選挙などが2019年には狙われやすい話題となって便乗した詐欺サイトや偽情報が横行する可能性があります。

このような脅威に対しては、正規サイトの情報を必ず見るとともに、セキュリティソフトを使うことで、不正サイトや不正アプリへアクセスしようとしてしまっても守ってもらえるようにすることが大切です。

ソーシャルエンジニアリングを悪用したサイバー犯罪が巧妙化する中で、多くのネット利用者に対して影響力を持つ、数百万人のフォロワーを持つ有名人や人気ユーチューバーなどのアカウントを悪用する動きが本格化することも予測されます。サイバー犯罪者は乗っ取ったアカウントを使って偽情報を発信し、フォロワーをサイバー脅威に巧みに誘導しようとすると考えられます。

たとえ自分がフォローしている有名人のアカウントから送られたメッセージでも、URLリンクは不用意にクリックしないようにし、内容から真偽を確かめるように心がけましょう。

サイバー犯罪者は、すでに不正に取得した認証情報（IDとパスワード）を大量に保有しています。そのため、同一のIDとパスワードを複数のサービスで使い回していると、アカウントを芋づる式に乗っ取られるリスクが高まります。また、サイバー犯罪者は乗っ取ったアカウントや不正に入手した個人情報を利用して、SNS上のサイバープロパガンダ(世論を操作するために行うネット上の宣伝工作)に加担したり、口コミサイトなどに偽のレビューを投稿したりすることも考えられます。

このような脅威を回避するためにも、サービス毎に異なるIDとパスワードを設定し、利用しなくなったサービスは退会手続きをするなど、アカウントを放置しないようにしましょう。

2018年9月から、日本語で「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった趣旨のメールを送りつけ、受信者から金銭を脅し取るセクストーション（性的脅迫）スパムメールの手口が確認されています。2019年は、このセクストーションによる攻撃がより一層激しくなり、被害者が増加すると予測されます。

このような偽脅迫メールからの被害を防ぐには、セキュリティ関連団体や企業が発信する注意喚起を参考にして最新の手口を知るとともに、メールのフィルタリング機能を活用してスパムメールの受信を防ぐことが有効です。

2019年も組織の従業員を踏み台として、内部情報や金銭を狙うサイバー攻撃が横行すると予測されます。どのような手口が考えられるかを知り、被害を回避するための事前対策を行いましょう。

組織でのクラウドサービス利用や、働き方の多様化が進む中、自宅のネットワークを利用して組織内のデータやサービスにアクセスする利用者が増加傾向にあります。しかし、セキュリティ対策が施された組織のネットワークと比べ、対策が脆弱な家庭のホームネットワークは、サイバー犯罪者の侵入経路になる危険性をはらんでいます。

ホームネットワークからの情報漏えいや、サイバー攻撃の脅威を回避するためには、組織で行っている対策やルールを守るとともに、自宅のネットワークについてもセキュリティ対策が十分であるかどうか見直すことをおすすめします。

組織を狙うフィッシング詐欺でも、世界的なスポーツイベントや政治問題に便乗したフィッシングメールの拡散が予想されます。さらに、サイバー犯罪者によるSNS上での情報収集活動も活発化すると考えられます。彼らは、標的とする組織の従業員のプロフィールや人間関係などを把握した上で信ぴょう性の高いフィッシングメールを送りつけます。

悪意を持った第三者に不用意に情報を与えないためにも、組織で定められたSNS利用ポリシーを守り、定期的にSNSのプライバシー設定や公開情報を見直しましょう。

金銭や情報の窃取を目的としたビジネスメール詐欺（BEC）も、引き続き注意が必要です。これまでのビジネスメール詐欺は、経営幹部や取引先などになりすます手口が主でしたが、2019年はなりすます対象を広げ、幹部社員の秘書、財務部門の部長や課長といった役職者を狙った手口が登場する可能性があります。

このようなビジネスメール詐欺の手口による被害を防ぐには、組織で行う技術的なセキュリティ対策はもちろんですが、従業員一人ひとりが高い意識を持ち、組織内のルールやプロセスを守り、冷静な行動をとることが重要になります。

Wi-Fiを利用している家庭では、さまざまな機器がネットにつながっています。Wi-Fiによってリビングや寝室、書斎、キッチンなどの場所を問わず、家族みんなが同時にネットを楽しめるようになりました。ただ、ネットに没頭するあまり、仕事や学業、家族とのコミュニケーションがおろそかになったりしていませんか。

ネットの利用時にはセキュリティにも注意が必要です。たとえば、メールやSNS経由で不正サイトへ誘い込まれ、情報や金銭をだまし取られたり、ウイルスに感染させられたりする危険性があります。有害サイトを訪れてしまったり、見知らぬ相手とネット上でやり取りをしたことがきっかけで、子どものみならず大人も犯罪やトラブルに巻き込まれてしまうケースも少なくありません。

有害サイトへのアクセスや不適切なアプリの利用をブロックし、家庭のWi-Fiにつながるネットワーク機器を保護することができるセキュリティ対策を活用することが大切です。セキュリティ製品によっては、Wi-Fiが利用できる時間を設定することもできるので、仕事や学業、家族との時間を優先することにも役立ちます。アクセスできるWebサイトやアプリ、1日のネット利用時間の上限や利用可能時間帯などのルールについては、家族で話し合いながら決めてみましょう。普段からネット利用について話す機会を持つことで、トラブルに巻き込まれたり、不安を感じたときにも相談しやすくなります。家族でいつでも相談できるようにするのがポイントです。

また、パソコンやスマホ、タブレット端末で個別にセキュリティ対策製品を利用することも忘れてはいけません。見た目だけでは判別が難しい、詐欺サイトなどのネット上のさまざまな脅威からのリスクを軽減させることができます。また、まだ不慣れな家族やお子さんが利用する端末では、ペアレンタルコントロールを活用しましょう。年齢制限や課金を伴うWebサイトやサービスにアクセスしてしまうことを防いだり、ネットやアプリの利用時間に制限を設けたりすることができます。

ネットの利用時間を上手にコントロールし、家族と触れ合う時間も大切にしながらインターネットを安全、安心に活用しましょう。

2018年は、有名企業を騙ったフィッシング詐欺をはじめ、メールで受信者を脅迫するセクストーション、企業や組織を標的としたビジネスメール詐欺が猛威を振るいました。また、昨年猛威を振るったランサムウェアも依然活動を続けているほか、家庭内ネットワークを狙うサイバー攻撃が増加傾向です。2018年を振り返り、いま、私たちが注意すべきネットの脅威と対策を解説します。

2018年を代表する脅威の1つになったのは、フィッシング詐欺です。これは、実在する通販サイトや銀行、クレジットカード会社、各種インターネットサービスなどを装って、正規のログインページに見せかけた偽サイト（フィッシングサイト）へ偽のメールを使ってネット利用者を誘導するサイバー犯罪の手口です。この手口を使って、個人情報やクレジットカード情報、認証情報などを盗み出すのが目的です。

トレンドマイクロによると、2018年上半期（1月～6月）に国内からフィッシングサイトへ誘導された利用者数は290万人に上りました。１月～6月と比較するとやや減少傾向にはあるものの、7月～9月も前年同期比の約2.5倍にあたる79万人に迫り、高止まりの傾向を示しています。

今年のフィッシング詐欺で主に狙われたのは、クレジットカード情報や複数のインターネットサービスを利用できる共通アカウント（例：Apple ID、Amazonアカウント、Microsoftアカウントなど）の認証情報です。また、仮想通貨関連サービスの認証情報も狙われています。さらに、災害募金サイトを偽装し、人の善意につけ込んで金銭や情報をだまし取る手口も確認されています。サイバー犯罪者はあの手この手で情報を盗もうと攻撃を仕掛けてきます。いま流行している詐欺の手口を知り、被害に遭わないように対策を行いましょう。

2018年7月～9月には、セクストーション（性的脅迫）の新たな手口が確認されました。これまでのセクストーションは、ネット上で出会った異性に対して性的な写真や動画の交換を持ちかけ、それらの公開を脅迫材料に金銭を要求する手口として知られてきました。しかし、今年確認された新たな手口は、不特定多数に対して大量のスパムメールを送り付ける手法を使っています。「緊急対応！」「AVアラート」などの件名と「アダルトサイトを見ているときの様子を撮影した動画をばらまく」といった趣旨の文面を用いて500～ 800米ドル相当の口止め料をビットコイン(仮想通貨)で要求してくるものです。

さらに特徴的なのが、脅迫内容に信憑性を持たせる巧妙な手口です。たとえば、送信元メールアドレス（From:）を受信者自身のメールアドレスに偽装したり、受信者が何らかのインターネットサービスで実際に使用していたものと考えられるパスワードを本文内に記載して、受信者のアカウントがさも本当に乗っ取られたかのように信じ込ませようとします。このようなメールは日本のみならず複数の国でも同時期に確認されており、メール本文も各国の言語で展開されています。

トレンドマイクロによると、日本語での性的脅迫メールの大量送信は2018年10月に12回行われ、約5万2,000通が拡散しました。また、国内で初めて確認された9月19日から10月末日までに仮想通貨の宛先として示された22のビットコインアドレスに対しておよそ17BTC（日本円1,240万円相当、11月1日のレート1BTC＝729,089円で計算）が送信されたこともわかっています。このような脅迫の手口に対する対策ポイントもおさえておきましょう。

ビジネスメール詐欺（Business Email Compromise、BEC）は、2018年も企業や組織に深刻な被害を及ぼしました。ビジネスメール詐欺は、業務メールの盗み見を発端として経営幹部や取引先などを装ったメールを従業員に送りつけ、金銭や特定の情報をだまし取るサイバー犯罪です。

2018年7月には国内企業の最高経営責任者（CEO）を詐称する日本語の詐欺メールが初めて確認されました。トレンドマイクロによると、CEOを装って「機密扱いで相談したい」などと呼びかける同様の詐欺メールが複数の企業に送信されていたことがわかっています。この手口の場合、取引先を装うのに比べ比較的少ない情報量でも詐欺ができることから、日本においてもビジネスメール詐欺の被害を拡大させることが懸念されます。

さらに、国内の日本人が米国でのビジネスメール詐欺に関与した疑いで逮捕された事例も明らかになり、ビジネスメール詐欺を働く犯罪グループの協力者は国内にも存在すると考えられます。トレンドマイクロは、日本語を使ったビジネスメール詐欺が今後さらに勢いを増していくと予測しています。

昨年、一昨年と猛威を振るったランサムウェア（身代金要求型ウイルス）が、法人に深刻な被害を及ぼしています。ランサムウェアとは、パソコンやスマホをロックして操作不能にしたり、端末内のデータを暗号化して開けなくしたりし、復旧と引き替えに金銭を要求するウイルスです。個人を対象としたばらまき型メールによるランサムウェアの拡散攻撃は2017年に比べて急減した一方、法人でのランサムウェアの被害は継続的に報告されています。

トレンドマイクロによると、2018年7月～9月に確認されたランサムウェアの新種は55種類に上り、その出現数は攻撃総数に反して高水準で横ばいとなっています。たとえば、感染したパソコンからスパムメールを配信して他のパソコンにも被害を広げるものや、セキュリティ技術による検出の回避を試みるものも出現しました。ランサムウェアによる攻撃は、複数の個人を狙うよりも効率が良い法人に的を絞ったものに変化しています。個人としての対策はもちろん、法人におけるランサムウェア対策は引き続き重要な課題となっています。

家庭内ネットワーク（ホームネットワーク）に侵入し、通信内容を盗み見たり、ネットワークにつながっているさまざまな機器を不正に操作したりするサイバー攻撃が増加傾向にあります。トレンドマイクロは、2018年7月～9月期に、トレンドマイクロのセキュリティ対策技術が搭載された全世界のホームルータのうち、約2割で攻撃を示唆するイベントを確認しました。

いまや、パソコンやスマホだけでなく、スマートテレビ、ネットワークカメラ、スマートスピーカーなどのさまざまなIoT機器もルータを介してホームネットワークにつながっています。こうした家庭のネット環境の変化とともに、セキュリティで守るべき範囲も広がっています。ホームネットワークを安全に保つポイントを確認しておきましょう。

クレジットカードを利用したオンライン決済は、いまや当たり前の時代になりました。一方で、ネット利用者がクレジットカード情報をだまし取られ、不正利用される被害も横行しています。

その代表的な脅威の1つがオンライン銀行詐欺ツールです。これはもともとネットバンキングの認証情報をだまし取るウイルスとして知られてきましたが、いまやそのほとんどがクレジットカード情報も狙っています。実際、パソコンに侵入したオンライン銀行詐欺ツールは、ネット利用者によるカード会社のログインページへのアクセスを検知すると、そのページにかぶせるように偽の情報入力フォームを表示します。そこで通常のログイン時には尋ねられないカード番号や有効期限、セキュリティコードなどを入力させ、それらの情報を不正に入手するのです。

オンライン銀行詐欺ツールの侵入を防ぐ3つのポイントを押さえておきましょう。

※クレジットカードの利用明細に不審な取引を見つけたら…
利用明細やメールでの通知をチェックして、もし不審な取引を見つけた場合は、クレジットカード会社に連絡して利用停止の手続きを行いましょう。その際、利用しているパソコンなどにウイルス感染の疑いもあるため、セキュリティソフトでスキャンを行い、ウイルスが見つかった場合は駆除をしてください。ネットでのクレジットカード利用が不安な場合は、ネット決済専用のバーチャルカードの利用も検討しましょう。カードそのものは発行されず、カード番号を任意のタイミングで変更できるため、不正利用対策としても有効です。

家庭のWi-Fi環境に侵入し、接続されているパソコンやスマホの通信内容を盗み見たり、スマート家電やWebカメラなどのIoT機器を不正に操作したりするサイバー攻撃が勢いを増しています。年末年始などのまとまった休みに、自宅や帰省先のネットワーク環境を見直してみることをおすすめします。ホームネットワークのセキュリティ成熟度をチェックし、適切な対策を行いましょう。