ビジネスメール詐欺やランサムウェア、標的型メールは、規模や地域、業種に関係なく、あらゆる組織が遭遇するかもしれない脅威です。これらの攻撃は、従業員に送りつけられるメールが起点となる場合があります。職場を危険にさらさないよう、また自身が当事者になってしまわないよう、攻撃の手口と従業員一人ひとりが実践できる対策を押さえましょう。

組織を狙うサイバー攻撃の勢いは一向に衰える気配を見せません。トレンドマイクロが2018年9月、民間企業、および官公庁自治体における情報セキュリティの意思決定者（および意思決定関与者）1,455人を対象に行った法人組織におけるセキュリティ実態調査では、4割を超える組織が情報漏えいや金銭詐取、業務停止といったビジネスに影響を及ぼす重大な被害を経験していることがわかりました。

組織を狙うサイバー攻撃は、従業員に送りつけられるメールが発端となる場合も少なくありません。代表的な例として「ビジネスメール詐欺」「ランサムウェア」「標的型メール」の3つの手口を見ていきましょう。

ビジネスメール詐欺（BEC：Business Email Compromise）は、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。特徴の1つは、業務メールの盗み見や、ネット上の公開情報の調査などを通じて従業員を欺くための情報を事前に収集することです。標的企業で進行している取引や人間関係などを把握した上でもっともらしいメールを作成、送信し、従業員から金銭や情報を引き出します。

最高経営責任者や経営幹部になりすました送金指示メールを経理担当者などに送りつけ、サイバー犯罪者の口座へ送金させる手口はその典型です。取引先になりすましたメールに偽の請求書を添付し、振込先の変更を依頼するパターンもあります。サイバー犯罪者はメールのやり取りを盗み見て状況を把握し、振り込みが発生するタイミングで偽メールを送りつけてくるため、従業員は何の疑いもなく指示に従ってしまう恐れがあります。

世界的な被害が話題となったランサムウェア（身代金要求型ウイルス）による攻撃は、個人だけでなく、組織も標的としています。これは、パソコンやスマホ本体を操作不能にしたり、端末内のファイルを暗号化して開けなくしたりして、元に戻す条件として金銭の支払いを要求します。組織の場合は端末内のファイルのみならず、サーバ上の共有ファイルまで暗号化されて甚大な被害となる可能性があります。トレンドマイクロの調査によると、2019年上半期（1月～6月）において国内法人によるランサムウェア感染被害報告件数は前年同期比の約1.7倍にあたる37件に上りました。個人に比べ、重要な情報を大量に所有している組織は、犯罪者にとって多額の身代金を要求する格好の標的となり得るのです。

ランサムウェア拡散の手段はいくつかありますが、メールもその1つです。過去には、業務関連と錯覚させるようなメールを従業員に送りつけ、不正な添付ファイルを開かせたり、不正なURLをクリックさせたりする手口が確認されています。具体的には、「請求書」を装った不正な添付ファイルを送り付けたり、求人への応募を装い、履歴書のように見せかけた不正ファイルをクラウドからダウンロードさせたりする事例が報告されています。
メール以外にも、従業員がランサムウェアに感染した私用のパソコンやスマホ、USBメモリなどを勤務先のパソコンにつないだことが感染のきっかけとなる場合もあるため併せて注意が必要です。

一度、勤務先のパソコンにランサムウェアが入り込むとネットワークを通じてさまざまなコンピュータに感染が広がり、原因の究明からデータの復旧、業務の再開に至るまでに莫大な時間と労力、費用がかかることがあります。また、バックアップがない場合には、データが復旧できない状態で業務の再開を目指すことになるでしょう。

標的型メールとは、重要情報や多額の金銭などを目的とし、特定の法人組織を狙って、巧妙な偽のメールを送り付ける手口です。だまされた結果、その組織を狙う標的型攻撃の踏み台にされる恐れがあります。標的型攻撃は事業継続を脅かす深刻な被害につながる危険性の高い脅威です。たとえば、標的型メールによって従業員のパソコンに遠隔操作ツール（RAT）などのマルウェア（ウイルスなど悪意を持ったソフトウェアの総称）を感染させ、標的のネットワークに侵入することで情報を盗み出したり、別のマルウェアをダウンロードさせたりするなどの活動を行います。

標的型メールの手口でもBEC同様、実在する部署や人物、取引先など、怪しまれない相手を装ったメールを従業員に送りつけます。クラウドメールサービスを利用している組織に対しては、そのアカウントを窃取してメールの盗み見などを行うために、サービス事業者を装うメール経由で偽のログイン画面に誘導し、認証情報を盗み取る手口が報告されています。また、医療費通知に見せかけた添付ファイルを開かせてRATに感染させる手口も確認されています。他にも、「あなたの組織へのなりすましメールを転送するので確認してほしい」などと外部からの問い合わせを装って不正な添付ファイルを開かせる標的型メールも確認されました。

このように、標的型メールは受信者に不正なものと気づかれないように巧みに偽装しています。
トレンドマイクロが2019年1月～6月の間に全世界で検出した脅威総数の内、9割はメールによる脅威でした。すなわち、サイバー攻撃の主な起点はメールであると言えます。

ビジネスメール詐欺やランサムウェア、標的型メールは、あらゆる組織に降りかかる可能性があります。これらのサイバー攻撃は標的の従業員をだますことを前提としており、だれをターゲットにするかわかりません。従業員一人ひとりが当事者意識を持ち、職場や取引先を危険にさらさないよう慎重に行動することが求められます。組織に属する社会人が実践すべき5つの対策を紹介します。

オンラインゲームのアカウントを乗っ取られ、ゲーム内のアイテムや通貨などを盗まれてしまう被害が報道されています。時間やお金を費やしてようやく手に入れたアイテムなどを突然失ってしまった被害者のショックは大きいでしょう。

こうした被害に遭う原因の多くは、オンラインゲームの認証を突破されてしまったことにあります。悪意のある第三者は、フィッシング詐欺などの方法で認証情報（IDとパスワード）をだまし取ったり、複数のインターネットサービスで使い回されている認証情報を何らかの方法で入手したりしてアカウントに不正ログインし、アイテムなどを奪い取るのです。

自衛策の基本は、アカウントを厳重に管理することです。オンラインゲームを含め、複数のインターネットサービスごとに異なるIDとパスワードの組み合わせを使用してください。ただし、IDとパスワードによる1要素の認証方法では、第三者にIDとパスワードを探り当てられたり、盗まれたりしてしまうと認証を破られてしまいます。IDとパスワード以外の認証方法（多要素認証）が用意されている場合、それらも併せて利用しましょう。
また、ゲーム内チャット経由でのトレード話やリンク先への誘導にも十分に注意してください。

普段からオンラインゲーム事業者やセキュリティ事業者などが公表する注意喚起情報に目を通し、詐欺の手口を知っておくことも大切です。アカウント乗っ取りによる被害を防ぐための7つのポイントを確認しておきましょう。

みなさんは、使わなくなったパソコンをどのように処分しますか。売却、譲渡、廃棄にあたっては、パソコン内の重要なデータが漏えいしてしまうリスクを回避しなければなりません。パソコンを安全に処分する方法を紹介します。

2020年1月14日のWindows 7サポート終了を機にパソコンの買い替えを検討している方も多いのではないでしょうか。新しいパソコンへの移行が済んだら、使わなくなったパソコンを安全に処分する方法も確認しておきましょう。

みなさんは不要になったパソコンを処分するとき、どのようなことを心がけていますか。パソコンを手放す場合は、HDD（ハードディスクドライブ）やSSD（ソリッドステートドライブ）内のデータが第三者の手に渡ってしまうリスクを回避することが重要です。

HDDとは円盤状の記憶装置で、ディスクを回転させて磁気的に情報を書き込んだり消したりしています。一方SSDは半導体メモリ（フラッシュメモリ）を記憶装置としたもので、電気的制御によって情報を記憶しています。パソコンの中には、HDDとSSDの両方、もしくはどちらかが内蔵され、そこにさまざまなデータが記録されています。アドレス帳などの個人情報や写真、動画、文書だけでなく、場合によってはクレジットカード情報やインターネットサービスの認証情報（IDとパスワード）、業務関連情報なども含まれているでしょう。そんなパソコンを不用意に処分すると重要なデータを第三者に抜き取られ、悪用されてしまうかもしれません。

みなさんは、パソコンの処分にあたってHDDやSSD内のデータを完全に消去するとき、どのような方法をとりますか。対象のファイルやフォルダをゴミ箱に入れ、「ゴミ箱を空にする」を実行するだけでよいでしょうか。HDDやSSDを初期化したり、パソコンのリカバリを実行して工場出荷時の状態に戻したりすれば目的が達せられるでしょうか。実は、これらの方法をとってもデータそのものは消去されずに残ります。データ復元ソフトを使えば、表面上は見えなくなっているデータを容易に復元できてしまうのです。では、情報漏えいを防ぐためにはパソコンを処分する前に何をすればよいのでしょうか。

処分するパソコンのデータを復元できないようにする前に、必要なデータは必ず新しい機器や外付け記憶装置、クラウドサービスなどに保存し、移行先で問題なくファイルを開けることを確認してください。また、パスワード管理ソフトなどを使用し、利用しているネットサービスのパスワードを新しい機器にも引き継げるようにしておきましょう。さらに、データ消去ソフト等を利用する場合には、パソコンの周辺機器などもすべて外すことも忘れないでください。それらを接続したままでは、不完全なデータ消去、必要なデータの消去や破損につながる可能性があるためです。これらの確認が終わったら、作業を開始しましょう。
業務で利用しているパソコンについては、勤務先のルールに従って処分してください。新しいパソコンへのデータ移行時に勤務先が許可していないデバイスやクラウドサービスを利用するのは厳禁です。

パソコンを処分するのはHDDやSSDから重要なデータが漏えいしないという確信を得られてからにしましょう。処分方法は大きく、売却、下取り、譲渡、廃棄の4つあります。いずれの場合も確実に情報を消去してから処分するようにし、専門業者を利用する場合は複数を比較した上で信用できるサービスを選択しましょう。データ消去サービスが付帯されている場合もありますが、念のため自身で可能な限りデータを消去してから引き取ってもらう方がより安全でしょう。

家族に譲渡する場合については、次の利用者のために基本的なセキュリティ対策を行ってから渡すと良いでしょう。未成年やネットに不慣れな家族のだれかに譲り渡す場合は、安全に使える環境を用意してあげることが重要です。そのポイントは、セキュリティソフトを入れて最新の状態にしておくこと、OSやソフトを最新バージョンにアップデートしておくことです。これにより、ネット詐欺やウイルス感染にさらされるリスクが軽減します。また、ペアレンタルコントロールなどのサポート機能を適用し、不適切なWebサイトへのアクセスを防いだり、ネットやソフトの利用時間を制限したりすると良いでしょう。家庭のWi-Fiに接続される機器が複数ある場合は、ホームネットワーク全体を保護してくれるセキュリティ製品の利用もおすすめです。

故障などにより引き取り手のないパソコンは廃棄もやむなしです。ただし、パソコンを勝手に不燃ゴミとして捨ててはいけません。パソコンは資源有効利用促進法のリサイクル品目に指定されているためです。「PCリサイクルマーク」が付いているパソコンの場合、メーカーに連絡をすれば無料で引き取ってくれます。PCリサイクルマークがないパソコンや自作パソコンについてはパソコン3R推進協会に回収を依頼し、リサイクル料金を支払いましょう。また、小型家電リサイクル法に基づき、自治体によっては回収ボックスを設置してパソコンの回収、リサイクルを行っている場合もあります。小型家電リサイクル法の認定業者に回収を依頼すれば無料で引き取ってもらえることもあります。その際、故障などでデータ消去ソフトや暗号化ツールが使えない場合は、専門業者に物理的な方法でデータを消去してもらってから廃棄するようにしましょう。

一般社団法人パソコン３Ｒ推進協会
http://www.pc3r.jp/

スマホ決済が普及の兆しを見せています。これは、店舗やショッピングサイトでの買い物の支払いをスマホ1つで完結できる仕組みです。

スマホ決済はとても便利な決済手段ですが、悪意のある第三者に不正利用されるリスクもあることを心得ましょう。実際、スマホ決済サービスのアカウントを乗っ取られ、勝手に商品を購入される被害が発生しています。

スマホ決済の不正利用に遭う原因はいくつか考えられますが、その１つとして不正ログインがあげられます。フィッシング詐欺によって決済サービスの認証情報（IDとパスワード）を詐取された場合や、複数のインターネットサービスで決済サービスと同一のIDとパスワードを使い回しており、その組み合わせが漏えいしてしまった場合、不正ログインの被害に遭う可能性が高まります。

さらに、クレジットカード情報（カード番号、有効期限、セキュリティコード）が漏えいしてしまった場合も被害に遭うことが想定されます。悪意のある第三者は、何らかの方法で入手したクレジットカード情報を手元のスマホの決済アプリに登録し、勝手にチャージした上で商品を購入するのです。

フィッシング詐欺対策として、メールやSMS、広告などから誘導されたWebサイトではなく、必ず正規サイトからログインするようにしましょう。また、ログイン手順としてIDとパスワードに加え、ワンタイムパスワードのような多要素認証を採用しているなど、不正利用対策が講じられているサービスを選択してください。そして、決済サービスの利用履歴や連携している銀行口座、クレジットカードの明細を、最低でも月に1回は確認することを心がけましょう。
被害に遭ったら速やかに利用停止の手続きを行えるよう、利用している各サービスや金融機関の連絡先、被害の相談先を予め確認しておくことも大切です。

インターネットサービスのアカウントを不正利用される被害が相次いでいます。サイバー犯罪者はさまざまな方法で他人のIDとパスワードを盗み出したり、探り当てたりしてサービスに不正アクセスし、金銭や情報を不正に取得しようとしています。第三者によるアカウントの不正利用を防ぐための6つの自衛策を紹介します。

SNSやクラウドストレージ、ショッピングサイト、ネットバンキングなど、ほとんどのインターネットサービスにログインするときはパスワード認証が求められます。これは、ログイン時に利用者本人だけが知るIDとパスワードを入力することで認証を得る方式です。

ただ、パスワード認証は必ずしも安全とは言えなくなっています。IDとパスワードを第三者に盗まれたり、探り当てられたりしてしまうと認証を破られてしまうためです。

実際、IDとパスワードをだまし取られ、各種インターネットサービスのアカウントを不正利用される被害が後を絶ちません。その手口の最たるものがフィッシング詐欺です。このほか、アカウントを乗っ取る手口にはプログラムによってパスワードに使用できる文字種の組み合わせを片っ端から試していく総当たり攻撃もあり、IDとパスワードだけで本人か否かの認証の精度を担保することは難しくなっています。

金融機関などの高いセキュリティが求められるインターネットサービスを中心にパスワード認証の弱点を補完する認証方式の採用が進んでいます。どのようなものがあるか見ていきましょう。

二要素認証は、2つの異なる認証の要素を組み合わせることで本人認証の精度を高める方式です。認証の要素は、「記憶」「所持」「生体情報」の3つに分類されます。3つの要素を組み合わせる方式は「多要素認証」と呼ばれます。

記憶：本人のみが知っている情報によって利用者を認証します。パスワードやPIN、秘密の質問（「母の旧姓は？」「出生地は？」「ペットの名前は？」など）の回答などがこれにあたります。
所持：本人のみが所持している物によって利用者を認証します。ICカードやキャッシュカード、乱数表、トークン（一定時間おきに変更され、一度しか使えないワンタイムパスワードを生成する機器）などが該当します。スマホをトークンとして使用する場合は、SMS（ショートメッセージサービス）や認証用アプリなどで取得できる認証コードを入力します。
生体情報：本人の身体的特性にもとづく情報によって利用者を認証します。指紋や顔、静脈パターン、虹彩などがこれに該当します。

多くのネットバンキングなどの金融系Webサービスでは、記憶と所持の2つの要素を組み合わせた二要素認証が採用されています。送金などを行う際はIDとパスワードだけでなく、乱数表で指定された枠内の英数字や、事前に登録したスマホなどで取得できる認証コードの入力も必要になります。そのため、第三者によるログインはIDとパスワードのみの認証方式と比べて難しくなります。

リスクベース認証は、普段と異なる IP アドレスや OS 、Web ブラウザから認証要求（IDとパスワードによるログイン）があったときなど、第三者による不正アクセスのリスクが高いと判定された場合のみ追加の認証を求める方式です。追加の認証方法としては、あらかじめ設定された秘密の質問への回答を求めたり、事前に登録されたデバイスに届く認証コードを入力させたりするなどのパターンがあります。

Apple IDでは、記憶と所持の2つの要素を組み合わせた2ファクタ認証を提供しています。リスクベース認証も採用しており、新しく購入したデバイスではじめてAppleのサービスにログインした場合のみ、事前に登録したスマホなどで取得できる認証コードの入力が必要になります。信頼できるデバイスに追加されると、次回以降のログイン時に追加認証を求められることはありません。

フィッシング対策協議会が2019年2月、何らかの個人認証を実施しているインターネットサービス事業者（10業種・308名）を対象に行ったアンケート調査では、76.9％がパスワード認証しか行っていないことがわかりました。一方、二要素認証やリスクベース認証を採用していると回答したインターネットサービス事業者は21％にとどまり、複合的な認証方式の採用に遅れが見られます。

インターネットサービス提供事業者に対する「認証方法」に関するアンケート調査結果
https://www.antiphishing.jp/news/pdf/wg_auth_report01_20190701.pdf

このため、インターネットサービス利用者は第三者によるアカウントの不正利用を防ぐための自衛策を講じることが必要です。そのポイントを確認しておきましょう。

パソコンやスマホでWebサイトを見ていると、突然身に覚えのない会員登録や、請求画面、セキュリティ警告などのメッセージが表示されるかもしれません。こうしたメッセージは、アダルトサイトや出会い系サイトなど、成人向けのWebページを閲覧している際にだけ表示されるとは限りません。どのようなWebサイトを見ていても遭遇する可能性があります。しかし、そのほとんどは偽物です。このようなネット詐欺の手口では、利用者から金銭や情報をだまし取ることを目的としています。表示を無視し、落ち着いて行動しましょう。

iPhone をより安全に利用するにはどのようなセキュリティ対策が必要でしょうか。利用者が危険にさらされる可能性のある事例を知り、パソコンやAndroid OSを搭載するスマホと同様に、セキュリティ対策を行いましょう。iPhoneを安全に利用するための5つのポイントを紹介します。

発売以降毎年新モデルが発表されるiPhone。新シリーズの発売を心待ちにしている方も多いのではないでしょうか。iPhoneを手に入れたらまず確認したいのがセキュリティです。iPhoneもAndroid OSを搭載するスマホと同じように、さまざまな脅威にさらされています。

iPhoneを取り巻く代表的な脅威の1つがネット詐欺です。これは、ネット利用者を不正サイトへ誘導し、金銭や情報をだまし取る手口の総称です。たとえば、Appleのサポートを名乗るメールで「アカウントが一時的に無効になっています」などと通知し、受信者にURLを開かせることでAppleのログインページに似せたフィッシングサイトへ誘導する手口が確認されています。それを本物と誤認してApple IDとパスワードを入力すると、アカウントのロックの解除などを理由に個人情報やクレジットカード情報の入力も促されます。騙されて入力すると、それらの情報がサイバー犯罪者の手に渡ってしまいます。

偽のウイルス感染警告を表示し、迷惑ソフトなどをインストールさせようとるす偽警告の手口にも注意が必要です。パソコンやAndroid OSを搭載するスマホと同じように、iPhoneでも同様の手口が報告されています。

SMS（ショートメッセージサービス）もiPhoneユーザを不正サイトへ誘導する手段として悪用されています。実在する企業をかたった偽装SMS内のURLリンクを開くと、「ネットワークセキュリティのアップグレード」などを口実に不正なiOS構成プロファイルのインストールを促されます。

iOS構成プロファイルは、iOS のシステムやセキュリティに関連する各種設定を記載したファイルで、iOSデバイスにインストールするとその設定を一括で適用できます。今回の事例では、不正なiOS構成プロファイルをインストールしてしまうと端末やSIMカードの固有情報、OSのバージョンや製品情報を窃取されることがわかりました。また、この構成プロファイルのインストール後、さらにAppleや配送事業者などに偽装したフィッシングサイトに誘導されてしまいます。

iPhoneも不正アプリと無関係ではいられません。不正アプリは、スマホ内に入り込んで不正行為を働くアプリの総称です。万一、不正アプリをインストールしてしまうと、端末を不正操作されたり、端末内の情報を窃取されたり、不正サイトへの誘導口となる広告をしつこく表示されたりする可能性があります。

iOS向けの不正アプリのほとんどはAppStoreと呼ばれる公式のアプリストア以外のWebサイト（非公式ストア）で配布されています。このため、不正アプリの主な標的となるのはiOSの制限を解除し、非公式ストアの利用を可能にする改造行為「Jailbreak（脱獄）」を行っているiPhoneユーザです。一方で、デバイスを脱獄させなくても非公式アプリをインストールできるWebサイトやツールもネット上で確認されています。危険なので利用は控えましょう。

審査をすり抜けた不正アプリがApp Storeに公開されてしまうケースもあります。正規のアプリと似たタイトル名やアイコンなどを使って本物を装う偽アプリに注意が必要です。App Storeでは過去に、iOS端末利用者を非公式ストアへ誘導し、脱獄アプリをインストールさせる不正アプリが確認されました。

みなさんは、iPhoneやMac(iOS 7またはOS X Yosemite10.10以降などに搭載)などで利用できる「AirDrop（エアドロップ）」という機能をご存知ですか。これは、近くにあるApple社製のデバイス間で写真やビデオ、URL、位置情報などをワイヤレスで送受信できる機能です。その手軽さから、友人との情報共有にAirDropを活用している方も多いのではないでしょうか。

AirDropは、Wi-Fiと Bluetoothを双方で有効にするだけで、連絡先を交換しなくても情報をやり取りできるためとても便利です。しかし、その設定によっては悪意を持った第三者に悪用されるリスクもあります。

その代表例としてあげられるのが、「AirDrop痴漢」「サイバー露出」「AirDropテロ」などと呼ばれている犯罪です。これは、Airdropで送信した画像のプレビューが自動的に相手のデバイスの画面上に表示されることを悪用し、他人のデバイスに卑猥な画像を送りつける行為です。
このような痴漢行為を働く際、犯罪者はAirDropのアイコンに表示される表示名を確認し、その対象を選別します。さらに、プレビュー画像が表示される際の反応や着信音によって、デバイスの所有者を特定する可能性もあります。

このような被害に遭わないためにも、AirDropでは不特定多数から情報を受信しないように設定しておきましょう。iPhoneでは、ホーム画面の「設定」から「一般」へ進み、「AirDrop」をタップすると次の画面が表示されます。

受信しない：AirDropを使った情報のやり取りができなくなります。
連絡先のみ：連絡先の登録者に限り、情報をやり取りできます。
すべての人：AirDrop搭載デバイスを所持するすべての人と情報をやり取りできます。

AirDropを使わないときは、なるべく「受信しない」に設定してください。少なくとも「連絡先のみ」にしておけば、見知らぬ人からの情報の受信を回避できます。
また、連絡先に登録していない人と情報をやり取りする際に「すべての人」に切り替えたら、送受信完了後に「受信しない」か「連絡先のみ」に戻しておきましょう。

さらに、AirDropを使う場合は、iPhoneやiPadなどに名前（デバイス名）を本名で登録するのは避けた方が賢明です。AirDropの受信条件を「すべての人」にした際、周囲のあらゆる人の送信先候補にあなたのデバイス名「●●（本名）のiPhone」と表示されてしまうためです。悪意を持った第三者に、性別や特徴、名前を悟られないようデバイス名は自身だけが判別できるような名称に変更しておきましょう。iPhoneホーム画面の「設定」から「一般」、「情報」へ進み、「名前」をタップすれば、デバイス名を変更できます。アイコンに写真を利用する場合も、個人が判明してしまうものは避けましょう。