スマホ利用者を不正サイトへ誘導する手段の1つとしてSMSが悪用されています。サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけてくるため、予備知識のないスマホ利用者はSMS内のURLリンクを開いてしまいがちです。偽装SMSの手口と対策を押さえておきましょう。

スマホ利用者を標的とするネット詐欺の勢いは増すばかりです。トレンドマイクロの調査では、不正サイトへ誘導された国内モバイル利用者数は2021年に450万件を突破しています。

不正サイトの入り口になっているのはいまやメールだけではありません。SMS（ショートメッセージサービス）もその1つです。SMSは電話番号を宛先にテキストメッセージを交換できるサービスです。確認コードの受け取りにSMSを利用している方も多いのではないでしょうか。しかし、相手の電話番号さえ知っていればメッセージをやり取りできるSMSは、サイバー犯罪者がスマホ利用者を不正サイトへ誘導する手段として悪用されがちです。電話番号の形式にしたランダムな数字を用意するだけで不特定多数に不正なメッセージをばらまくことができるためです。

サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。その主な狙いは不正サイトへ誘い込み、情報や金銭をだまし取ることです。ここから偽装SMSの手口を見ていきましょう。

実在する配送業者をかたり「不在のため持ち帰りました。配送物をご確認ください」などと案内する不在通知メッセージはその一例です。大手ショッピングサイトを装って「商品発送状況はこちらにてご確認ください」などと通知するものもあります。さらに、携帯電話事業者を装って「キャリア決済が不正利用された可能性があります」と告知したりする手口も確認されています。しかし、それらはデタラメで、スマホ利用者の注意をひく演出に過ぎません。

こうしたSMSによる案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトなどの不正サイトに誘導されます。たとえば、Android端末では「セキュリティ向上のため、最新バージョンのChromeにアップデートしてください」というポップアップを表示する不正サイトに行きつく場合があります。そこで「OK」ボタンを押すと、Chromeの更新ファイルに見せかけた不正アプリのダウンロード、およびインストールを促されます。それに応じてしまえば、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりするかもしれません。

また、Google Playを模した偽サイトに誘導され、公式アプリを装う偽アプリをインストールさせられるかもしれません。

iPhoneではAppleや金融機関のログインページに似せたフィッシングサイトに転送される場合があります。それらを正規のログインページと誤認してApple IDとパスワード、顧客番号やログインパスワード、暗証番号、生年月日などを入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。

「ネットワークセキュリティのアップグレード」を口実に不正なiOS構成プロファイルのインストールを促すWebページへ誘導されるケースも確認されました。iOS構成プロファイルは、iOSのシステムやセキュリティ関連の各種設定が記載されたファイルで、iOS端末にインストールするとその設定を一括で適用できます。もし不正なiOS構成プロファイルをインストールしてしまった場合、端末やSIMカードの固有情報、OSのバージョンや製品情報を窃取される可能性があるため注意してください。

企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。サイバー攻撃と一口に言ってもその手口や種類はさまざまです。中にはコンピュータの「脆弱性」を悪用することで企業内ネットワークに侵入し、マルウェア感染や情報漏えいなどの被害をもたらすものもあります。事業部門の従業員が注意するべき脆弱性と対策を紹介します。

脆弱性は、プログラムの設計ミスなどが原因で生じるセキュリティ上の弱点で、マルウェア感染や不正アクセスの要因となる不具合です。OS（基本ソフト）やソフトには脆弱性がつきもので、サイバー攻撃を受けることによって初めてその存在が明らかになるものもあります。たとえば、サイバー犯罪者によって改ざんされたWebサイト（脆弱性攻撃サイト）の閲覧や、メールに添付されたファイルの開封がきっかけでパソコンがマルウェアに感染してしまうことがあります。こうした攻撃で悪用されるのが脆弱性です。ここから事業部門の従業員が行うべき脆弱性対策について見ていきましょう。

日々の業務遂行に欠かせないパソコンのOSやソフトにも脆弱性が存在します。通常、OSやソフトに脆弱性が見つかった場合、その開発元は速やかに脆弱性を修正するための更新プログラムを作成し、ユーザに無償で提供します。ユーザはそれを適用することでOSやソフトを安全に使い続けることができます。

一般に大企業は、統合管理ツールなどを用いることで多数のパソコンに更新プログラムを計画的に配布し、あらかじめ指定した日時に一斉適用できる体制をとっています。複数のパソコンを一括管理する仕組みを備えていない企業については、システム管理者が従業員に更新プログラムの適用を個別に依頼するケースなどがあげられます。

一般に、OSやソフトの開発元から更新プログラムが提供された場合は速やかに適用することが推奨されます。ただし、企業によっては更新プログラム適用による社内システムへの影響を事前に検証し、その緊急性や安全性を確認した上でアップデートのタイミングを従業員に指示する場合もあります。従業員には企業に定められた方法、手順、タイミングでOSやソフトをアップデートすることが求められるのです。

また、私たちはWindowsの標準ブラウザであるInternet Explorer（IE）を、少なくとも9カ月以内にMicrosoft Edgeなどの最新ブラウザに移行しなければなりません。Windows 10におけるデスクトップアプリとしてのIEが2022年6月15日にサポート終了になるためです。サポート期限切れのソフトは脆弱性が見つかっても、それを修正する更新プログラムが配布されません。つまり、脆弱性をそのまま放置せざるを得ず、マルウェア感染や情報漏えいなどのリスクが日増しに高まってしまうのです。業務用パソコンの既定ブラウザをIEからMicrosoft Edgeなどに切り替えるようシステム管理者から指示があった場合は速やかに従ってください。

企業によっては、商品やサービスの認知度アップ、販売促進などを目的としたキャンペーンサイト、およびECサイトを事業部門ごとに立ち上げるケースもあるでしょう。その設計・開発、運用・保守においてセキュリティの観点で欠かせないのがコンテンツ管理システム（CMS：Webサイトのコンテンツを構成するテキストや画像、デザイン・レイアウト情報などを一元管理するシステム）の脆弱性対策です。CMSの脆弱性を放置しているとどうなるでしょうか。Webサイトを不正に書き換えられ、マルウェア拡散の踏み台にされることがあります。またECサイトの決済画面を改ざんされ、そこで利用者が入力したクレジットカード情報を盗み取られるかもしれません。利用者に実害が及んでしまった場合、運営元である企業の管理責任を問われ、社会的な信用も失墜することになるでしょう。

CMSの運用・保守をオーナーである事業部門が担っている場合は、脆弱性情報の収集と修正パッチの迅速な適用を徹底してください。外部事業者に委託している場合は、契約書に明記されているとおりに脆弱性対策が行われていることを確認しましょう。

期間限定の特設サイトなどを公開したまま放置するのも避けてください。CMSのアップデートがおろそかになりがちで、Webサイト改ざんなどの被害に遭うリスクが高まるためです。不要になったWebサイトは速やかに閉鎖することをおすすめします。

企業にはシャドーITと脆弱性の問題もあります。シャドーITは企業が許可していない、あるいは利用ルールを設けていないIT機器やソフトなどを従業員がビジネスシーンに持ち込むことを指します。事業部門が企業やシステム部門の承認を得ることなく独自にIT機器やソフトなどを導入・利用することもそれに含まれます。

シャドーITはセキュリティ統制の観点で忌避すべきものです。シャドーITが行われると、システム部門が企業のIT環境の全容を把握できず、脆弱性などのセキュリティリスクを正確にとらえられないためです。当然、無断で使われるIT機器やソフトにはシステム部門の管理が行き届かず、それぞれの脆弱性対策は運用者の裁量に委ねられてしまいます。このため、厳しいセキュリティルールを定めている企業の多くは、従業員や事業部門が無断でIT機器やソフトなどを導入し、それらを業務利用することを認めていないのです。

ルールにはそれが作られた理由があります。禁止されているのであれば、それに従うのが従業員の務めです。企業やシステム部門が許可していないIT機器やソフトを業務に使いたい場合は必ず正式な申請・承認プロセスを経てください。ビジネスシーンへの持ち込みを許可された場合は企業のルールに従って脆弱性対策を行うことが重要です。

営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第3回目です。今回はインターネットサービスの利用に伴う情報漏えいパターンと従業員が行うべき対策を紹介します。

テレワークが普及し、Webメールやビジネスチャット、クラウドストレージ、Microsoft 365（旧Office 365）などを便利に使っている人も多いのではないでしょうか。そういうときにも、情報漏えいリスクについて考えておかなければなりません。外部からの不正アクセスなどによりネット上に保管された業務情報が流出してしまう事案もたびたびメディアで報じられています。インターネットサービスの利用に伴う主な情報漏えいパターンを見ていきましょう。

サイバー犯罪者は不正に入手したアカウント情報（IDとパスワード）を使って被害者のアカウントに不正ログインし、情報を盗み出します。

彼らはどのような方法でアカウント情報を入手するのでしょうか。代表的な手口がフィッシング詐欺です。これは、ネット利用者を正規サービスのログインページなどを装った偽サイト（フィッシングサイト）におびき寄せ、そこで入力されたアカウント情報などを盗み出すものです。

フィッシングサイトへの主な誘導手段はメールやSMS（ショートメッセージサービス）です。実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。たとえば、人事担当者を装って「業務メールシステムへの再ログインが必要」などと呼びかけるフィッシングメールが確認されています。

サービス利用者のアカウント管理の隙を突く不正ログイン事案も少なくありません。「異なるパスワードを考えるのが面倒」などの理由から複数のサービスに同一のIDとパスワードを使い回していると情報漏えいリスクが高まります。フィッシング詐欺などにより複数のサービスで共用するIDとパスワードがサイバー犯罪者の手に渡ってしまった場合を想像してみてください。彼らはそのIDとパスワードを使って各種サービスのアカウントを芋づる式に乗っ取り、情報を盗み取ったり、犯罪に悪用したりするのです。

企業が許可していない、あるいは利用ルールを設けていない私用のインターネットサービスをビジネスシーンに持ち込むのも厳禁です。私たちはつい個人で利用登録しているクラウドストレージを勤務先に無断で利用し、取引先とファイルをやり取りしたり、業務情報を社外に持ち出したりしてしまいがちです。自宅で仕事をするため、業務メールを私用のWebメールアドレス宛に自動転送している方もいるのではないでしょうか。しかし、こうした行為は勤務先を情報漏えいの危険にさらしてしまう可能性があります。

一定のセキュリティ基準を満たす企業では特定のインターネットサービスを安全に利用するためにさまざまな情報漏えい対策を講じています。無許可の端末・利用者によるデータへのアクセス制御、セキュリティポリシーに沿った設定の一括適用、ログ監視などです。

しかし、私用のインターネットサービスには企業による管理が行き届きません。そのため、サービスの機能や仕様、利用規約の内容に対する理解不足、および設定ミスという利用者の過失による情報漏えいリスクがあります。「公開範囲などのプライバシー設定に不備があり、ネット上にアップロードしたファイルが第三者から閲覧できる状態になっていた」というケースはその典型です。

またサービス事業者の人為的なミスやサイバー攻撃がきっかけでネット上に保管された情報が外部に流出してしまう事故も起こっています。私用のインターネットサービスが漏えい元になった場合、企業によるインシデントの発見や対処が後手に回りがちで被害が広がりやすくなってしまうのです。

インターネットサービスの利用に伴う情報漏えいを防ぐために従業員が行うべき5つの対策を紹介します。

営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第2回目です。今回は「紛失・置き忘れ」「誤操作」「内部不正」に起因する企業の情報漏えいと、従業員が行うべき対策を見ていきましょう。

企業における情報漏えいと聞くと、サイバー攻撃による不正アクセスなどの外部要因をイメージするのではないでしょうか。しかし、実は従業員の不注意によるミス、あるいは不正行為などの内部要因が大きな割合を占めています。

日本ネットワークセキュリティ協会（JNSA） が公表した「2018年情報セキュリティインシデントに関する調査報告書」によると、企業における情報漏えいの7割以上が内部要因によるものです。内訳は「紛失・置き忘れ」が全体の26.2％と最も多く、次いで「誤操作」の24.6％と続きました。「内部犯罪・内部不正行為（2.9％）」「不正な情報持ち出し（2.3％）」などの不正行為も見られます。それぞれの原因を掘り下げましょう。

パソコンやスマホには紛失や置き忘れによる情報漏えいリスクがつきものです。このため、企業が従業員に貸与している端末には通常、情報漏えい対策が講じられています。リモートから端末のロックや内部データの消去を行える仕組みなどです。

では従業員が企業に無断で業務利用している私用端末はどうでしょうか。情報漏えい対策レベルはユーザの知識やモラルによってまちまちです。企業の管理も行き届かないため、漏えい元になりやすいのです。

ビジネスシーンに勝手に持ち込まれる私用のUSBメモリも情報漏えい経路の1つです。従業員が私用のUSBメモリを紛失し、業務情報を流出させてしまう事故も起こっています。

誤操作の代表例はメールの宛先間違いです。たとえば、コピー＆ペーストや入力のミスによって本来の宛先と類似のメールアドレスや同性の人物に誤送信してしまうパターンがあります。また添付ファイルの選択ミスも起こり得ます。

イベントの案内や長期休暇の通知など、同じ内容のメールを取引先に一斉送信するシーンにも落とし穴があります。たとえば、すべての取引先担当者をBCCに指定して一斉送信するべきところを誤ってA社担当者だけCCで送ってしまい、すべての取引先にA社担当者のメールアドレスを開示してしまうケースがあります。

内部不正による情報漏えいも起こっています。たとえば、従業員や関係者、委託先担当者などによる意図的な情報の持ち出しがこれにあたります。より悪質な内部不正の例としては、企業内ネットワークにマルウェアを仕込み、第三者の不正アクセスをアシストする行為もあります。その目的の多くは、名簿業者などに情報を売却することで金銭的利益を得ることです。

国内のある通信教育会社は2014年7月、内部不正によって顧客の個人情報が漏えいしたことを公表しました。この事件は、同社の子会社からシステム保守を委託されていた企業の派遣社員が顧客データベースにアクセスし、情報を持ち出したことが発端です。当該社員は約2,900万件の個人情報を名簿業者に売り払い、対価を得ていました。事件発覚後、同社は被害者への謝罪や事後調査、再発防止策の実施などに追われ、莫大な損失を計上。当該派遣社員も不正競争防止法違反に問われ、最終的に実刑判決が確定しました。

また前職に在籍中に営業秘密を不正に持ち出し、その競合に転職していたエンジニアが逮捕されたニュースも世間の注目を集めました。

勤務先のセキュリティポリシーやガイドラインにもとづいて行動することは従業員の責務です。一人ひとりが高い危機管理意識を持って以下の情報漏えい対策に取り組んでください。

※不正行為に手を染めないために…
セキュリティやコンプライアンスの研修を受け、情報の不正な持ち出しが倫理的に許されないことを理解しましょう。一定のセキュリティ基準を満たす企業は、入退室管理システムや防犯カメラの導入、外部記憶媒体などのデバイス制御、サーバへのアクセス権限の設定など、さまざまな情報漏えい対策を講じています。また、サーバへのアクセス履歴やユーザの操作履歴なども記録し、情報漏えいが発生した場合の原因や被害状況を追跡できる体制になっています。不正行為が明るみになれば、それによって生じた企業の損害を代わりに負うことになり、刑事責任を問われる可能性もあることを覚えておきましょう。

営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。本編は「企業における情報漏えいの原因とは」と題するシリーズ全3回のうちの第1回目です。今回は暴露型ランサムウェアへの感染をきっかけとする企業の情報漏えいと、従業員が行うべき対策を見ていきましょう。

ランサムウェアへの感染をきっかけとする企業の情報漏えい被害がたびたびメディアで報じられています。ランサムウェアは、パソコンなどの端末本体を操作不能にしたり、端末内のファイルを暗号化したりして、元に戻す条件として身代金を要求するマルウェアです。初期のランサムウェアは個人を無差別に狙うものでした。しかし、ここ数年は特定の企業を狙う標的型サイバー攻撃で多用されるようになっています。

世界中で猛威を振るっているのが暴露型ランサムウェアです。これは標的の企業内ネットワークに入り込むとファイルを暗号化した上で「支払いに応じなければ窃取した情報を暴露サイトに公開する」などと脅し、高額の身代金を要求するものです。トレンドマイクロの調査によると、2019年末より暴露型ランサムウェアの被害が増加しています。暴露サイトに情報を公開された国内企業は2020年3月から同年11月までに26社に上りました。

ある国内ゲームソフト会社大手は2020年11月、暴露型ランサムウェアによる標的型サイバー攻撃を受け、1,100万ドル（約11億5,000万円）分のビットコインの支払いに応じなかったことから顧客や取引先などの個人情報約35万件、社員や関係者の人事情報、販売レポート、財務情報などを暴露サイトに公開されたことを発表しました。また、国内の自治体向けコンサルティング会社も暴露型ランサムウェアにより200を超える取引先自治体の個人情報が流出した可能性があることを2021年3月に公表しています。

ランサムウェアの侵入経路は大きく2つあります。1つ目は、パソコンやサーバなどIT機器の脆弱性（セキュリティの弱点）です。脆弱性は、プログラムのコーディングミスなどが原因で生じ、マルウェア感染や不正アクセスの要因となる不具合を指します。攻撃者はそれを悪用して企業内ネットワークに侵入し、さまざまな不正活動を通じて重要な情報が保管されている場所を特定します。そこにランサムウェアを仕込むのです。

2つ目はメールです。たとえば、メールに添付した不正ファイルを標的企業の従業員に開かせることで端末を遠隔操作ツールに感染させます。攻撃者はこうして企業内ネットワークに潜り込み、機密情報が格納されている端末やサーバをランサムウェアに感染させます。

従業員にメールの添付ファイルを開かせるテクニックは巧妙です。たとえば、実在する部署や人物、取引先などを装ってもっともらしい件名、本文、署名を記述し、通常の業務メールに見せかけるケースがあります。実際に、取引先を装って「請求書」を件名とするメールを送りつけ、受信者にOfficeファイルを開かせる手口が確認されています。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、遠隔操作ツールに感染してしまうのです。

ランサムウェアは規模や地域、業種に関係なく、あらゆる企業や組織が遭遇するかもしれない脅威の1つです。すべての従業員には勤務先に情報漏えい被害をもたらすランサムウェアについての正しい知識を身につけ、適切な対策を講じることが求められます。

多くの企業や組織ではまもなく大型連休に入ります。一般に連休シーズンはセキュリティインシデントが発生しやすくなるものです。今回は、「休暇前」「休暇中」「休暇後」のパート別に従業員が行うべき対策と注意点を紹介します。

大型連休に起こりやすいセキュリティインシデントには次のようなものがあります。「従業員が持ち出した機器の盗難、紛失、マルウェア感染」「従業員が持ち出した業務データの漏えい」「企業内ネットワークへの不正侵入をきっかけとしたマルウェア感染と情報漏えい」「DDoS攻撃（標的のWebサイトに集中的にアクセスして大量の処理負荷を与えることで、サービスを停止に追い込む攻撃）によるサービスの停止や遅延」などです。長期休暇に入る前にあらためて対策を確認しておきましょう。

従業員が長期休暇に向けて行うべき対策として以下に8つの項目を示します。これらは、勤務先と自身をさまざまなセキュリティ脅威から遠ざけるために日頃から実践したい対策でもあります。

テレワークの普及で、Webメールやクラウドストレージ、Microsoft 365（旧Office 365）などのインターネットサービスがますます身近な存在になっています。ただ、利用者にとって見過ごせない問題になっているのがアカウントへの不正ログインです。その手口と対策を見ていきましょう。

不正ログインによる被害が後を絶ちません。サイバー犯罪者は他人のIDとパスワードを盗み出したり、探り当てたりすることで被害者のアカウントにログインし、情報や金銭を得ようとしています。

その代表的な手口がフィッシング詐欺です。これは、正規サービスのログインページなどを装った偽サイト（フィッシングサイト）にネット利用者をおびき寄せ、そこで入力されたアカウント情報（IDやパスワードなど）や個人情報、クレジットカード情報などを盗み出すものです。

サイバー犯罪者が標的をフィッシングサイトに誘導するために用いる主な手段はメールやSMS、SNSです。彼らは実在する企業や人物などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。実在する配送業者をかたって「不在のため持ち帰りました。配送物をご確認ください」などと呼びかける偽の不在通知メッセージはその典型です。

ある法人は、従事者の1人が配送業者をかたるスミッシング（SMSによるフィッシング）の被害に遭い、同従事者の私用のクラウドストレージ内に保管されていた名簿などの個人情報が第三者から閲覧できる状態になっていたことを公表し、謝罪しました。これは、そもそも個人で利用登録しているクラウドストレージを勤務先に無断で業務利用していたことが招いたトラブルの一例です。

社会人のなかにはつい勤務先への断りなしに私用のWebメールやクラウドストレージを利用し、取引先とファイルをやり取りしたり、業務データを社外に持ち出したりしている人もいます。しかし、こうした行為は勤務先を重大な危険にさらしてしまう可能性があることを知っておいてください。インターネットサービスの利用においては不正ログインによる情報漏えいのリスクがつきものだからです。また、情報漏えいは「フィッシング詐欺に引っかかり、アカウント情報を入力してしまったこと」が原因とは限りません。利用規約の確認不足や設定ミスなどの利用者の過失、サービス事業者の人為的なミスやサイバー攻撃などがきっかけで利用者の情報が外部に流出してしまうこともあるのです。

万一、勤務先の規程に反した行動で業務情報を漏えいさせてしてしまった場合、勤務先のブランドイメージや社会的信用を低下させることになります。勤務先が被害者への損害賠償責任を負うケースもあります。きっかけを作った人物の責任も問われることになるでしょう。

SNSアカウントを狙う攻撃も顕著です。Facebookでは「プロフィールの訪問履歴確認」という投稿からFacebookの公式ログインページを模したフィッシングサイトへ誘導する事案が確認されました。そこでIDとパスワードを入力してしまった場合、Facebookアカウントに不正ログインされる可能性があります。この手口のやっかいなところは、サイバー犯罪者が事前にフィッシング詐欺などで他人のFacebookアカウントを乗っ取り、本来のアカウント利用者になりすまして投稿することです。そのため、友人や同僚などのフォロワーは本人の投稿と思い込み、不正なURLリンクを開いてしまいがちです。

Microsoft 365を装って「現在設定しているパスワードの有効期限が切れるため、パスワードの変更か延長が必要」と呼びかけるメールを介して受信者をフィッシングサイトに誘導する事案も確認されています。誘導に乗ってしまった場合、サイバー犯罪者にMicrosoft 365のアカウントに不正ログインされ、業務情報を盗み見られたり、不正なメールをばらまかれたりする恐れがあります。

みなさんは企業の業務システムへの不正ログインと聞いたとき、外部からのサイバー攻撃を真っ先に想像するのではないでしょうか。しかし、内部関係者による犯行も少なくありません。ある自治体では職員の1人が職務上の権限で得た情報をもとに人事課職員向けの業務システムのIDとパスワードを推測。人事課職員専用のポータルサイトに不正アクセスして人事課所管のデータをのぞき見し、一部を自身の業務用パソコンに保存していたことが明らかになりました。結果、当該自治体は謝罪し、同職員に対して懲戒処分を行ったことを発表しました。

インターネットサービスアカウントへの不正ログイン被害を防ぐためにはどうすればよいでしょうか。5つのポイントを押さえましょう。

パソコンやスマホに突如「警告メッセージ」が表示されて慌てたことはありませんか。それは、警告表示に偽装した偽の通知かもしれません。通知が偽物の場合、不正なプッシュ通知や広告によるもの、あるいはマルウェア（ウイルスなど不正なソフトやプログラムの総称）や不正アプリが端末に入り込んでしまっているかもしれません。偽警告による被害を回避するポイントと、感染が疑われたときの対処法を紹介します。

パソコンでWebサイトを閲覧していると、急に「ウイルスに感染している可能性があります。」「ウイルスが検出されました」などという警告メッセージが表示される場合があります。これらは、OSやセキュリティソフトからの通知に偽装した偽警告の可能性があります。

「ウイルスに感染してしまったかも」と不安を覚えても、警告メッセージ内のボタンを不用意に押してはいけません。不正サイトに誘導される危険性があります。このような偽の警告は、機器の利用者に不安や焦りを感じさせることで冷静な判断を阻害し、サイバー犯罪者の思惑通りの行動を促す常とう手口です。誘導先の不正サイトでは、復旧に必要と称して迷惑ソフトをインストールさせられたり、サポート詐欺に誘導されたりする危険性があります。サポート詐欺は、偽のサポートセンターへ連絡するよう仕向け、実体のない有償のサポート契約を結ばせることでネット利用者から金銭や情報をだまし取る手口です。契約の手続きに入ってしまえば、名前やメールアドレス、電話番号、クレジットカードなどの情報を入力、送信させられるだけでなく、サポート料の名目で金銭をだまし取られてしまいます。スマホでも同様の手口が確認されているため注意が必要です。

偽の警告メッセージが表示される原因は大きく2つ考えられます。1つは不正なアドウェアです。アドウェアは、パソコンやスマホに広告を表示させるものです。不正なアドウェアをインストールしてしまった場合、望まない広告をしつこく表示されたり、広告から不正サイトに誘導されたりするかもしれません。不正なアドウェアをばらまく攻撃者の主な目的は、迷惑ソフトの販売やアフィリエイト（広告経由でネット利用者に特定のサイトへの誘導、ソフトやアプリをインストールさせることにより、その開発者から報酬を受け取る仕組み）、詐欺サイトへの誘導によって金銭や情報を得ることです。

もう1つは、不正なWebサイトからのWebプッシュ通知の受け取りをユーザが自ら許可したことです。Webプッシュ通知は、Webサーバ（Webサイト）側からWebブラウザへ任意のタイミングでメッセージを送信できる仕組みです。Webサイトによっては新着情報や重要なお知らせなどの配信においてこの仕組みが利用されることもあります。

ネットサーフィン中に以下のようなダイアログを目にしたことはないでしょうか。内容をよく確認せず不用意に「許可」「OK」「Allow」などのボタンを押してはいけません。不正なWebサイトに通知の表示を許可してしまった場合、詐欺サイトなどの不正サイトへの誘導を目的とする偽の警告メッセージを受け取ってしまう可能性があるためです。「ロボットでない場合は許可をクリック」という画像でCAPTCHA認証（応答者がコンピュータでないことを確認するために使われる認証方法）を装い、訪問者を惑わせるWebサイトも存在します。

このような表示から通知を許可してしまった場合、ブラウザの機能を使って偽の警告やメッセージが表示される可能性があります。

またiPhoneでは、カレンダー機能を悪用して偽警告を表示し、不正サイトに誘導する手口も確認されています。自身のアドレス宛に予定を追加される、あるいは外部のカレンダーをユーザが自ら照会対象として追加してしまった場合、不正な通知が届いてしまいます。
もし、iPhoneのカレンダーに不審なイベントが登録された場合、「身に覚えがない共有カレンダーを削除する」、あるいは「参加依頼を削除してスパム報告をする」のいずれかの対処を行ってください。照会カレンダーを追加してしまった場合は、該当イベントから「このカレンダーからサブスクリプションの登録を解除」をタップし、「登録解除」を行いましょう。

パソコンやスマホ利用者の中には、「マルウェアや不正アプリに感染しなければサイバー脅威に遭遇することはない」と考えている方もいるかもしれません。しかし、昨今のサイバー攻撃は正規の機能やサービスを悪用することも多く、だまされてしまう利用者が後を絶ちません。また、マルウェアや不正アプリに感染してしまった場合、明らかに挙動がおかしくなることもありますが、目立った症状が現れなかったり、存在を隠蔽されたりするケースもあることを知っておいてください。たとえば、特定の企業を狙う標的型サイバー攻撃において用いられる遠隔操作ツール（RAT）はその代表です。RATはメールなどを介して従業員のパソコンに入り込むと企業内ネットワークを探索し、目当ての情報を外部に送信したり、別のマルウェアをダウンロードしたりします。感染の発覚を遅らせれば遅らせるほど情報窃取という目的を達成しやすくするため、ユーザに感染を悟らせないように振る舞うのです。