パソコンやスマホの利用者であれば、「Cookieを有効にしてください」などのメッセージを目にしたことがあるのではないでしょうか。ところでみなさんはCookieがどのようなものかご存知ですか。

Cookieは、Webサイトにアクセスしてきたユーザに関連する情報を、ユーザのパソコンやスマホのWebブラウザに書き込み、保存する仕組みです。たとえば、固有のCookieIDや会員サイトのIDとパスワード、最後の訪問日時、訪問回数などが記録され、それらの情報は次回アクセスした際に発行元のWebサイトに渡されます。これにより、Webサイト側は再アクセスしてきたユーザを識別するのです。

Cookieの仕組みは、ショッピングサイトなどの会員サイトの利用シーンをイメージするとわかりやすいかもしれません。たとえば、ログアウトせずに離脱したショッピングサイトを再訪したとき、ログイン状態が保持されている、あるいは以前カートに入れた商品がそのまま残っているのはCookieが機能しているためです。また、旅行予約サイト閲覧後、別のWebサイトを訪れたときに旅行関連のバナー広告が表示されるのも一部でCookieが利用されているためです。

Cookieは便利ですが、プライバシーの観点からネガティブにとらえられることもあります。意図しない第三者にCookieを使用され、オンラインでの行動を追跡されてしまう可能性もあるためです。Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。必要に応じてCookieを削除し、セキュリティやプライバシー、使い勝手とのバランスを取りましょう。

インターネット利用者であればCookie（クッキー）という言葉を一度は聞いたことがあるでしょう。しかし、Cookieがどんなものか知らない人は意外と多いかもしれません。今回はCookieの仕組みと役割、適切な管理方法などを紹介します。

パソコンやスマホでWebサイトを見ていると「Cookieの使用を許可しますか？」といったメッセージを目にすることがあります。Cookieは、Webサイト（Webサーバ）側がWebブラウザを通じてアクセスしてきたパソコンやスマホにユーザを識別するためのIDや閲覧履歴などの情報を書き込み、一時的に保存する仕組みです。それらの情報は次回以降に発行元のWebサイト（Webサーバ）を訪れた際、WebブラウザからWebサーバへ渡されます。こうして、Webサイト側は再びアクセスしてきたユーザを識別します。

では、Cookieはどんなことに使われているのでしょうか。ショッピングサイトなどの会員サイトの利用シーンをイメージしてみてください。ショッピングサイトを再訪したとき、以前カートに入れた商品がそのまま残っていたり、おすすめの商品が表示されたりするのはCookieが機能しているためです。Webサイト側がCookieを参照し、ユーザに合わせて前回の続きとなるコンテンツを表示しているのです。

CookieにはファーストパーティCookieとサードパーティCookieの2つの種類があります。これらはCookieの発行元によって分類されます。それぞれについて見ていきましょう。

ファーストパーティCookieは、ユーザがアクセスしているWebサイトのドメイン（インターネット上の住所）から発行されるCookieです。ファーストパーティCookieはドメインをまたいだ使用ができず、主にそのWebサイト内に限定した閲覧履歴などの記録、ログイン状態の保持などに使用されます。そのため、Cookieの利用が許可されていない場合、Webサイトが正しく機能しない場合があります。

サードパーティCookieは、ユーザがアクセスしているWebサイトのドメイン以外から発行されるCookieです。Webサイト上に広告が表示されたり、ユーザが広告をクリックしたりしたとき、Webブラウザは訪問先のWebサーバとは別に広告配信サーバからもCookieを受け取ります。それらの多くはサードパーティCookieです。たとえば、旅行予約サイトを閲覧後に全く別のWebサイトを訪れると、さっき見ていた旅行関連のバナー広告が表示された経験はありませんか。このようにサードパーティCookieは、複数のドメインをまたいでユーザの閲覧履歴情報を取得し、そのユーザが関心を持ちそうな広告を配信するために使用されています。

CookieはWebサイトの閲覧を快適にしてくれる仕組みです。Cookieを利用すれば、よくアクセスしている会員サイトに毎回ログイン情報を入力しなくても済みますし、自分が欲しい情報も見つかりやすくなります。信用できるWebサイトのCookieを受け入れ、閲覧履歴などの情報を提供すれば、事業者にも自分にもメリットがあるケースは多いのです。一方で、プライバシーの観点からCookieはネガティブにとらえられることもあります。Cookieの使い方によっては、ユーザの意図しない第三者による利用、ユーザの不利益、プライバシーの侵害にあたるという指摘もあるのです。2019年の国内事例では、就職情報サイトを利用していた学生の内定辞退率をCookieをもとに独自分析し、その結果となる情報を採用検討企業に販売していたことが問題となりました。

欧州連合（EU）では「一般データ保護規則（GDPR）」が施行され、Cookieを含めた個人情報を収集する事業者はユーザにその意図を伝え、その上でユーザの同意を得ることが義務付けられました。その影響の及ぶ範囲は、EU域内のユーザの個人情報（Cookieを含む）を収集する全世界のすべての事業者です。Webサイト閲覧時に「Cookieの使用を許可しますか？」などと同意を求めるメッセージを目にする機会が増えたのはそのためです。
Cookieの利用について同意を求められた場合、その内容を確認してWebサイトの利用を続けるかどうかを判断しましょう。

主要なWebブラウザにはCookieの設定項目があり、ユーザはCookieの扱いをある程度コントロールできます。Cookieの削除と、サードパーティCookieを制限する方法を覚えておきましょう。（※Cookieを削除すると、SNSやショッピングサイトなどの会員サイトからログアウトされるため注意してください。）

※以下の各手順や表示される文言はWebブラウザのバージョンによって異なる場合があります。詳しくは各製品のサポートページを参照してください。

各WebブラウザではCookieを無効にすることもできますが、それは現実的ではありません。ショッピングサイトやネットバンキングはCookieを有効にしていないと利用できないケースもあるためです。関連広告の表示を希望しない場合は、サードパーティCookieを無効にしておきましょう。

Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。Cookieを適切に管理し、プライバシーと使い勝手とのバランスを取りましょう。

私たちの身の回りには、QRコードなどの2次元コードがあふれています。QRコードには英数文字や漢字などの文字、それらを組み合わせたURLやメールアドレス、コンピュータが処理するためのデータなど、多くの情報を埋め込むことができます。また、QRコードは情報を読み取るために特殊な機器を必要とせず、対応するアプリの入ったスマホのカメラをかざすだけで特定のWebサイトにアクセスしたり、決済したり、SNSの友だちに追加したりすることができます。

たとえば、飛行機の搭乗券には氏名や性別、搭乗地、目的地、便名などの文字情報に加え、QRコードやPDF417と呼ばれる2次元コードが印字されています。「これから旅行」などのコメントとともに搭乗券の画像をSNSに投稿する利用者は、多くの場合、個人情報をさらしてしまうことを気にして文字にはぼかしをかけていますが、2次元コードへの配慮を忘れている投稿も見かけます。もし、そんな投稿が悪意のある第三者の目にとまってしまうと、2次元コード内の情報を読み取られ、悪用されるかもしれません。

2次元コードに埋め込まれている情報は航空会社によって異なりますが、主に氏名や便名、座席番号、予約番号、マイレージ会員番号などです。もし、セキュリティ対策がとられていない場合、スマホの一般的なカメラアプリでQRコード内の情報を読み取ることが可能です。
＊セキュリティ対策として専用機器でのみ特定情報の読み取りを可能としている2次元コードもあります。

飛行機の搭乗券に限らず、お薬手帳や郵便物、チケットなど、2次元コードやバーコードなどを含む画像を何らかの理由でSNSに投稿する際はくれぐれも注意してください。想定外の情報をネット上にさらしてしまう可能性があります。たとえば、アプリ用のお薬手帳に印字されているQRコードには処方箋の情報が埋め込まれています。また、QRコードはバーコードと異なり、一部が隠れていたり汚損したりしていても読み取れるように設計されています。SNSに写真や動画を投稿する場合は、文字だけではなく2次元コードやバーコード全体をマスキングすることを忘れないでください。

2019年も引き続きフィッシング詐欺や、スマホ決済サービスの不正利用など、サイバー犯罪による金銭被害が多数報道されました。企業や組織では従業員に送りつけられるメールを起点とした被害が深刻化しています。いま私たちが知っておきたいメールやSMSからの脅威と対策を解説します。

2018年を通して高止まり傾向であったフィッシング詐欺は、2019年も引き続き多くのネット利用者を脅かしています。これは、サイバー犯罪者が実在する金融機関や各種インターネットサービスなどをかたって偽サイト（フィッシングサイト）へネット利用者を誘導し、そこで入力させた個人情報やクレジットカード情報、アカウント情報（IDとパスワード）などを盗み出す手口です。トレンドマイクロの調査では、2019年1月から9月までに、フィッシングサイトへ誘導された国内のネット利用者が約297万人に上りました。

中でも2019年9月から活発化しているのが、国内ネットバンキングの二要素認証を突破しようとする手口です。

これまでに確認されたのは、実在する金融機関を装って「不正ログインされた可能性があります」「口座再開の手続きを行ってください」などと通知するメールやSMSを不特定多数に送りつけ、ユーザをフィッシングサイトへ誘導するものなどです。サイバー犯罪者はそこで入力されたアカウント情報を使って正規のネットバンキングに不正アクセスし、利用者に偽サイトでの処理の完了を待たせている間、口座への送金といった追加の認証が必要となる手続きを行います。その後、本人確認のためなどと称してユーザから認証コードもだまし取ることで二要素認証を突破し、不正行為を働いていると推測されます。

警察庁の発表によると、2019年9月からフィッシング詐欺によるものと見られる不正送金被害が急増しています。2019年上半期（1月～6月）の被害件数は183件、被害額は約1億6,600万円にとどまったものの、同年9月だけで被害件数は436件、被害額は約4億2,600万円に膨れ上がりました。

偽装対象は都市銀行だけではありません。地方銀行などにも拡散する可能性があるため、ネットバンキングの利用者は注意してください。

キャリア決済やQRコード決済などのスマホ決済サービスをめぐる犯罪も世間を騒がせました。実際に、悪意のある第三者にスマホ決済サービスのアカウントを不正利用され、店舗やショッピングサイトで勝手に買い物をされるなどの被害が発生しています。

その原因の1つは、フィッシング詐欺などによってユーザが自らスマホ決済サービスのアカウント情報を漏らしてしまったことにあります。実際に、携帯電話事業者を装うSMSやメールで「キャリア決済が不正利用された可能性がある」「通話料が高額になっている」などと通知し、受信者にURLリンクを開かせることで偽のログイン画面へ誘導する手口が確認されました。

また、ユーザが複数のサービスに同一のIDとパスワードの組み合わせを使い回していることも一因です。サイバー犯罪者はフィッシング詐欺やサービス事業者への攻撃などによって不正に入手したアカウント情報をリスト化し、それらを用いて各種サービスへのログインを試みます。そのため、使い回しているIDとパスワードがサイバー犯罪者の手に渡ってしまうと、アカウントを芋づる式に乗っ取られるリスクを高めてしまうのです。アカウントの不正利用を防ぐための自衛策を講じましょう。

ランサムウェア（身代金要求型ウイルス）を利用した攻撃は依然として企業や組織に深刻な被害を及ぼしています。ランサムウェアは、パソコンやスマホをロックして操作不能にしたり、端末内の文書、画像、動画を暗号化して開けなくしたりして、復旧と引き替えに金銭を要求するマルウェア（悪意のあるソフトウェアの総称）です。

企業や組織を狙う攻撃の発端は主にメールです。たとえば、実在する企業を装って「Invoice（請求書）」「Payment（支払）」を件名とするメールを従業員に送りつけ、不正な添付ファイルを開かせることでネット上からマルウェアをインストールさせ、ランサムウェアなどに感染させる手口が確認されました。

また、OSやソフトの脆弱性（セキュリティ上の欠陥）を突くことで端末にランサムウェアを送り込む手口もあります。そのため、脆弱性を残したままの端末では、サイバー犯罪者によって設置された脆弱性攻撃サイトを訪れただけでランサムウェアに感染してしまうリスクがあるのです。Windows 7は2020年1月14日にすべてのサポートが終了し、以降OSの脆弱性を修正する更新プログラムが配布されなくなります。OSのサポートが切れる前に、勤務先のルールに従って最新バージョンへ移行しましょう。

ランサムウェアの標的は企業や組織だけではありません。その脅威は、オンラインゲームを楽しむ個人にも及んでいます。「ゲームを有利に進めるためのチートツールが手に入る」などと人気オンラインゲーム「フォートナイト（Fortnite）」のプレイヤーをそそのかし、チートツールに見せかけたランサムウェアをインストールさせる手口が報告されています。チートツールを装ってマルウェアをインストールさせる手口は過去にも確認されており、少しでもゲームを有利に進めたいと思うプレイヤーが餌食になっています。

ビジネスメール詐欺（BEC：Business E-mail Compromise）の被害はかつてないほどの規模に膨らんでいます。BECは、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。米国連邦捜査局（FBI）による2019年9月の発表では、2016年6月から2019年7月における全世界でのBECの累計被害件数は16万6,349件、累積被害額は262億177万5,589米ドルに達しました。

BECもランサムウェアと同様、従業員に送りつけられるメールが攻撃の主な起点になっています。サイバー犯罪者は、業務メールの盗み見などにより従業員を欺くための情報を事前に収集し、もっともらしい内容の偽メールを送りつけてくるため、予備知識のない従業員は何の疑いもなくだまされてしまう恐れがあります。

BECはあらゆる規模、地域、業種の企業や組織をターゲットにしています。従業員一人ひとりが当事者意識を持ってBEC対策を実践しましょう。

2019年11月下旬から、EMOTET（エモテット）と呼ばれるマルウェアをインストールさせる不正な添付ファイル付きのスパムメールが世間を騒がせています。当初は海外の利用者を主な標的としていましたが、2019年4月に初めて日本語の件名が付けられた攻撃メールが確認されてから日本国内にも本格的に流入しています。確認されているのは、「請求書」「毎月の請求書」「ドキュメント」「助けて」などを件名として不特定多数に攻撃メールを送りつけるばらまき型の手口と、すでに感染してしまった利用者のメールを使って返信メールを装う手口の2種類です。後者では実際にメールをやり取りしている相手からの返信に見えるため、本物のメールと思い込んで添付ファイルを開いてしまいます。
EMOTETはWord文書ファイルなどのマクロ機能を悪用します。万一感染してしまうと、パソコン内の情報を盗み取られたり、ランサムウェアに感染したりする可能性があります。また、自身のメールアカウントを悪用され、過去にメールをやり取りしたことのある相手に不正メールを送られ、感染の拡大に加担してしまうこともあるため注意してください。

SMS（ショートメッセージサービス）内のURLリンクを不用意に開いてはいけません。携帯電話事業者をかたるSMS経由で「キャリア決済が不正利用された可能性がある」などと通知し、受信者にURLリンクを開かせることで偽のログインページ（フィッシングサイト）へ誘導する手口が確認されています。もし、誘導先のフィッシングサイトでアカウント情報（IDとパスワード）や個人情報、クレジットカード情報などを入力してしまうと、それらがサイバー犯罪者の手に渡ってしまいます。

SMSを悪用した詐欺の手口では、メッセージの内容だけでなく、差出人名も偽装している場合があります。この手口では、差出人名に任意の英数字を送信者IDとして指定できる機能が悪用されています。たとえば、携帯電話事業者などと同じ送信者IDが指定されたサイバー犯罪者からの偽装メッセージは、携帯電話事業者などの公式メッセージと同じ一覧に表示されてしまいます。すると、受信者は公式のメッセージの中にまぎれた偽装メッセージを本物と誤認してしまう可能性が高くなります。

実在するショッピングサイトや債権回収事業者をかたり、SMSで「未納料金があるため連絡してください」などと呼びかけ、偽のカスタマーセンターに電話するよう仕向ける手口も確認されています。これは電話越しに作り話を信じ込ませ、最終的に金銭や情報をだまし取ることが狙いです。

URLリンクや電話番号を含むSMSのメッセージを受け取った場合、そのメッセージの文言や電話番号をネットで検索し、公式のメッセージかどうかを必ず確認しましょう。それでも真偽を判別できなかった場合、送られてきたメッセージからではなく、公式サイトの会員ページや問い合わせ先などから事実確認を行ってください。
このようなメッセージの受信を防ぐため、iPhoneの場合はメッセージの設定画面から差出人のフィルタ設定をオンにしましょう。また、スマホのセキュリティアプリを常に最新の状態で利用し、フィッシングサイトなどの不正サイトへのアクセスを未然に防げるようにしておくことも対策として有効です。

iPhoneでメッセージをフィルタする/拒否する/削除する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios

なにかと慌ただしい年末から気が緩みがちになる年始は詐欺の被害に遭わないよう、より一層の警戒が必要です。年末年始に気をつけたいネット詐欺の手口と5つの対策を押さえましょう。

ふるさと納税の手続きは余裕を持って行いたいものですが、年末に駆け込みで寄付しようとする利用者もおり、そのような焦った利用者をサイバー犯罪者は狙っています。特に初めて寄付をする際は、ふるさと納税サイトに見せかけた偽サイトに注意が必要です。偽サイトの中には各地方公共団体の公式サイトのデザインやレイアウト、返礼品の画像などをそのまま流用しているものもあり、一見しただけで真偽を判断することが難しい場合があります。

もし、偽サイトから寄付の手続きを行ってしまうとどうなってしまうでしょうか。寄付に対する返礼品が届かなかったり、返礼品は届いても税控除が受けられなかったりするだけではなく、その手続きで入力した個人情報やクレジットカード情報を盗み取られ、さらなる詐欺や金銭被害に遭う可能性もあります。以下のような特徴があるふるさと納税サイトは利用しないようにしましょう。

また、買い物シーズンの年末年始は実在するショッピングサイトや高級品のセールを装う偽サイト、詐欺にも要注意です。大手ショッピングサイトのフリをして「心当たりがない場合はキャンセルしてください」などと記載した注文確認メールを送りつけ、URLリンクを開いてしまった受信者を偽サイトへ誘導する手口が確認されています。また、誤って偽サイトを利用してしまうと、支払った代金だけでなく、認証情報（ID、パスワード）や決済時に入力した個人情報、クレジットカード情報などを盗み取られる可能性もあります。さらに、大幅な値下げと称して高級品の偽物や粗悪品を売りつける詐欺にも注意が必要です。

年末年始は宅配便の利用が増える時期でもあります。宅配事業者を装った偽のメールやSMS（ショートメッセージサービス）にも引き続き注意が必要です。もし、添付ファイルやURLを開かせるようなメッセージを受け取った場合は詐欺を疑い、その真偽を十分に確認しましょう。

2019年10月の消費税率引上げに伴い開始されたキャッシュレス・ポイント還元事業を悪用したフィッシング詐欺も確認されています。還付金や払い戻しなどと称したメールやSMSにも注意しましょう。

2019年10月に火災で焼失した首里城の再建に向けた寄付が広がる中、支援者の善意につけこもうとする詐欺も出現しています。実際に、携帯電話事業者を装い「首里城再建寄付に関して」を件名とするメールを送りつけ、URLを開いてしまった受信者をさまざまな詐欺サイトへ誘導する手口が報告されています。それらの詐欺サイトの中には「高額当選」のメッセージを表示し、当選金を受け取るためという名目で銀行口座番号や支店名などを入力させるフィッシングサイトも確認されました。

こうした詐欺メールから誘導されるフィッシングサイトには、受信者のメールアドレスなどの個人情報が記載されている場合もあります。今回の例では当選の信ぴょう性を高める演出の1つになっていますが、善意の受信者が注意喚起として詐欺メールをそのままネットに公開すると個人情報を意図せず不特定多数に公開してしまう危険性があります。

地震や大雪などの大規模自然災害発生時には、それを口実に実在する企業や公的機関をかたって義援金募金を呼びかける詐欺メールや偽サイトが出現する可能性があります。寄付する際には必ずその真偽を確認しましょう。もし詐欺が疑われたら、なりすましの対象として悪用されている組織をはじめ、警察や関連機関などに通報しましょう。

多くの人の関心事や旬な話題に便乗するのはネット詐欺の常とう手段です。実際、世界的なスポーツイベントを前に、観戦チケットの抽選結果を通知する偽メールがすでに出回っています。その主な目的は受信者を詐欺サイトへ誘い込み、情報や金銭をだまし取ることです。

イベントの開催が近づくにつれ、チケットをなんとしても手に入れたい利用者の心理につけ込む偽のメールや詐欺サイトが増加すると予想されます。また、チケット転売サイトやオークションサイト、フリマサイト、SNSなどでは、無効チケットや偽チケットが出品されるかもしれません。公式チケット販売サイトと見た目がそっくりの偽サイトにも注意が必要です。チケットの購入や再販に際してはあらかじめ公式チケット販売サイトをブックマークに登録しておき、毎回そこからアクセスすることをおすすめします。

ネット詐欺に遭ってしまったかもと感じたときの対処法については、下記参考記事をご覧ください。

私用のパソコンやスマホ、クラウドサービスを無断でビジネスシーンに持ち込んでいませんか。中には、仕事専用のモバイルデバイスがなく、私用端末を利用せざるを得ないケースもあるかもしれません。とはいえ、組織における情報セキュリティのルールにはそれが作られた理由があります。組織のルールを把握、遵守するとともに、無断で私用の端末やクラウドサービスを利用した場合、どのような脅威に遭遇する可能性があるかを改めて確認しておきましょう。

多くの企業は、断りなく業務データを私用のクラウドサービスに保存したり、フリーメールに転送したりすることを禁じています。なぜなら、有償、無償にかからわず、サービス事業者のミスやサイバー攻撃、認証情報（IDとパスワード）の漏えいなどが原因で、そこに保存された業務データや個人情報が流出してしまう可能性もあるためです。また、データが破損、流出しても損害が補償されない場合もあります。さらに、無償で利用できるサービスの多くでは、その対価として利用者の情報が収集、分析され、運営元のビジネスに活用されているのです。
2019年に公表された被害の中には、大手クラウドストレージサービス事業者が外部からの不正アクセスによって約500万件もの会員情報を漏えいさせてしまった事例がありました。また、不特定多数に公開されたSNS上に顧客情報のファイルを誤って投稿してしまい、サービス利用者によってファイルがダウンロードされてしまった事故も公表されています。

より厳しいセキュリティポリシーを定めている企業では、そもそも私用端末（パソコンやスマホ、USBデバイスなど）の業務利用を認めていません。私物端末にはセキュリティポリシーを強制するツールを導入させることが難しく、端末をなくしてしまった場合などに業務データを流出させてしまうなどのリスクがあるためです。私用端末がマルウェアや不正アプリに感染している場合はどうでしょう。万一感染した端末を勤務先のネットワークにつないでしまうと、そこにつながっているすべてのコンピュータが脅威にさらされ、情報漏えいや業務停止といった重大なトラブルに発展するかもしれません。

自身が組織を狙うサイバー攻撃の起点にされないようにするためには、組織のルールを把握し、それを遵守することが重要です。利用したいサービスや機器がある場合は、必ず組織の担当者や責任者に相談し、承諾が得られてから利用するか、許可されている代わりの方法で対処しましょう。

ほかにも、社会人がセキュリティの観点で注意を払うべきことは数多くあります。パソコンやネット利用時の少しの不注意が企業や組織を狙うサイバー攻撃の足がかりになってしまうことを理解し、慎重に行動しなければなりません。企業や組織を狙う「ビジネスメール詐欺（BEC）」「ランサムウェア」「標的型サイバー攻撃」は、従業員に送りつけられるメールが主な起点となっています。それぞれの手口の詳細や従業員一人ひとりができる対策については下記の参考記事をご覧ください。

勤務先が定めるセキュリティポリシーやガイドラインをしっかりと確認し、それに従って行動しましょう。