スマホを監視するアプリ「ストーカーウェア」を知っていますか。もし、悪意を持った何者かによって自身のスマホにストーカーウェアを勝手にインストールされてしまった場合、さまざまな情報を抜き取られ、常に行動を監視されてしまいます。トラブルに巻き込まれないための自衛策を紹介します。

現在、多くの人にとってスマホは手放せない存在になりつつあります。ネットを介したコミュニケーション、位置情報を利用したサービス、買い物、金融サービス、カメラ機能、情報収集、電子書籍や動画など、その履歴や保存された情報を見ただけで、持ち主の日常が手に取るように分かるほどです。そのため、あなた自身やあなたの周囲の情報を知りたい人に、あなたのスマホが狙われているかもしれません。
悪意を持った人がスマホからあなたの情報をこっそり入手するために利用するツールの1つがストーカーウェアと呼ばれる監視用ソフトウェアです。その多くは、子どもの見守りや従業員の監視などの名目で一般の商用ソフトとして販売されています。しかし、こうしたソフトは便利ですが、知人などのスマホに無断でインストールし、ストーカー行為や情報窃取などに悪用することもできるのです。
ストーカーウェアは私たちにとって見過ごせない脅威の1つになっています。スマホに仕込まれたストーカーウェアは秘密裏に動作しながら、持ち主の位置情報や通話履歴、通話音声、SNSでやり取りされるメッセージ、Webブラウザの閲覧履歴、ボイスメモ、写真などのさまざまな情報を収集します。

ストーカーウェアを何者かによって自身のスマホにインストールされたり、だまされて自ら入れてしまったりした場合、プライバシー侵害や情報漏えい、遠隔操作、セキュリティレベルの低下、アカウント乗っ取りの大きく4つの被害に遭うリスクがあります。

ストーカーウェアによって外部に送信された各種情報にアクセスできるのは監視者だけとは限りません。ストーカーウェアの提供元がそれらの情報を別の何者かに売却したり、入手した情報をもとに脅迫したりする可能性もあります。また、ストーカーウェアの標的は個人に限りません。特定の企業や組織を狙ったサイバー攻撃の下準備として、攻撃者が情報収集を目的に従業員や関係者のスマホにストーカーウェアを仕込むことも考えられます。

管理者権限を持つストーカーウェアをインストールされた場合、端末内の情報を奪われるだけでなく、削除される可能性もあります。また、画面ロックの変更や着信拒否設定などの権限を持つストーカーウェアによって端末の利用を阻害されることも考えられます。たとえ、被害者がストーカーウェアを発見したとしても、端末側の操作だけでアンインストールすることは困難かもしれません。

Google PlayやApp Storeなどの公式ストアでは安全性の基準を満たさないアプリは排除されるため、ストーカーウェアの多くはサービス事業者のWebサイトや、非公式ストアで配布されます。このため、何者かが標的のAndroid端末にストーカーウェアをインストールする際には、端末やWebブラウザの設定で「提供元不明なアプリのインストール」を許可する必要があります。一方、iPhoneがターゲットの場合、脱獄（ジェイルブレイク。iOSの制限を解除して非公式ストアの利用を可能にする改造行為）が行われます。設定を変更されたままのAndroid端末や、脱獄されたiPhoneはセキュリティレベルが低下し、不正アプリが入り込むリスクも高まってしまいます。

ストーカーウェアの中にはキーロガー（入力した内容を窃取するソフト）の機能を備えているものもあります。その場合、スマホで入力した情報が監視者に筒抜けになってしまいます。たとえば、キー入力情報とWebブラウザの閲覧履歴を突き合わせると、ネットバンキングをはじめとする各種インターネットサービスの認証情報（IDとパスワード）を割り出すことが可能です。SMSなどで取得できる二要素認証情報なども監視者に渡ってしまうため、各種インターネットサービスのアカウントを不正利用されるリスクが高まります。

ストーカーウェアによる被害に遭わないよう適切な自衛策を講じましょう。

もし、不審なアプリが検出されたら速やかにアンインストールしてください。ただし、管理者権限を持つストーカーウェアは、通常の手順でアンインストールできなくなっているかもしれません。何らかの理由で削除できない場合はご利用のセキュリティアプリのサポート窓口や、契約している携帯電話事業者の窓口に問い合わせましょう。

みなさんは主要なWebブラウザが提供しているプライバシーモードをご存知ですか。これは、閲覧履歴やCookieなどの情報をWebブラウザに保存させることなくWebサイトを閲覧（ブラウジング）するための機能です。

Webブラウザを開くと、プライバシーモードではなく、通常モードが立ち上がります。このモードでは設定を変更しない限り、閲覧履歴や Cookie、フォームへの入力情報、キャッシュなどがWebブラウザに保存されます。

ただ、家庭などの共用パソコンを使って調べものをしたり、SNSなどの会員サイトを利用したりするときはWebブラウザに閲覧履歴やCookieなどを残したくない場合もあるでしょう。もし、それらの情報を残してしまった場合、ログイン状態が保持され、会員サイトを家族のだれかに閲覧されたり、操作されたりするかもしれません。

2020年は、二要素認証突破を狙うフィッシング詐欺、ECサイトの改ざん、さまざまな機器の脆弱性を悪用した攻撃、AIの技術を悪用したネット詐欺などのサイバー攻撃が予想されています。また、テレワーク環境のセキュリティの不備を突く攻撃のリスクも高まるでしょう。東京オリンピック・パラリンピック開催を控える2020年、私たちが注意すべきセキュリティの脅威と対策を紹介します。

二要素認証（二段階認証とも呼ばれる）は、IDとパスワードに加えてワンタイムパスワードなどによる追加の認証を行うログイン方法で、第三者による不正利用を防ぐ手段としてネットバンキングやクラウドサービス、ECサイトなどで導入されています。しかし、二要素認証を突破しようとするフィッシング詐欺が2019年9月以降増加しています。たとえば、偽のメールやSMS（ショートメッセージサービス）のメッセージからフィッシングサイトに誘導する手口が用いられています。そのため、スマホからフィッシングサイトにアクセスしてしまう利用者が増加傾向にあり、SMSを悪用したフィッシング詐欺の手口は2020年も続くと予想されます。

一方で、スマホのセキュリティアプリ利用率はパソコンに比べて低く、そのことが被害拡大の一因になっているとも言えます。フィッシング詐欺の手口は年々巧妙化しており、送られてくるメッセージや誘導先のWebサイトを一見しただけでは、真偽の判断が難しくなっています。フィッシング詐欺による被害を防ぐためには、最新の手口を知っておくことが重要です。スマホにもパソコンと同様、セキュリティアプリをインストールし、常に最新の状態に保ちましょう。

2018年に改正割賦販売法が施行され、クレジットカード情報をECサイト側で保持しないことが求められています。しかし、ECサイト側でカード情報を保持しない場合でも、サイバー犯罪者がECサイトを改ざんし、偽の決済画面を表示させることでクレジットカード情報を詐取する手口も出現しています。「ECサイト側はクレジットカード情報を保持していないから安全」というこれまでの常識が覆されたと言えるでしょう。2019年はこの手口の被害が複数報道され、経済産業省などが相次いで注意喚起を行う事態となっています。一般利用者の目線で考えても、「正規サイトだから安全」というこれまでの常識は通用しません。今後も注意が必要です。
法人においては、自組織のシステムに脆弱性や設定ミスがないことを定期的に確認することが欠かせません。特にECサイトでは、早期に不審に気づける体制作りも重要となります。
一般利用者は、セキュリティソフトの利用など基本的な対策を怠らないこと、クレジットカードの明細を最低でも月一回は確認し、身に覚えのない請求があった場合は直ちに届け出ることを心がけましょう。

2020年、脆弱性を悪用する攻撃も継続するでしょう。脆弱性に関連する旬な話題は、Windows 7です。Windows 7は2020年1月14日をもってすべてのサポートが終了したため、今後新たな脆弱性が見つかってもそれらを修正する更新プログラムが提供されません。脆弱性攻撃に対して無防備なため、Windows 7の利用者はできるだけ早く最新バージョンへ移行することが求められます。脆弱性はパソコンに限ったことではありません。スマホのOSやアプリにも脆弱性はつきものです。パソコン同様にOSの更新通知が届いたらなるべく早く適用するように心がけてください。最新のOSに対応していない旧型のパソコンやスマホについては買い替えることをおすすめします。

家庭内ネットワークにつながるスマートテレビ、スマートスピーカー、ネットワークカメラなどのスマート家電やIoT（Internet of Things：モノのインターネット）機器もパソコンやスマホと同様、脆弱性を突く攻撃の対象です。たとえば、ルータの設定不備やファームウェア（機器を制御する基本ソフトウェア）の脆弱性を突き、ルータとつながるネットワーク内の機器への侵入や不正操作を試みる攻撃がこれまでも確認されています。

有効な対策はメーカーから更新プログラムが提供されたら速やかに適用し、パソコンやスマホ、IoT機器に脆弱性が存在する期間を最小限にとどめることです。自動更新機能がある場合は有効にし、アップデートが遅滞なく行われるようにすると良いでしょう。ただし、組織から貸与されている機器については、更新のタイミングがコントロールされている場合もあるため、管理者からの指示に従ってください。
セキュリティソフトをインストールできないスマート家電やIoT機器については、ホームネットワーク全体を守るセキュリティ製品による対策が有効です。ルータやIoT機器などの管理画面用パスワードを初期設定から変更することも忘れないでください。そのまま利用していると、第三者によって勝手に設定を書き換えられるかもしれません。

対策の第一歩は、家庭内ネットワークにどのような機器が接続されているか、脆弱性を持つ機器がないかどうかを把握することです。トレンドマイクロは、ホームネットワークの安全性を評価する「オンラインスキャン for Home Network」を無料で提供しています。これを利用すれば、ホームネットワークにつながっている家電や機器を表示し、それぞれのセキュリティの問題点と解決策を提示してくれます。

※バナーをクリックするとトレンドマイクロのオンラインスキャン for Home Networkのページが開きます。

ネット詐欺では、ソーシャルエンジニアリングが多用されています。ソーシャルエンジニアリングとは、人の心理的な隙につけ込んで相手に特定の行動をとらせる手法の総称です。実在する企業やサービスをかたったメールやSMS（ショートメッセージサービス）を送りつけ、メッセージを信じた受信者にURLリンクを開かせることで不正サイトへ誘導する手口はその代表例です。

2020年はソーシャルエンジニアリングの手法にAI（人工知能：Artificial Intelligence）が本格的に取り入れられると予測されています。ここ数年、AIの発達によって映像や音声の合成技術が進化し、本人以外がとった言動をあたかも本人がとったように見せかける偽動画や偽音声を生成できるようになりました。これらは「ディープフェイク」 と呼ばれ、企業に深刻な金銭被害を及ぼしているビジネスメール詐欺（BEC：Business E-mail Compromise）の手口にも用いられているようです。

2019年には英国エネルギー会社の最高経営責任者（CEO）が、その親会社のCEOを模倣した偽の送金指示音声と電話によるディープフェイク攻撃にさらされ、24万3,000米ドルをだまし取られる被害が報じられました。ディープフェイクによるなりすましの対象にされやすいのはメディア出演、オンラインビデオなどで露出の多い経営幹部です。組織では、このような手口がすでにあることを認識し、ビジネスメール詐欺の対策として新規の送金や組織内情報の送付を求められた場合の確認、承認手順を見直すことも検討してください。

東京オリンピック・パラリンピック開催に向け、混雑回避や働き方改革の一環としてテレワーク（リモートワーク）の導入が進み、職種によっては時間や場所にとらわれずに働けるようになりつつあります。しかし、テレワーク環境が企業におけるセキュリティの新たな弱点になるかもしれません。

たとえば、公共のワークスペースを勤務地とする就労者はセキュリティに不備のある公衆Wi-Fiにアクセスしてしまうリスクがあります。もし、彼らが通信の暗号化方式にセキュリティ強度の低いWEPを採用しているものや、公衆Wi-Fiに見せかけサイバー攻撃者が用意した偽のWi-Fiを利用してしまうとどうなるでしょうか。悪意を持った第三者によって通信内容を盗み見されたり、情報を窃取されたりする可能性があります。

在宅勤務の場合、比較的セキュリティ対策が手薄な家庭内ネットワークが企業ネットワークに侵入するための踏み台にされるリスクがあります。パソコンやスマホだけでなく、スマートテレビや各種アシスタントデバイス、ホームルータを含め、何らかのIoT機器が企業への攻撃経路として悪用されることも想定されます。

テレワークを安全に行うためには、勤務先が定めるガイドラインやポリシーに従って行動するのが原則です。オフィスと同等のセキュリティを十分に確保することが難しい場所での勤務は、普段以上に気を引き締めて行動することを心がけてください。

パソコンやスマホの利用者であれば、「Cookieを有効にしてください」などのメッセージを目にしたことがあるのではないでしょうか。ところでみなさんはCookieがどのようなものかご存知ですか。

Cookieは、Webサイトにアクセスしてきたユーザに関連する情報を、ユーザのパソコンやスマホのWebブラウザに書き込み、保存する仕組みです。たとえば、固有のCookieIDや会員サイトのIDとパスワード、最後の訪問日時、訪問回数などが記録され、それらの情報は次回アクセスした際に発行元のWebサイトに渡されます。これにより、Webサイト側は再アクセスしてきたユーザを識別するのです。

Cookieの仕組みは、ショッピングサイトなどの会員サイトの利用シーンをイメージするとわかりやすいかもしれません。たとえば、ログアウトせずに離脱したショッピングサイトを再訪したとき、ログイン状態が保持されている、あるいは以前カートに入れた商品がそのまま残っているのはCookieが機能しているためです。また、旅行予約サイト閲覧後、別のWebサイトを訪れたときに旅行関連のバナー広告が表示されるのも一部でCookieが利用されているためです。

Cookieは便利ですが、プライバシーの観点からネガティブにとらえられることもあります。意図しない第三者にCookieを使用され、オンラインでの行動を追跡されてしまう可能性もあるためです。Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。必要に応じてCookieを削除し、セキュリティやプライバシー、使い勝手とのバランスを取りましょう。

インターネット利用者であればCookie（クッキー）という言葉を一度は聞いたことがあるでしょう。しかし、Cookieがどんなものか知らない人は意外と多いかもしれません。今回はCookieの仕組みと役割、適切な管理方法などを紹介します。

パソコンやスマホでWebサイトを見ていると「Cookieの使用を許可しますか？」といったメッセージを目にすることがあります。Cookieは、Webサイト（Webサーバ）側がWebブラウザを通じてアクセスしてきたパソコンやスマホにユーザを識別するためのIDや閲覧履歴などの情報を書き込み、一時的に保存する仕組みです。それらの情報は次回以降に発行元のWebサイト（Webサーバ）を訪れた際、WebブラウザからWebサーバへ渡されます。こうして、Webサイト側は再びアクセスしてきたユーザを識別します。

では、Cookieはどんなことに使われているのでしょうか。ショッピングサイトなどの会員サイトの利用シーンをイメージしてみてください。ショッピングサイトを再訪したとき、以前カートに入れた商品がそのまま残っていたり、おすすめの商品が表示されたりするのはCookieが機能しているためです。Webサイト側がCookieを参照し、ユーザに合わせて前回の続きとなるコンテンツを表示しているのです。

CookieにはファーストパーティCookieとサードパーティCookieの2つの種類があります。これらはCookieの発行元によって分類されます。それぞれについて見ていきましょう。

ファーストパーティCookieは、ユーザがアクセスしているWebサイトのドメイン（インターネット上の住所）から発行されるCookieです。ファーストパーティCookieはドメインをまたいだ使用ができず、主にそのWebサイト内に限定した閲覧履歴などの記録、ログイン状態の保持などに使用されます。そのため、Cookieの利用が許可されていない場合、Webサイトが正しく機能しない場合があります。

サードパーティCookieは、ユーザがアクセスしているWebサイトのドメイン以外から発行されるCookieです。Webサイト上に広告が表示されたり、ユーザが広告をクリックしたりしたとき、Webブラウザは訪問先のWebサーバとは別に広告配信サーバからもCookieを受け取ります。それらの多くはサードパーティCookieです。たとえば、旅行予約サイトを閲覧後に全く別のWebサイトを訪れると、さっき見ていた旅行関連のバナー広告が表示された経験はありませんか。このようにサードパーティCookieは、複数のドメインをまたいでユーザの閲覧履歴情報を取得し、そのユーザが関心を持ちそうな広告を配信するために使用されています。

CookieはWebサイトの閲覧を快適にしてくれる仕組みです。Cookieを利用すれば、よくアクセスしている会員サイトに毎回ログイン情報を入力しなくても済みますし、自分が欲しい情報も見つかりやすくなります。信用できるWebサイトのCookieを受け入れ、閲覧履歴などの情報を提供すれば、事業者にも自分にもメリットがあるケースは多いのです。一方で、プライバシーの観点からCookieはネガティブにとらえられることもあります。Cookieの使い方によっては、ユーザの意図しない第三者による利用、ユーザの不利益、プライバシーの侵害にあたるという指摘もあるのです。2019年の国内事例では、就職情報サイトを利用していた学生の内定辞退率をCookieをもとに独自分析し、その結果となる情報を採用検討企業に販売していたことが問題となりました。

欧州連合（EU）では「一般データ保護規則（GDPR）」が施行され、Cookieを含めた個人情報を収集する事業者はユーザにその意図を伝え、その上でユーザの同意を得ることが義務付けられました。その影響の及ぶ範囲は、EU域内のユーザの個人情報（Cookieを含む）を収集する全世界のすべての事業者です。Webサイト閲覧時に「Cookieの使用を許可しますか？」などと同意を求めるメッセージを目にする機会が増えたのはそのためです。
Cookieの利用について同意を求められた場合、その内容を確認してWebサイトの利用を続けるかどうかを判断しましょう。

主要なWebブラウザにはCookieの設定項目があり、ユーザはCookieの扱いをある程度コントロールできます。Cookieの削除と、サードパーティCookieを制限する方法を覚えておきましょう。（※Cookieを削除すると、SNSやショッピングサイトなどの会員サイトからログアウトされるため注意してください。）

※以下の各手順や表示される文言はWebブラウザのバージョンによって異なる場合があります。詳しくは各製品のサポートページを参照してください。

各WebブラウザではCookieを無効にすることもできますが、それは現実的ではありません。ショッピングサイトやネットバンキングはCookieを有効にしていないと利用できないケースもあるためです。関連広告の表示を希望しない場合は、サードパーティCookieを無効にしておきましょう。

Cookieはいつでも消去でき、パソコンやスマホに保存しておくかどうかを自分で選択できます。Cookieを適切に管理し、プライバシーと使い勝手とのバランスを取りましょう。

私たちの身の回りには、QRコードなどの2次元コードがあふれています。QRコードには英数文字や漢字などの文字、それらを組み合わせたURLやメールアドレス、コンピュータが処理するためのデータなど、多くの情報を埋め込むことができます。また、QRコードは情報を読み取るために特殊な機器を必要とせず、対応するアプリの入ったスマホのカメラをかざすだけで特定のWebサイトにアクセスしたり、決済したり、SNSの友だちに追加したりすることができます。

たとえば、飛行機の搭乗券には氏名や性別、搭乗地、目的地、便名などの文字情報に加え、QRコードやPDF417と呼ばれる2次元コードが印字されています。「これから旅行」などのコメントとともに搭乗券の画像をSNSに投稿する利用者は、多くの場合、個人情報をさらしてしまうことを気にして文字にはぼかしをかけていますが、2次元コードへの配慮を忘れている投稿も見かけます。もし、そんな投稿が悪意のある第三者の目にとまってしまうと、2次元コード内の情報を読み取られ、悪用されるかもしれません。

2次元コードに埋め込まれている情報は航空会社によって異なりますが、主に氏名や便名、座席番号、予約番号、マイレージ会員番号などです。もし、セキュリティ対策がとられていない場合、スマホの一般的なカメラアプリでQRコード内の情報を読み取ることが可能です。
＊セキュリティ対策として専用機器でのみ特定情報の読み取りを可能としている2次元コードもあります。

飛行機の搭乗券に限らず、お薬手帳や郵便物、チケットなど、2次元コードやバーコードなどを含む画像を何らかの理由でSNSに投稿する際はくれぐれも注意してください。想定外の情報をネット上にさらしてしまう可能性があります。たとえば、アプリ用のお薬手帳に印字されているQRコードには処方箋の情報が埋め込まれています。また、QRコードはバーコードと異なり、一部が隠れていたり汚損したりしていても読み取れるように設計されています。SNSに写真や動画を投稿する場合は、文字だけではなく2次元コードやバーコード全体をマスキングすることを忘れないでください。

2019年も引き続きフィッシング詐欺や、スマホ決済サービスの不正利用など、サイバー犯罪による金銭被害が多数報道されました。企業や組織では従業員に送りつけられるメールを起点とした被害が深刻化しています。いま私たちが知っておきたいメールやSMSからの脅威と対策を解説します。

2018年を通して高止まり傾向であったフィッシング詐欺は、2019年も引き続き多くのネット利用者を脅かしています。これは、サイバー犯罪者が実在する金融機関や各種インターネットサービスなどをかたって偽サイト（フィッシングサイト）へネット利用者を誘導し、そこで入力させた個人情報やクレジットカード情報、アカウント情報（IDとパスワード）などを盗み出す手口です。トレンドマイクロの調査では、2019年1月から9月までに、フィッシングサイトへ誘導された国内のネット利用者が約297万人に上りました。

中でも2019年9月から活発化しているのが、国内ネットバンキングの二要素認証を突破しようとする手口です。

これまでに確認されたのは、実在する金融機関を装って「不正ログインされた可能性があります」「口座再開の手続きを行ってください」などと通知するメールやSMSを不特定多数に送りつけ、ユーザをフィッシングサイトへ誘導するものなどです。サイバー犯罪者はそこで入力されたアカウント情報を使って正規のネットバンキングに不正アクセスし、利用者に偽サイトでの処理の完了を待たせている間、口座への送金といった追加の認証が必要となる手続きを行います。その後、本人確認のためなどと称してユーザから認証コードもだまし取ることで二要素認証を突破し、不正行為を働いていると推測されます。

警察庁の発表によると、2019年9月からフィッシング詐欺によるものと見られる不正送金被害が急増しています。2019年上半期（1月～6月）の被害件数は183件、被害額は約1億6,600万円にとどまったものの、同年9月だけで被害件数は436件、被害額は約4億2,600万円に膨れ上がりました。

偽装対象は都市銀行だけではありません。地方銀行などにも拡散する可能性があるため、ネットバンキングの利用者は注意してください。

キャリア決済やQRコード決済などのスマホ決済サービスをめぐる犯罪も世間を騒がせました。実際に、悪意のある第三者にスマホ決済サービスのアカウントを不正利用され、店舗やショッピングサイトで勝手に買い物をされるなどの被害が発生しています。

その原因の1つは、フィッシング詐欺などによってユーザが自らスマホ決済サービスのアカウント情報を漏らしてしまったことにあります。実際に、携帯電話事業者を装うSMSやメールで「キャリア決済が不正利用された可能性がある」「通話料が高額になっている」などと通知し、受信者にURLリンクを開かせることで偽のログイン画面へ誘導する手口が確認されました。

また、ユーザが複数のサービスに同一のIDとパスワードの組み合わせを使い回していることも一因です。サイバー犯罪者はフィッシング詐欺やサービス事業者への攻撃などによって不正に入手したアカウント情報をリスト化し、それらを用いて各種サービスへのログインを試みます。そのため、使い回しているIDとパスワードがサイバー犯罪者の手に渡ってしまうと、アカウントを芋づる式に乗っ取られるリスクを高めてしまうのです。アカウントの不正利用を防ぐための自衛策を講じましょう。

ランサムウェア（身代金要求型ウイルス）を利用した攻撃は依然として企業や組織に深刻な被害を及ぼしています。ランサムウェアは、パソコンやスマホをロックして操作不能にしたり、端末内の文書、画像、動画を暗号化して開けなくしたりして、復旧と引き替えに金銭を要求するマルウェア（悪意のあるソフトウェアの総称）です。

企業や組織を狙う攻撃の発端は主にメールです。たとえば、実在する企業を装って「Invoice（請求書）」「Payment（支払）」を件名とするメールを従業員に送りつけ、不正な添付ファイルを開かせることでネット上からマルウェアをインストールさせ、ランサムウェアなどに感染させる手口が確認されました。

また、OSやソフトの脆弱性（セキュリティ上の欠陥）を突くことで端末にランサムウェアを送り込む手口もあります。そのため、脆弱性を残したままの端末では、サイバー犯罪者によって設置された脆弱性攻撃サイトを訪れただけでランサムウェアに感染してしまうリスクがあるのです。Windows 7は2020年1月14日にすべてのサポートが終了し、以降OSの脆弱性を修正する更新プログラムが配布されなくなります。OSのサポートが切れる前に、勤務先のルールに従って最新バージョンへ移行しましょう。

ランサムウェアの標的は企業や組織だけではありません。その脅威は、オンラインゲームを楽しむ個人にも及んでいます。「ゲームを有利に進めるためのチートツールが手に入る」などと人気オンラインゲーム「フォートナイト（Fortnite）」のプレイヤーをそそのかし、チートツールに見せかけたランサムウェアをインストールさせる手口が報告されています。チートツールを装ってマルウェアをインストールさせる手口は過去にも確認されており、少しでもゲームを有利に進めたいと思うプレイヤーが餌食になっています。

ビジネスメール詐欺（BEC：Business E-mail Compromise）の被害はかつてないほどの規模に膨らんでいます。BECは、経営幹部や取引先などを装ったメールを従業員に送りつけ、サイバー犯罪者が管理する口座に送金させたり、特定の情報をだまし取ったりする手口です。米国連邦捜査局（FBI）による2019年9月の発表では、2016年6月から2019年7月における全世界でのBECの累計被害件数は16万6,349件、累積被害額は262億177万5,589米ドルに達しました。

BECもランサムウェアと同様、従業員に送りつけられるメールが攻撃の主な起点になっています。サイバー犯罪者は、業務メールの盗み見などにより従業員を欺くための情報を事前に収集し、もっともらしい内容の偽メールを送りつけてくるため、予備知識のない従業員は何の疑いもなくだまされてしまう恐れがあります。

BECはあらゆる規模、地域、業種の企業や組織をターゲットにしています。従業員一人ひとりが当事者意識を持ってBEC対策を実践しましょう。

2019年11月下旬から、EMOTET（エモテット）と呼ばれるマルウェアをインストールさせる不正な添付ファイル付きのスパムメールが世間を騒がせています。当初は海外の利用者を主な標的としていましたが、2019年4月に初めて日本語の件名が付けられた攻撃メールが確認されてから日本国内にも本格的に流入しています。確認されているのは、「請求書」「毎月の請求書」「ドキュメント」「助けて」などを件名として不特定多数に攻撃メールを送りつけるばらまき型の手口と、すでに感染してしまった利用者のメールを使って返信メールを装う手口の2種類です。後者では実際にメールをやり取りしている相手からの返信に見えるため、本物のメールと思い込んで添付ファイルを開いてしまいます。
EMOTETはWord文書ファイルなどのマクロ機能を悪用します。万一感染してしまうと、パソコン内の情報を盗み取られたり、ランサムウェアに感染したりする可能性があります。また、自身のメールアカウントを悪用され、過去にメールをやり取りしたことのある相手に不正メールを送られ、感染の拡大に加担してしまうこともあるため注意してください。

SMS（ショートメッセージサービス）内のURLリンクを不用意に開いてはいけません。携帯電話事業者をかたるSMS経由で「キャリア決済が不正利用された可能性がある」などと通知し、受信者にURLリンクを開かせることで偽のログインページ（フィッシングサイト）へ誘導する手口が確認されています。もし、誘導先のフィッシングサイトでアカウント情報（IDとパスワード）や個人情報、クレジットカード情報などを入力してしまうと、それらがサイバー犯罪者の手に渡ってしまいます。

SMSを悪用した詐欺の手口では、メッセージの内容だけでなく、差出人名も偽装している場合があります。この手口では、差出人名に任意の英数字を送信者IDとして指定できる機能が悪用されています。たとえば、携帯電話事業者などと同じ送信者IDが指定されたサイバー犯罪者からの偽装メッセージは、携帯電話事業者などの公式メッセージと同じ一覧に表示されてしまいます。すると、受信者は公式のメッセージの中にまぎれた偽装メッセージを本物と誤認してしまう可能性が高くなります。

実在するショッピングサイトや債権回収事業者をかたり、SMSで「未納料金があるため連絡してください」などと呼びかけ、偽のカスタマーセンターに電話するよう仕向ける手口も確認されています。これは電話越しに作り話を信じ込ませ、最終的に金銭や情報をだまし取ることが狙いです。

URLリンクや電話番号を含むSMSのメッセージを受け取った場合、そのメッセージの文言や電話番号をネットで検索し、公式のメッセージかどうかを必ず確認しましょう。それでも真偽を判別できなかった場合、送られてきたメッセージからではなく、公式サイトの会員ページや問い合わせ先などから事実確認を行ってください。
このようなメッセージの受信を防ぐため、iPhoneの場合はメッセージの設定画面から差出人のフィルタ設定をオンにしましょう。また、スマホのセキュリティアプリを常に最新の状態で利用し、フィッシングサイトなどの不正サイトへのアクセスを未然に防げるようにしておくことも対策として有効です。

iPhoneでメッセージをフィルタする/拒否する/削除する
https://support.apple.com/ja-jp/guide/iphone/iph203ab0be4/ios