オンラインゲームの人気に便乗するサイバー犯罪が後を絶ちません。ゲーム内チャットなどを悪用してユーザをだましたりマルウェアに感染させたりして、情報や金銭を奪うのが典型的な手口です。オンラインゲームを安全に利用するためのポイントを押さえましょう。

外出自粛が長引く中、オンラインゲーム（略称：オンゲー、ネットゲーム、ネトゲ）をプレイする人が増えています。オンラインゲームは、パソコンやゲーム専用機器、スマホなどからインターネットを介して複数のプレイヤーが同時に楽しむことができるゲームの総称です。

ただ、大勢のユーザを抱えるインターネットサービスはサイバー犯罪者に狙われやすいものです。オンラインゲームのユーザを取り巻く脅威にはどんなものがあるでしょうか。

代表的な脅威のひとつがフィッシング詐欺です。これは、正規サービスのログインページなどを装った偽サイト（フィッシングサイト）にネット利用者を誘導し、そこで入力されたアカウント情報（IDやパスワードなど）、個人情報、クレジットカード情報などを盗み出す手口です。サイバー犯罪者が標的のプレイヤーに近づくための主な手段はゲーム内チャットやSNSです。プレイヤーが興味を持ちそうな話題やアイテムの交換などを持ち掛け近づきます。

トレンドマイクロは、当時発売前であった人気のオープンワールドアクションRPG「サイバーパンク2077」を無償で入手できるとうたう偽サイトを確認しました。偽サイトからダウンロードした実行ファイルを開いてしまうと、同ゲームのタイトル画面のようなページが表示されます。そこでメニュー項目の「Install」をクリックするとライセンスキーの入手条件としてアンケートへの回答を求められます。しかし、この案内は全くのデタラメです。質問への回答として入力した情報はサイバー犯罪者の手に渡ってしまい、ネット詐欺などに悪用される可能性があります。もちろん、アンケートに答えてもゲームを楽しむことはできません。

マルウェアもパソコンゲーマーにとって見過ごせない脅威の1つです。ゲーム内チャットやSNSを使って「チートツールを入手できる」、「正規ツールのダウンロード」などと称して不正なURLリンクを案内し、プレイヤーをマルウェアの配布サイトに誘導するのが典型的なパターンです。

スマホゲーマーもゲームアプリに見せかけた偽アプリや不正アプリに注意してください。偽アプリは、正規アプリと同じタイトル名、アイコン、説明文などを使って本物を装う不正アプリです。実際、Android端末ユーザを対象にした偽アプリとして「サイバーパンク2077」を偽装するものが報告されています。配布サイトはGoogle Playに似せたデザインで、モバイル向けのベータ版を無料で入手できるとうたっていました。しかし、そこでばらまかれたのは端末内のファイルを暗号化して開けなくし、「24時間以内にBitcoinで500ドルを支払わないとデータを消去する」と脅迫するランサムウェアでした。

プレイヤー同士、ボイスチャットなどで会話しながらプレイできるのはオンラインゲームならではの魅力でしょう。しかし、実際に会ったことのない相手とのコミュニケーションがトラブルの引き金になることもあります。たとえば、「現実の通貨でアイテムの代金を支払う」というトレード話を持ちかけられ、先渡ししたアイテムを持ち逃げされるトラブルが発生しています。

ゲーム内には親しげに話しかけてきて本名やSNSのアカウントを尋ねたり、顔写真の送信を求めたりするプレイヤーもいます。しかし、こうした相手とプライベートな情報をやり取りするのは危険です。それに応じた場合、個人情報をネット掲示板や出会い系サイトなどにさらされたり、不正なメッセージを大量に送りつけられたりするかもしれません。

実在する企業やサービスになりすましたSNSアカウントやネット広告による被害は迷惑行為にとどまりません。たとえば、それらに騙された顧客や利用者が誘導先の不正サイトで被害に遭う可能性もあります。もし自組織がなりすましの被害に遭ったときは、できるだけ早く対処することが重要です。今回は企業や組織がなりすまし被害に遭った場合の対処法を紹介します。

企業がマーケティング活動の一環としてTwitterやFacebook、InstagramなどのSNSアカウントを取得し、さまざまな情報発信や商品の販売、顧客および潜在顧客とのコミュニケーションを行うことはいまや珍しくありません。

しかし、実在する企業のなりすましアカウント（偽アカウント）も出てきています。なりすましアカウントは公式アカウントの投稿やプロフィールを流用するだけでなく、公式アカウント名に「_（アンダーバー）」や「.（ドット）」を追加したり、「.official」の文字列を追加したりして本物を装っています。このため、利用者は誤ってなりすましアカウントをフォローしてしまう可能性や、偽アカウントからの通知を本物だと誤認する危険性があります。

なりすましアカウントを放置していると、どのようなリスクが生じるでしょうか。たとえば、不正なURLリンクを含むダイレクトメッセージをばらまかれ、フォロワーがネット詐欺などの被害に遭うかもしれません。実際、多くの企業が自社ブランドのなりすましアカウントによる被害例を公表しています。

SNS事業者はこのようななりすましを防ぐため、規定や審査を設けており本物であると確認できたアカウントに対して認証バッジの付与を行っています。しかし、すべての公式アカウントが認証バッジを取得することは困難であり、バッジを取得していない公式アカウントも多数存在します。このため、利用者は認証バッジの有無だけでなく、投稿内容も確認した上で公式アカウントかどうかを判断しなければならないのが実情です。

SNSは一定の条件下でだれもが自由にアカウントを作れる仕様になっており、公式アカウントの名称や投稿内容を複製したなりすましアカウントはいつ出現するかわかりません。そのため、現時点で有効な対策は、「なりすましアカウントを作られてしまったときにできるだけ早く対処する」という受け身的なものにならざるを得ません。では、SNS上でなりすましアカウントを見つけた場合、どうすればよいでしょうか。

企業はネット上のなりすまし広告にも目を光らせておかなければなりません。自社の商品やサービスの名称、ロゴなどを無許可で使用された広告が、広告プラットフォーマーによる審査をすり抜ける形で一般のWebサイトやSNS上に掲載されてしまう場合があるためです。

なりすまし広告の主な目的は、ネット利用者をフィッシングサイトや偽のショッピングサイトに誘導し、情報や金銭をだまし取ったり、粗悪品を売りつけたりすることです。もし、ネット利用者に実害が及んでしまった場合、本来なりすましの被害者であるはずの企業に問い合わせや苦情が殺到するかもしれません。

トレンドマイクロはGoogle検索結果ページのリスティング広告枠に、実在するブランドをかたるなりすまし広告が掲載された事案を確認しました。これはネット利用者をフィッシングサイトに誘導し、情報をだまし取ることを目的に出稿されたものと考えられます。

企業にはネット上になりすまし広告が掲載されていないかどうかを常にモニタリングすることが求められます。では、なりすまし広告を見つけた場合、どのように対処すればよいでしょうか。

巧妙に作られたなりすましアカウントや広告に対し、ユーザはどのような対策を行うべきでしょうか。

企業や組織は、なりすましへの対処や注意喚起を行うとともに、利用者に対しても安全なネット利用を呼びかけ、一人ひとりが対策を実践することを周知すると良いでしょう。

業種や規模にかかわらず、多くの企業や組織がサイバー攻撃の脅威にさらされています。サイバー攻撃によるマルウェア感染や情報漏えいなどの被害は、従業員の何気ない行動によってもたらされる場合もあります。勤務先や取引先をサイバー攻撃から守るために従業員が身につけるべきセキュリティの基礎知識を紹介します。

企業や組織を狙うサイバー攻撃の勢いは一向に衰えません。トレンドマイクロが国内の民間企業、官公庁自治体などを対象に行った調査では、約8割の組織が2019年4月から2020年3月までに何らかのセキュリティインシデントを経験したことがわかりました。内訳は「フィッシングメールの受信」が42.8％と上位。「ビジネスメール詐欺のメール受信」が29.1％、「不正サイトへのアクセス」が26.5％、「標的型攻撃」が22.2％と続きました。

サイバー攻撃によるマルウェア（ウイルスなど不正なプログラムの総称）感染や情報漏えいなどの事故は、経営層や従業員の不注意によって引き起こされる場合もあります。勤務先をサイバー攻撃から守るために必要なセキュリティ知識を身につけましょう。

企業や組織を狙うサイバー攻撃の多くは従業員に送りつけられるメールが起点となっています。以下に、実例を見ていきましょう。

ビジネスメール詐欺（BEC：Business E-mail Compromise）は、経営幹部や取引先などを装ったメールを従業員に送りつけ、金銭や情報をだまし取る手口です。たとえば、最高経営責任者を装う送金指示メールを経理担当者に送りつけ、サイバー犯罪者の管理下にある口座に送金させるパターンがあります。こうしたメールでは「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけます。また、取引先を装うメールに偽の請求書を添付し、振込先の変更を依頼する手口も確認されています。

BECでは業務メールアカウント情報の詐取も行われる場合があります。サイバー犯罪者の狙いは、業務メールアカウントを乗っ取ることでメールの内容を盗み見たり、なりすましメールを送信したりすることです。業務メールにクラウドサービスを利用する企業の従業員は、システム担当者やサービス事業者を装って「業務メールシステムへの再ログインが必要」「パスワードの有効期限が迫っている」などと呼びかけるメールに注意してください。それはフィッシングサイトに誘い込む罠かもしれません。

標的型サイバー攻撃は、重要情報の窃取を目的として、特定の企業に対して長期的に行われる一連の攻撃を指します。攻撃者は、あらゆる手段・手法を駆使し、目的達成のために標的とした組織を攻撃し続けます。典型的な攻撃パターンは、従業員のパソコンに遠隔操作ツールを送り込むことで標的のネットワークに侵入し、情報を盗み出したり、標的の端末に別のマルウェアをダウンロードさせたりすることです。

標的型サイバー攻撃も従業員宛てのメールが発端となる場合があります。たとえば、実在する企業や組織、取引先担当者、社内の関係者などを装って「請求書」「賞与支払」などの件名のメールを送りつけ、Officeの文書ファイルを開かせる手口が確認されています。ファイルを開き、メッセージバーの「コンテンツの有効化」をクリックしてしまった場合、不正なマクロが実行され、マルウェアに感染してしまうかもしれません。
2019年から2021年初頭にかけて国内でも大きな被害が発生したEMOTET（エモテット）と呼ばれるマルウェアも、メールの添付ファイルが感染経路でした。EMOTET自体は収束しましたが、それによって感染させられた別のマルウェアによる脅威や、すでに漏えいしてしまった情報の悪用、同様の手口による攻撃には今後も注意が必要です。

「異なるパスワードを設定すると忘れてしまう」などの理由から、Webメールやクラウドストレージなどの複数のサービスに同一のIDとパスワードを使い回していると勤務先を危険にさらしてしまうかもしれません。

複数のサービスで同一のIDとパスワードを使用しているとしましょう。仮に、フィッシング詐欺によって1つのサービスのIDとパスワードがサイバー犯罪者の手に渡ってしまった場合どうなるでしょうか。それは複数のサービスのIDとパスワードも漏れたことを意味します。つまり、同一のIDとパスワードの使い回しは各種サービスのアカウントを芋づる式に乗っ取られるリスクを高める行為なのです。

「×××1」「×××2」のように数字だけ異なる文字列や、「qwerty」「asdfgh」などのキーボードの配列、「password」「picture」などの辞書に載っている単語を各種サービスのパスワードとして設定するのも危険です。第三者が容易に探り当てられるものでは認証をかける意味が薄れてしまいます。アルファベットの大文字、小文字、数字、記号など、使用できる文字種をランダムになるべく長く組み合わせ、第三者に推測されにくいパスワードを設定してください。パスワードの管理や作成を困難と感じる場合は、パスワード管理ツールの利用が便利です。勤務先で利用が許可されている場合は活用すると良いでしょう。

LinkedInなどのSNSがサイバー攻撃の準備段階におけるスパイ活動の場として使われていることを知っていますか。サイバー犯罪者はSNS利用者が広く公開しているプロフィール情報（勤務先名や役職、業務メールアドレスなど）や仕事がらみの投稿（職場の人間関係や内部情報、機密情報を含む写真・動画）をもとに標的企業の情報収集と攻撃対象の選別を行います。その上でもっともらしい内容のメールを仕立て、従業員をだましにかかります。

たとえ、プライベートなSNSでも、そこでの投稿や発言には責任が伴うことを自覚しましょう。SNS上に本来秘密にするべき職務内容や取引関係、業務上知り得た情報などを公開するのはもってのほか。SNSでの不適切な投稿で勤務先や取引先に損害を与えてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあることを覚えておきましょう。SNSへの投稿がきっかけとなり、自身の進退を問われたり、社会的地位を失ったりした例も実際に起こっています。

サイバー攻撃は、規模や地域、業種を問わない脅威です。あらゆる企業や組織がターゲットであり、どの従業員が、いつ狙われるかわかりません。すべての従業員にはサイバー攻撃を回避するためのセキュリティ知識を身につけるだけでなく、サイバー犯罪者に付け入る隙を与えない行動も求められます。

iPhoneやAndroid端末などのスマホを安全に利用するためには、OS（基本ソフト）の脆弱性対策が欠かせません。脆弱性は、プログラムの不具合などが原因で生じるセキュリティ上の欠陥です。

スマホのOSに脆弱性があると、どのようなリスクが生じるでしょうか。たとえば、端末を不正操作されたり、端末内の連絡先情報やファイルを盗み取られたりする可能性があります。iOSではこれまで、端末にインストールされた正規アプリを不正アプリに置き換えられたり、Apple IDを流出させたりするリスクのある脆弱性が確認されています。Android OSでも過去に、端末を不正操作されたり、端末からの通信を傍受されたりしてしまうリスクのある脆弱性が見つかりました。

iPhoneやAndroid端末に存在するOSの脆弱性を解消するためには、OSのアップデートが欠かせません。iPhoneの場合、iOSの開発元であるApple社が脆弱性を発見すると、それらの脆弱性を修正したiOSの最新版を提供します。Android端末の場合、各端末メーカーや携帯電話会社が最新版をリリースするタイミングなどを判断します。ユーザは最新のOSを適用することで、脆弱性によって生じるリスクを回避できます。

ただし、機種によっては最新版のリリースが遅れたり、アップデートが公開されなかったりする場合もあるため、セキュリティアプリを最新の状態にして利用するといった対策は必須です。また、サポート切れの端末を使い続けている場合は脆弱性を放置しているも同然です。新機種への買い替えを検討してください。

通常、iPhoneやAndroid端末ではOSの最新版が提供されると、ロック画面や通知領域に更新の通知が届きます。しかし、何らかの理由で通知されなかったり、ユーザが通知を見落としたりすることがあるかもしれません。iPhoneやAndroid端末にOSの最新版が提供されているかどうかを定期的に確認する習慣をつけましょう。

端末の「設定」から「一般」へ進みます。「ソフトウェア・アップデート」をタップすると、「アップデートを確認中」と表示されるため、しばらく待ちます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「お使いのソフトウェアは最新です」と表示されます。iOSの最新版がある場合は、最新のiOSのバージョン名が表示されます。「今すぐインストール」をタップし、画面の指示に従って操作すれば最新のiOSにアップデートできます。

端末の「設定」から「システム（※）」、「詳細設定」に進み、「システムアップデート」を押すと、Android OSの最新版が提供されているかどうかを確認できます。利用可能なソフトウェア・アップデートがない場合、あるいは最新版を適用済みの場合は、「最新バージョンに更新されています」、「最新のソフトウェアを利用中です」、「お使いのシステムは最新の状態です」、「更新なし」などと表示されます。Android OSの最新版がリリースされている場合、「今すぐ更新」、「アップデート」、「（再起動して）インストール」などと表示されます。それをタップし、画面の指示に従って操作すれば最新のAndroid OSにアップデートできます。
※OSのバージョンや機種によっては、「システム」ではなく、「端末情報」や「端末管理」、「バージョン情報」などと表記されます。詳しくは各機種の取り扱い説明などを参照してください。

たびたび世間を騒がせている企業の情報漏えい。営業秘密や顧客情報の漏えいは、企業に致命的なダメージをもたらします。今回は、文書ファイルの共有時、クラウドサービス利用時、テレワーク時の3つのシーンで従業員の不注意がきっかけとなる情報漏えいパターンと防止策を紹介します。

みなさんは企業の情報漏えいと聞いたとき、サイバー攻撃による不正アクセスを真っ先に想像するのではないでしょうか。しかし、従業員の不注意や認識不足をきっかけとする情報漏えい事故も少なくありません。もし、パソコンやネット利用時のうっかりした行動で深刻な情報漏えいが生じてしまった場合、どうなるでしょうか。当事者はもちろん、勤務先の信用も失われ、業績などに悪影響が及んでしまうかもしれません。

一口に情報漏えいを引き起こす従業員の過失といってもその内容はさまざまです。今回は見落としがちなケースを「文書ファイルの共有時」「クラウドサービス利用時」「テレワーク時」の3つのシーンにおいて、情報漏えいパターンと防止策を見ていきましょう。

ビジネスシーンではMicrosoft Office（Word、Excel、PowerPoint）などで作成した文書ファイルを取引先や社外の関係者に送る機会がよくあるでしょう。その際は事前に文書の中身だけでなく、プロパティ情報（「作成者」「前回保存者」「タイトル」「件名」「タグ」「作成日時」などの属性情報）や非表示情報（「コメント」「変更履歴」「バージョン」「注釈」「隠し文字」など）もチェックしましょう。うっかりそれらの情報を残した文書ファイルを社外に出してしまった場合、情報漏えいにつながる可能性があります。

Microsoft Officeでは「ドキュメント検査」を使用することで文書ファイルに保存されている不要な情報を一括で削除できます。

また、Microsoft Officeの「名前を付けて保存」機能からPDFを生成するとOfficeファイルのプロパティ情報がそのままPDFファイルに引き継がれます。Officeファイルの不要なプロパティ情報を削除してからPDF化するか、保存の際に表示されるオプションから「印刷対象外の情報を含める」の項目のチェックを外しましょう。

利便性を重視して、個人で利用登録しているクラウドサービスを勤務先に無断で業務利用してはいけません。たとえば、クラウドストレージは取引先と大容量の業務データをやり取りするときなどに役立ちますが、クラウドサービスの利用においては情報漏えいリスクがつきものです。フリーメールサービスも同様です。業務メールを出先や私用のスマホなどで確認するためにフリーメールアドレス宛に無断で転送してはいけません。サービス事業者の人為的なミスやサイバー攻撃などが原因でクラウド上の業務データが流出してしまう事故も起こっています。勤務先の規程に反した行動で情報漏えいが生じてしまった場合、懲戒の対象になるだけでなく、損害賠償を請求される可能性もあります。

勤務先に許可されているクラウドサービスの利用にあたっても油断は禁物です。機能や仕様だけでなく、利用規約の内容（アップロードされたデータの取り扱いや、機密保持、第三者への業務委託、補償の範囲、禁止事項など）も十分に理解した上でサービスを利用しなければ、意図しない情報漏えいを招いてしまうかもしれません。過去には、あるクラウド翻訳サイトで翻訳にかけた文章が他の利用者にも閲覧できる状態になっていたケースがありました。原因は、翻訳結果をサービス事業者のサーバに保存することを許可する内容のチェックボックスをオンにしたままサービスを利用したことでした。

また、利用規約に「アップロードされたデータをサービス向上のためだけに用いる」という記載があっても、それ以外の目的に使われないという完全な保証はありません。クラウド上にアップロードした情報はユーザのコントロールが及ばなくなることに留意してサービスを利用するかどうかを判断してください。

テレワークという就業場所を問わない働き方が浸透しつつあります。一方、セキュリティが強固なオフィスとは別の場所で就労することになるため、情報漏えいリスクは高まります。

オフィス外では使い慣れた私用のパソコンを使って業務を行いたいと考えるかもしれません。しかし、勤務先の断りなく、私用の端末を業務に用いるのは危険です。通常、勤務先から支給された業務用端末にはマルウェア対策や情報漏えい対策がとられています。一方、私用端末のセキュリティレベルはユーザの知識やモラルによってまちまちです。セキュリティに不備のある私用端末を業務に利用した場合、マルウェア感染やフィッシングサイトでの情報入力などがきっかけで情報漏えいを引き起こしてしまうかもしれません。

また、自宅外でのテレワーク時は、公衆Wi-Fiを利用するケースもあるでしょう。ただ、公衆Wi-Fiスポットの中にはユーザの利便性を優先するためにあえてパスワード認証なしにつなげるようにしているものや、設定不備によって同一ネットワーク上の端末が互いに通信できる状態になっているものも存在します。そんな公衆Wi-Fiスポットを利用してしまった場合、悪意のある第三者に通信内容を盗み見られる可能性があります。どうしても公衆Wi-Fiにつながなくてはならない場合はVPNソフトを利用するなど、勤務先に指定された方法と手順をとってください。

公共の場でのパソコン作業時はのぞき見による情報漏えいも回避しなければなりません。最低限、端末画面にプライバシーフィルター（のぞき見防止フィルム）を装着し、壁を背にするなど、周囲の目線に気を配るなどの対策は必須です。また、パソコン作業中に離席する際は端末の盗難に注意するとともに、ごく短時間であっても必ずスクリーンロックをかけましょう。これはパソコン画面を専用のロック画面に切り替えることで第三者に作業内容を盗み見られたり、勝手に操作されたりすることを防ぐ仕組みです。使用を再開する場合、事前に設定したパスワード、あるいはPIN（4桁以上の暗証番号）を入力してロックを解除します。自分の名前や生年月日、規則的な数字（1234）など、簡単に推測できるパスワードや暗証番号を設定するのは避けましょう。

テレワーク時はマルウェア感染や情報漏えいなどのトラブルを回避するためにも勤務先が定めるガイドラインやポリシーに従ってください。また、在宅勤務時は家族であっても業務上は部外者であることを意識して業務にあたりましょう。