「Windows+R」は絶対に押さないで！ 新入社員に贈るセキュリティの新常識5選：半径300メートルのIT

学生時代と同じ感覚でPCやSNSを利用していると、気付かないうちに会社を大きなリスクにさらしてしまうかもしれません。特に最近は、不慣れな利用者につけ込んだ、巧妙なサイバー攻撃が急増しています。自分自身と会社を守るために身に付けておくべきセキュリティ対策を紹介します。

[宮田健，ITmedia]

　4月も半ばを過ぎ、新入社員のみなさんは研修を終えて業務を覚え始めた頃ではないでしょうか。2026年は特に、SNSにおけるトラブルが多発していたようです。やってはならないことの尺度が学生時代と大きく変化するだけでなく、SNSがトラブルを拡大させ、取り返しのつかないデジタルタトゥーを残してしまう恐れがあります。このリスクは学生時代もそう変わらないはずなのですが、同時に複数の問題が明らかになっており、新入社員でなくても気を引き締めていかねばならないと思いました。

　そこで、主に新入社員へ向け、サイバーセキュリティの側面からいま一度気をつけたいポイントをまとめたいと思います。

いつも「Windows+L」を使え、そして「Windows+R」は使うな！

　ここでは、重要な2つのショートカットをご紹介します。まずは「Windows+L」。これはPCをロックするためのショートカットキーで、日常的に使われます。PCから離れるときは、必ずこのキーを押してから離席しましょう。

　社内だからと安心してはなりません。まだ新人だから見られたら困るような情報などはないとも限りません。あなたのPCは社内システムに入る入口。席を離れた際に第三者に操作されると、本人の操作として扱われる場合があります。常に、このキーを押す練習をしておきましょう。

　そしてもう1つ、「Windows+R」を覚えておいてください。これは“絶対に使わない”。

　キー操作やショートカットの利用をきっかけに、偽の画面へ誘導する手口も報告されています。これは「ClickFix」と呼ばれるもので、Webサイトの閲覧中にエラーが発生したと偽の警告を表示し、ユーザー自身の手で悪意のあるコマンドをコピー＆ペースト（貼り付け）させて実行させる、極めて巧妙な「ソーシャルエンジニアリング」手法です。これまでも突然画面が操作できなくなり、巧妙に電話をかけさせ金銭を要求する「サポート詐欺」が話題になりましたが、これをさらに巧妙化させた手口です。

ClickFixとは（出典：警察庁の注意喚起）

　攻撃者はこの手法を使い、あなたのPCに「インフォスティーラー」と呼ばれるマルウェアに感染させようとします。この攻撃は検知も難しく、利用者による正規操作として記録されてしまう可能性があります。最大の対策はこの手法を知っておくことです。通常、仕事中にわざわざ「Windows+R」を使うことはないはず。そのため、このキーを押せ、と画面に表示されたとしたら、ClickFixの手法を思い出し、すぐに先輩に声をかけ、本当に実行すべきかどうかを確認するようにしましょう。

電話の取り次ぎ、「社長から」でも気をつけろ！

　新入社員の最初の仕事として任せられる電話の取り次ぎですが、その電話がサイバー攻撃の一つとして悪用されることがあるのをご存じでしょうか。

　例えばあなたのもとに、社長を名乗る人から「取引先から振込口座の変更を指示された。20分以内に振り込まなければ億単位の取引が解消される。急げ！」といった電話が来るかもしれません。今、生成AIを活用し、あなたの会社の重役の声を合成で作り出して、電話などで偽の指示を送り、振込先を変更するなどして金銭を盗む「CEO詐欺」が問題となっています。

　これも、対策は「知ること」。こんな単純な詐欺にだまされない、と思っている人が一番危ないのです。敵は人間の心理をつかみ、焦らせることで判断力を下げることで、華麗にだまされてしまいます。敵のやり方は「期限を切り焦らせること」。これも、先輩に助言を求めましょう。その時「CEO詐欺ではないか？」とひと言加えれば、だまされることもないでしょう。

　最近では、メールアドレスに社長名義で「『LINE』でグループを作成し、そこにコードを送れ」という、偽の指示が送られてくることもあります。これに関しては社長自ら「自分はそんな指示はしてしない」と言ってくれれば対策は完了なのですが、なかなか認知が進んでいないようです。

筆者の元にも大量に詐欺メールが届いている（出典：筆者の「Gmail」アカウント）

PC操作が得意でも、ルールを守ろう

　学生時代にPCをフル活用していて、さまざまなノウハウを持っている方も多いと思います。しかし、社会人になると、それが社用PCでそのまま使えるとは限りません。

　例えば、自分がいつも使っているソフトウェアを、勝手にインストールしてはなりません。加えて、自分がいつも使っているWebサービスも、そのまま使ってはならない可能性が高いのです。個人の判断でツールを使うことが「脆弱（ぜいじゃく）性」となったり、「情報漏えい」に直結してしまったりするからです。これは組織において「シャドーIT」として問題となっており、会社のセキュリティ対策が及ばない管理外のリスクとなるため、厳しく制限されているのです。

　特に気を付けたいのは、Webブラウザの「同期機能」です。Webブラウザにはアカウントにログインすることで、設定や機能拡張、パスワードなどの情報を同期する機能があります。この機能自体は非常に強力なのですが、組織のアカウントを自分のPCでログインする、または自分のアカウントを社用PCでログインし、それぞれの設定を同期することは避けてください。

　もしこれをやってしまうと、組織に比べセキュリティ対策がとられていない自宅のPCが攻撃され、マルウェアにより情報を奪われると、組織の情報（特にパスワードなどの認証情報）が奪われてしまうことになります。会社は支給PCは管理できますが、個人所有PCは管理できないため、対処ができない大きなリスクになってしまいます。同期は非常に便利ですが、あくまで個人PCだけに留めるようにしましょう。

会社のアカウントは、自宅のPCでは「同期を有効」にしない！（出典：筆者の「Gmail」アカウント）

AIの使い方を改めよう

　そして、大きな課題となっているのは生成AIです。どこまで本当かは分かりませんが、「議事録なんて生成AIでよくないですか？」といった声もあるようです。私も半分は同意しますが、ほとんどの生成AIはサービス側に情報を渡さねばならないため、厳密にいえば「情報漏えい」そのもの。組織が専用のサービスを提供していない限り、個人で利用していた、個人アカウントにひも付く生成AIサービスに組織の情報を預けるのは御法度です。もちろん、議事録を作るための録音や資料も基本的には社外秘のはず。面倒かもしれませんが、議事録を書くのもスキル研さんと考え、しっかり頑張って作成しましょう。

　でも、知らない単語を聞くのは生成AIの利用方法としては非常に優れていると思います。例えば、今回のコラムにて太字で紹介しているキーワードを、生成AIに聞いてみましょう。すると、これまでならば先輩にしか聞けなかったようなノウハウを含め、生成AIがまとめてくれます。

　もちろん、「ハレーション」もあるかもしれませんが、一般用語であればそのリスクも少ないはず。追加でいろいろと聞くこともできるので、特にバズワードが増えがちなセキュリティ用語を調べるにはとても良いツールです。一般用語なのか、社内用語なのか区別がつかなければ、これも先輩に教えてもらいましょう。

最近筆者が知ったキーワードを聞いてみた（出典：生成AI「Gemini」とのチャット画面）

セキュリティ対策は経営層の仕事でもセキュリティ担当のものでもない

　社会人となった皆さんだけでなく、多くの方に知ってほしいのは、もはやセキュリティはセキュリティ担当だけが考えるものではなく、従業員、そしてその家族、国民全員が考えなくてはならないものになっているということです。皆さんはスマートフォンを手に、毎日ネットワークにつながって生活をしています。ネットワークにつながることは生活を便利にするとともに、さまざまな悪意と接し、決してゼロにならないリスクとともに生きるということです。家に鍵をかけない人がいないように、サイバーセキュリティでもネットにつながる全員が防犯、防衛を考えなくてはなりません。

　入口としては、以前紹介した無料の資料がお勧めできます。これらは社会人として役に立つだけでなく、スマートフォンを使う個人としても知っておきたいもの。自分のうっかりで、自分や家族の資産を奪われてしまうと、精神的にも追い込まれてしまいます。その前に、ぜひ、「知ること」から始めてください。

MOTEXが配布しているサイバーセキュリティハンドブック『セキュリティ 7つの習慣・20の事例』（出典：MOTEXのWebサイト）

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。