「コンピュータウイルス対策基準」（通商産業省告示第952号）では、コンピュータウイルス（以下、ウイルス）の定義を、『第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムであり、次の機能を一つ以上有するもの』としている。

自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能

発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

プログラムやデータ等のファイルの破壊を行ったり、設計者の意図しない動作をする等の機能

具体的には、自身のプログラム・コードをクライアントPCやサーバー内のファイルに書き込む（埋め込む）、自身のコピーをインターネットや社内ネットワークを介して他のクライアントPCやサーバーに送り込むことで自己増殖する（例えば、アドレス帳に載っているメールアドレスに自身のコピーを潜ませたメールを大量送信する）という特徴を持つ不正プログラムである。感染せず自己増殖を行うものを特にワームと呼ぶ。
   ウイルスは、電子メールによって感染及び拡散するケースが最も多く、電子メールによるウイルスの感染の割合はIPAにおけるコンピュータウイルスに関する届出件数の実に約98%を占めている（図表5）。ウイルス感染した添付ファイルを開くことで利用者のクライアントPCにウイルスが感染するケースが多い。

その他、「スパイウェア」と呼ばれる、利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラムが多数出回っている。代表的なものとして図表6に示すものがあげられる。

インターネットの利便性を向上させる目的で作成されたソフトウェアについても、提供を受ける側から見るとスパイウェアに位置づけられるものがある。その代表的なものにアドウェアがある。
   アドウェアとは、広告を勝手に表示する機能を持つソフトウェアであり、利用者の画面に広告を表示する代わりに、利用者が無料で利用できるのが特徴である。なかには利用者のコンピュータ環境やWebブラウザのアクセス履歴などの情報を外部に通知するものがあり、スパイウェアのはじまりといわれている。

ウイルスに感染することにより、次のようなさまざまな症状が発生する。

• 他のクライアントPCやサーバーにウイルスを送信する。
• クライアントPCやサーバーの起動に異常に時間がかかる。
• クライアントPCやサーバーが起動できなくなる。
• クライアントPCやサーバーの処理速度が遅くなる。
• 異常なメッセージを表示したり、音楽を演奏する。
• クライアントPCやサーバーの画面の表示が崩れる。
• 利用者が意図しないディスクへのアクセスを勝手に行う。
• ディスク上のファイルを削除する。
• ディスク上のファイルを破壊する。
• クライアントPCやサーバー内のファイルを勝手にメールに添付して送信する。
• 攻撃者が一度侵入したクライアントPCやサーバーに再度侵入しやすくするための仕掛け（バックドア）を作る。

ウイルス感染による被害は、軽微なものから、情報を削除、破壊、外部流出させるもの、社内ネットワークを麻痺させるような重大ものまでさまざまであり予測はできない。常に最悪の状態を念頭に置いて対策を講ずることが望まれる。

「フィッシング（Phishing）」とは、金融機関等からの電子メールを装い、電子メールの受信者に偽のホームページにアクセスするよう仕向け、そのページにおいて個人の金融情報（クレジットカード番号、ID、パスワード等）を入力させるなどして、個人情報を不正に入手する詐欺的な行為である。
  米国の大手銀行やプロバイダが中心となって活動しているアンチ・フィッシング・ワーキング・グループ（APWG）の報告によると、全攻撃の92.6%が金融業界をターゲットとしたものである。社会的な信用が確立している大手の銀行やオンライン小売業者、クレジットカード会社を名乗ることにより、被害者が安心したところで個人情報を盗み出していることが伺える。実際、某オークションサイトの偽装Webサイトを構築しフィッシングにより正規ユーザーのIDとパスワードを不正に取得後、他人になりすましインターネットオークションに参加し、金をだまし取ったとして、詐欺や不正アクセス禁止法違反などの疑いで逮捕された事例がある。
  わが国では、「フィッシング対策協議会」がフィッシングに関する情報収集・提供、注意喚起等に関する活動を行っている。

フィッシング対策協議会
http://www.antiphishing.jp/index.html

  フィッシング自体は単純な原理に基づいているが、利用者を騙すために様々な工夫が凝らされている。典型的なフィッシングの手口は次のとおりである（図表7）。

攻撃者は、まず真実味のある内容(たとえば、新しいサービスに無料で加入できる、新システムの移行に伴いパスワードの変更が必要など)のフィッシングメールを作成する。さらに、本文中に偽装Webサイトへ誘導するためのリンクを挿入する。リンク先のアドレスも本物に見えるような工夫がなされている。そして、実在する企業になりすまし、フィッシングメールを送信する。

利用者の元にフィッシングメールが届く。しかし、巧妙に作られているためフィッシングであることに気づかず、本文中のリンクをクリックし、あらかじめ用意された偽装Webサイトに誘導される。

リンク先の偽装Webサイトでは、実在の企業名やロゴが使われたり、実在のWebサイトと全く同じデザインにするなどして、利用者に本物のWebサイトと思い込ませるようになっている。ブラウザ上のアドレスバーを非表示にしたり、アドレスバー自体を偽装するなどの巧妙な手口を用いる場合もある。

フィッシングの目的は、クレジットカードのカード番号、銀行の口座番号、ユーザーID、アクセス用のパスワード、決済用のパスワードなどを盗み取ることである。利用者は正規のWebサイトと信じているため、偽装Webサイトに用意されたこれらの入力を受け付けるフィールドに入力してしまう。

電子メールに書かれた偽装WebサイトのURLにアクセスし、入力してしまった情報が攻撃者に漏洩してしまうことがフィッシングによるリスクである。近年では、スピア攻撃（標的型攻撃）と呼ばれるターゲットを絞って攻撃するケースが多く報告されており、フィッシングメールであることが一目でわからないような巧妙な手口が横行する可能性が高い。

電子メールの技術仕様はRFC2821「Simple Mail Transfer Protocol」で取り決められているが、電子メール送信者のなりすましによる攻撃が想定されているわけではないため、簡単に送信者を詐称した電子メールを作成することが可能である。
  特に、迷惑メールの大部分は送信者をなりすましており、差出人のメールアドレスは実際の送信者のものではない可能性が高い。また、仮に迷惑メールではない普通の電子メールであっても、実際の送信者は全くの別人である可能性があることを知っておく必要がある。

このような偽の電子メールによって、受信相手はなりすましに気付かず、返信してしまうことで機密情報が漏洩することや、疑うことなく添付ファイルを開いてしまい、ウイルスに感染する危険性がある。

迷惑メールはスパム（Spam）メール、UBE（Unsolicited Bulk Email）とも呼ばれる。迷惑メールの申告件数は年々増えており、これらの攻撃によるリスクも増加している。シマンテックによる2007年3月時点での報告では、全インターネットで配信される電子メールの約7割が迷惑メールであることがわかる（図表8）。

このような状況に対し、わが国では法整備を含めて対応を進めている。迷惑メールを規制する法律として平成14年（2002年）に「特定電子メールの送信の適正化等に関する法律」が制定され、営利目的の広告あるいは宣伝のために電子メールを送信する場合の表示義務や罰則等が定められた。迷惑メールによる被害の拡大に伴い、平成17年に特定電子メールの範囲を拡大した改正法が施行されている。

   法律だけでは迷惑メール抑止に歯止めが効かないことから、ISP（Internet Service Provider）による迷惑メール対策が実施され始めている。その対策のひとつとして、25番ポートブロック（OP25B）がある。これはISPの利用者が外部のメールサーバーに直接SMTP接続できないようにする対策である。この対策により、ISPの利用者がメールを送信する場合は、ISPが提供するメールサーバーを経由するか、「Submissionポート（通常587番ポート）」と呼ばれる送信専用のポートに対しSMTP認証を経て送信することとなる。これにより、ISP側でISPの利用者が迷惑メールを送信することを防止することが可能となり、迷惑メールの流通量が減少することが期待されている。

迷惑メールがセキュリティ面で問題となっているのは、業務上で電子メールを利用している場合にその業務の支障となるばかりでなく、ウイルスを添付している場合やフィッシングメールの媒介として利用されているからである。したがって、迷惑メールは可能な限り、社内の従業員に届かないことが望ましい。また、大量の迷惑メールによりメールサーバーの負荷が増えることで、業務に必要な電子メールの配信に支障を及ぼす可能性もある。

SMTPによる電子メールの配信はバケツリレーのように行われ、複数のメールサーバーを経由して届けられる可能性がある。メールサーバーの管理者は、メールサーバーに保管されている配信途中の電子メールにアクセスすることが容易にできる。したがって、電子メールを送信する場合は、メールサーバーの管理者権限を持つ者が、配信途中の電子メールを読んだり書き換えたりする可能性があることを留意しておかなければならない。

電子メールの内容がメールサーバー上で盗み見されることによる情報の漏洩が考えられる。また、電子メールの内容を変えることも容易にできてしまうため、改ざんのおそれもある。

電子メールを利用する上で、利用者が意図せず機密情報が漏洩するケースが後を絶たない。例えば、次のようなケースがある。

• 電子メール送信時に、顧客名簿のメールアドレスをBCCではなくTOやCC欄に入力したため、顧客名簿の情報が外部へ流出してしまった。
• 宛先メールアドレスを間違え、他の顧客や企業へ機密情報を送信してしまった。
• 不注意により、添付すべきファイルとは異なるファイルを添付し送付してしまった。

実際に企業の機密情報が外部へ漏洩した事例を図表9に示す。

一旦送信してしまった電子メールは、取り消すことができない。したがって、利用者が電子メールを送信する場合は、特に注意が必要である。情報の漏洩が発生すると、機密情報の度合いによっては、損害賠償の対象や企業信用の失墜につながることを留意しなければならない。

電子メールは利用者同士の顔が見えないため、好き勝手な発言ができる雰囲気がある。そのため、受信相手に対しての嫌がらせや中傷の内容を含んだ電子メールが大きな社会問題となっている。送信者が意図していなくても、受信相手が誹謗・中傷をされたと受け取るような文面を送ってしまうこともある。従業員が起こした問題は、所属する企業に直接跳ね返ってくるということを忘れてはならない。

誹謗・中傷の度合いによっては、損害賠償の対象や企業信用の失墜につながることを留意しなければならない。

電子メールへのDoS攻撃 ¹の代表例としては「メール爆弾（E-mail Bomb）」があげられる。攻撃者がメールサーバーに対して大量の電子メールを送りつけることにより、メールサーバーのパフォーマンスが極端に低下したり、サーバーがダウンすることにより、正規の処理を滞らせることを目的とするものである。
  なお、意図的な攻撃ではなく、一時的に処理する電子メール量が多くなった場合も同様の状況になるため、攻撃によるものか正常な処理の負荷が上がっているのかをいち早く検知できる仕組みが必要である。

メール爆弾などのDoS攻撃によって、メールサーバーによるサービス提供が不能となり、電子メールを業務に使っている場合は、業務が滞るなどの被害が発生する可能性がある。特に、電子メールは企業間や顧客とのコミュニケーションツールとなっているため、メールサーバーをはじめとする電子メールシステムの障害は取引先や顧客に対しても影響を与えることとなる。