IPA(独立行政法人情報処理推進機構セキュリティセンター)が発行している「情報セキュリティ十大脅威」の2017年版によると、脅威の第一位は次のようになっています。
個人向け脅威第一位
「インターネットバンキングやクレジットカード情報の不正利用」
組織向け脅威第一位
「標準型攻撃による情報流出」
まったく違うように思うかもしれませんが、「不正に情報を盗み出して、それを悪用する」という点では同じです。
そしてその手法の多くが「ウイルスなどのマルウェアを添付させたメールを送りつけたり、悪意あるサイトへのアクセスを誘導するメールを送ったりすることからはじまる」という点でも同じです。

これに対する防衛策としては、フィッシングサイト対策も含んだアンチウイルスソフトをPCにインストールしておくというのが一般的です。多くの方がそういう対策はされていると思います。WindowsPCだと、OSにWindows Defenderというウイルス対策ソフトも入っていますし、フィッシングサイト検知と警告はWebブラウザでもある程度は標準で対応しています。

しかし忘れてはいけないのは、一般的なアンチウイルスソフトのマルウェア判定は「過去に確認されたマルウェアに対して、それを定義するファイル(英語だと virus definition file、通称「VDF」)を作成し、その定義ファイルを利用してマルウェアの認定と警告や削除等の対策を行う」ということです。

つまり、作り出されたばかりで未知のマルウェアに対して、
(1) それに対する定義ファイルをアンチウイルスソフトメーカーが作成して配布するまで
(2) 完成/配布された定義ファイルを自分の利用しているアンチウイルスソフトで更新するまで
の2つのタイムラグがあり、(2)が完了するまでは、そのマルウェアには無防備、ということになるのです。

そしてさらに厄介なことは、ターゲットを定めて行なわれる標的型攻撃の場合、ターゲットに応じてカスタマイズされた未知のマルウェアが使われたりするために、定義ファイルの対応が間に合わないケースがあることです。
未知のマルウェアに対しても分析して警告してくれるサービスをもありますが、多くの「アンチウイルスソフトを入れているだけ」の場合、未知のマルウェアに対しては無防備だと知ることが大事なのです。

ですので、アンチウイルスソフトが削除しなかったメール、警告のないメールでも、外部サイトへのリンクをクリックしたり、添付ファイルを開く場合には、それが悪意を隠した偽装メールではないかどうか、十分な確認ができないものは、絶対にクリックしたり開いたりしてはいけない、ということは肝に命じておきましょう。

怖い話ですが無知であったり不用意である人が狙われる時代ですので、くれぐれもご用心を・・・。