| 【1】セキュリティの必要性とその対策 |
インターネットや様々な記録メディアは必要な情報の収集やコミュニケーション、データのやり取りなどに欠かせない存在です。しかし、そこには様々な脅威が溢れており、あなたのパソコンを狙っています。コンピュータウイルスはもちろん、インターネットを介した不正アクセス、或は大切な情報もろともパソコンを紛失してしまうこともあり得ます。しかし、怯えてばかりいても事故は防げません。危険を見極め、しっかりとした対策を行ないましょう。本節では、パソコンのセキュリティ対策につき以下で取り上げ解説しました。
|
| あなたのパソコンを襲う様々な脅威 |
パソコンはマルウェアや不正アクセス、フィッシング詐欺、紛失&盗難といった様々な脅威に晒されています。特に最近は複数の機能を有した脅威も存在しています。以下それぞれの脅威の特徴について簡単に説明します。
| ■ |
マルウェア |
|
マルウェア(malware)とはmalicious software(悪意のあるソフトウェア)を略した造語で、悪意のこもったソフトウェアの意味。遠隔地のコンピュータに侵入して感染活動や破壊活動を行なうものや情報を外部に漏洩させるものなどマルウェアには様々な種類がある。 |
|
| ■ |
コンピュータウイルス |
|
第三者のプログラムやシステムに対して意図的に何らかの被害を与える目的で作成されたプログラム。他のプログラムやシステムに自らをコピーすることで、他のシステムに感染する機能や、特定の時間や一定期間、処理回数などの条件が満たされるまで潜伏する機能、また、プログラムやデータの破壊やパソコンを異常動作させる機能などを有している。〔感染→潜伏→発症〕という自然界のウイルスに似たサイクルを持ち、自己増殖することが名前の由来。 |
|
| ■ |
ワーム |
|
コンピュータウイルスの一種。コンピュータウイルスは自己増殖のために実行プログラムなど寄生するものが必要であるのに対し、ワームは寄生するものを必要としないことが特徴。このため、コンピュータウイルスは感染した実行プログラムを起動することで「発症」するのに対し、ワームは一度感染するとパソコンが動いている間、常に活動するという特徴がある。 |
|
| ■ |
トロイの木馬 |
|
コンピュータウイルスのように他のプログラムにコピーして感染するのではなく、自己増殖機能がない独立したプログラムで、あたかも有益なプログラムであるかのように振舞うことが特徴。実行されると、被害者に気づかれぬようにネット接続やファイアウォール設定などを変更して外部方の接続を可能にするバックドア(裏口)を作り、被害者のパソコンを乗っ取ったり、破壊活動を行なったりする。ギリシャ神話に登場するトロイアの木馬が名前の由来で、利用者のキー入力を監視&記録して内容を外部に送信するキーロガーや、Webブラウザの機能を乗っ取り、利用者の同意や承諾を得ることなくホームページや検索ページの設定を変更したり、履歴を送信したりするブラウザハイジャッカーもトロイの木馬の一種。 |
|
| ■ |
スパイウェア |
|
トロイの木馬の一種で、利用者の意図に反して勝手にインストールされ、個人情報を収集し第三者に送信する不正なプログラム。名前の通り情報を収集することが目的のプログラムで、トロイの木馬と異なり破壊活動は行なわない。 |
|
| ■ |
ボット |
|
感染したコンピュータをインターネットを通じて外部から操ることを目的としたコンピュータウイルスの一種で、ボットという名称は、その動作がロボットに似ているところに由来している。ボットに感染すると、外部からの指示に従ってボットに設定されている処理を実行する。ボットを操作する悪意のある人間の意志が存在する点、感染したパソコンをどう悪用するかという点が脅威のポイントになる。 |
|
| ■ |
不正アクセス |
|
OSやプログラム、ハードウェアに存在するセキュリティホールを利用して第三者が勝手に他人のパソコンに侵入する行為のこと。パソコンへの不正アクセスにより、パソコンの操作を行なったり、他人のIDやパスワードを無断利用して本人になりすまし、本来受けることのできないサービスを受けたり、第三者へIDやパスワードを渡すなどの被害が発生する。 |
|
| ■ |
フィッシング詐欺 |
|
フィッシングとは、銀行やクレジットカード会社などの金融機関を装ったEメールを送ったり偽装したホームページを作成したりして、住所や市名、銀行口座番号、クレジットカード番号などの個人情報を搾取する行為。 |
|
| ■ |
盗難&紛失 |
|
悪意のあるプログラムや不正アクセスなどの脅威だけでなく、紛失や盗難といった物理的な要因もパソコンへの脅威となる。 数年前のデータながら、情報漏洩の原因として紛失や盗難によるものが4割近くを占めているという。 |
|
| ■ |
ファイル交換ソフト |
|
WinnyやShareなどといったファイル交換ソフト自体はパソコンへの脅威となるものではないものの、その使い方や扱いを間違えると、あっという間に情報漏洩の原因になる。また、ファイル交換ソフトを利用するコンピュータウイルスやトロイの木馬も存在する。 |
|
|
| コンピュータウィルスやトロイの木馬・ボット対策 |
インターネットからダウンロードしたファイルやメールの添付ファイル、CDやUSBフラッシュメモリなどの記録媒体に保存されているファイルの実行による感染、ウイルスの埋め込まれたホームページを閲覧したことによる感染、メールやホームページに記載された不正なURLのホームページへアクセスすることによる感染などコンピュータウイルスやトロイの木馬、ボットの侵入手段は様々です。パソコンを守るために下記の対策をしっかりと行ない、侵入を防ぎましょう。
| セキュリティ対策ソフトを導入する |
まず必須と言えるのがウイルス対策ソフトの導入です。ウイルス対策ソフトを導入することでパソコンへの感染を未然に防ぐことができます。しかし、コンピュータウイルスは日々新種や亜種が登場しているそのため、コンピュータウイルスを定義しているデータベース(ウイルス定義ファイル)を常に更新し、新しいコンピュータウイルスに対応できる状態に保つことが重要となります。ウイルス対策ソフトには自動的にウイルス定義ファイルを更新する機能が付いているので、その機能を利用してパソコンを必ず最新の状態にしておきましょう。
|
Windows UpdateでWindowsを常に最新の状態にする
〜Windows Updateで自動更新するように設定しておこう!〜 |
コンピュータウイルスの中には、OSやプログラムのセキュリティホールを狙って侵入して来るタイプがあります。パソコンにセキュリティホールが残っていると、インターネットに繋いだだけ、またはメールをプレビューしただけでコンピュータウイルスに感染してしまう可能性があるのです。そのため、Windowsを始めとするマイクロソフト製品のセキュリティホールを修正するWindows
Updateを定期的に実行するか自動更新する設定にしておき、セキュリティパッチを必ず適用し、常に最新の状態になるようにしておくことが重要です。
|
ファイルの拡張子に注意する
〜フォルダオプションの設定で「登録されている拡張子は表示しない」のチェックを外しておこう!〜 |
メールに添付されていたファイルを開いたらコンピュータウイルスに感染したという話をよく聞きます。仕事やプライベートに欠かせないメールは、コンピュータウイルスの侵入ルートとしてもよく利用されています。知らない相手から届いた添付ファイルは無闇に開かないように注意しましょう。また、知り合いや取引先からのメールでも添付ファイルがあった場合には、まず疑ってかかり、安易に開かないようにすることが重要です。特にexeやcom、bat、scr、pifなどの拡張子が付いたファイルがメールの添付ファイルで送られてきた場合には注意する必要があります。また、コンピュータウイルスの中には拡張子やアイコンを偽装しているものもあります。たとえば「○○.exe」というプログラムにWordの文書ファイルアイコンを貼り付けて偽装しているもや、「○○.doc■■■■■.exe」などのように、ファイル名を長くし、拡張子を二重に指定して偽装している場合もあります。そこで、拡張子が表示されていない場合は、エクスプローラのメニューバーから〔ツール→フォルダオプション〕をクリックし、表示タブで「登録されている拡張子は表示しない」のチェックを外しておきましょう。
|
| 万が一に備えバックアップを取っておく |
コンピュータウイルスに感染して壊れたファイルはウイルス対策ソフトでも修復できません。従って、ファイルが壊れてしまった場合でも、日頃から重要なファイルをバックアップしておくことで元に戻すことが可能になります。
|
| HOSTSファイルを確認〜この部分に不正な設定が記述されていた場合には削除しよう!〜 |
ボットの場合は、ウイルス対策ソフトが最新のウイルス定義ファイルに更新するのを妨げたり、ウイルス対策ソフト自体の動作を止めてしまったりするものもあります。そのため、上記の対策以外にHOSTSファイルの内容を確認してみましょう。
HOSTSファイルは「C:\WINDOWS\SYSTEM32\DRIVERS\ETC」にあり、メモ帳で開くことができます。HOSTSファイルはネットワークの接続先を指定するファイルで、ボットなどにより不正に設定されたり、あるサイトへアクセスしようとした時に、別のサイトに接続させられてしまうことがあります。たとえばウイルス対策ソフトがウイルス定義ファイルを更新しようと配布しているサイトにアクセスしようとした時に、HOSTSファイルの不正な書き換えにより別のサイトにアクセスさせたり、アクセス自体をさせないようにしてしまったりといった問題が発生するわけです。このファイルに手を加えていない場合には「127.0.0.1
localhost」という定義しか登録されていませんが、もしもウイルス対策ソフトの会社やマイクロソフトのサイトなどが登録されていた場合にはそれらの定義を削除する必要があります。
|
|
| スパイウェア対策 |
Web サイトを訪問している時に面白そうな広告やリンクを見つけてクリックしたら、画面にポップアップウィンドウが次々に表示されたり、ブラウザに突然たくさんの不快なサイトが表示されたりして収拾がつかなくなった経験はないでしょうか。或は無償のゲームやソフトウェアをインストールした後コンピュータの動作が遅くになったことはありませんか。これはあなたのオンライン操作が知らないうちに追跡されているからです。
スパイウェアは、利用者によって誤ってインストールされたり、知らないうちにインストールされたりすることでパソコンに侵入します。フリーウェアやシェアウェアなどをインストールする際に、同時にスパイウェアがこっそりとインストールされる場合や、ダウンロードしたファイル自体がスパイウェアという場合があります。こういったファイルを利用する際には、利用許諾をよく読み、不要なものをインストールしないようにしましょう。
何れにせよ、スパイウェアやアドウェアはユーザーを当惑させる様々な現象を引き起こします。これらのプログラムは単に不快なだけではなく、インターネットに常時接続しているユーザーにとってはセキュリティ面でも極めて危険なものなのです。従って、スパイウェア対策は、コンピュータウイルス対策と同様に、複数の対策を講じておくことが重要です。
| スパイウェア/アドウェアとは? |
スパイウェアは通常ユーザーに気づかれることなくコンピュータに侵入してきます。もちろんユーザーの許可を得ることもありません。このプログラムは通常ユーザーには分からないところで動作し、情報の収集やユーザーの操作の監視を行ないます。スパイウェアの多くはコンピュータ自体に関する情報とユーザーの使用傾向に関する情報を収集します。たとえばユーザーのWebアクセスのパターンが監視されたりします。また、最近はより巧妙なスパイウェアの存在も認められています。これらのスパイウェアは個人情報の詐取を目的としており、Webサイトのパスワードやユーザー名、さらにはクレジットカード番号やインスタントメッセージの内容など機密性の高い個人情報を手に入れて外に送信します。
なお、一方のアドウェアはスパイウェアとは少し異なります。アドウェアは基本的にはユーザーのコンピュータに広告を表示することを目的としています。アドウェアプログラムは多くの場合ポップアップウィンドウという形で画面に現われ、このウィンドウに広告や他の
Webサイトへのリンクを点滅させながら表示します。これらの広告の多くは一般の製品の売り込みを目的にしています。そして、アドウェアの中にはユーザーのWebアクセスの傾向を監視し、その情報に基づいてターゲットを絞った広告内容を送信するものもあります。これを気にしない人もいますが、プライバシーの侵害と受け取る人もいます。何れにせよ大切なことは、このようなプログラムがコンピュータに常駐することを望んでいるかどうかということです。プライバシーを侵し、セキュリティを低下させるもの、或は少なくとも不快なものと思うのであれば歓迎できないソフトウェアのカテゴリにぴったり当てはまります。そうであれば対策を学ぶ必要があります。
|
| スパイウェアやアドウェアの駆除方法 |
スパイウェアやアドウェアがセキュリティリスクを生み出したり性能を低下させたりするのであれば、これらが単に迷惑なだけではないことは明らかです。たとえばスパイウェアやアドウェアはユーザーに気づかれない場所で休むことなく動作し、コンピュータリソースを占有し、場合によってはシステム全体を停止させます。マシンの速度低下は誰にとっても不快ですが、ホームオフィスのユーザーにとっては事態はもっと深刻です。これらのプログラムは、殆どの場合ユーザーがロードした別のプログラムと一緒にインストールされます。ソフトウェアの使用許諾契約に何らかの説明があったかも知れませんが、しかし、このような使用許諾契約は延々と続くことが多く、全部を読み通すユーザーは稀です。典型的な例では、スパイウェアやアドウェアはインターネットからダウンロードするフリーウェアにバンドルされていたりしますが、中にはこれを公正な交換取引と考える人もいます。つまり、「無償のソフトウェアを提供するのだから、メーカーがユーザーの傾向を監視するぐらいは構わない」と考えることもできるわけです。しかし、その一方で、これは詐欺だとか権利の侵害だと考える人もいます。
また、ユーザーが Web サイトにアクセスしている間に歓迎されないソフトウェアがコンピュータに侵入して来ることもあります。多くの場合これらのプログラムは、ポップアップウィンドウや偽のダイアログボックスをユーザーにクリックさせることでダウンロードを開始させます。一部のポップアップウィンドウには、「緊急」という語句や、或はクリックしたくなるようなメッセージが書かれています。たとえば無償でギフトを提供するとか、Webページを閲覧するためにソフトウェアをダウンロードする必要があるなどと説明されています。ウィンドウには多くの場合「はい」「いいえ」を選択するためのボタンなどが表示されますが、実際には、ウィンドウをクリックするとスパイウェアやアドウェアがコンピュータにダウンロードされます。ですから、これを避けるためには何も操作しないでウィンドウを閉じる意外ありません。
|
| スパイウェアやアドウェアの侵入防止 |
歓迎されないソフトウェアがいつの間にか多数コンピュータにインストールされているのであれば、その原因の一部はあなたがすべきでないことをしたことにあります。また、逆にすべきことをしなかったことが原因になっている場合もあります。不要なスパイウェアやアドウェアを避けるには次のガイドラインに従って下さい。
| ■ |
必要なものだけをダウンロードする |
|
ダウンロードを開始する前に本当に必要なプログラムなのかどうかを検討しましょう。当該のソフトウェアメーカーの名前を初めて聞く場合は、メーカーのWebサイトにアクセスして内容を詳しく調べ、テクノロジーだけではなく、テクノロジーの背景にどんな人たちがいるのかを見抜くように努めて下さい。ユーザーの同意も得ずにスパイウェアをこっそりとインストールするための手段としてActiveXがよく用いられますが、このActiveXについてはくれぐれも注意して下さい。ブラウザの設定を変更すればActiveXを無効にすることができます(※信頼済みサイトでActiveXが要求される場合はいつでも有効に戻すことができます)。 |
|
| ■ |
使用許諾契約をよく読む |
|
このような契約は中々読む気が起こらないかも知れませんが、安全を優先するようにしましょう。フリーウェアのインストールの際に使用許諾契約を読まないで下までスクロールし、「同意する」ボタンをクリックするユーザーも多く見られますが、そのような操作は決してしないようにしましょう。そして、各契約を注意深く読み、情報収集活動に関する説明がないか確認して下さい。そのような説明はフリーウェアと一緒にスパイウェアやアドウェアがインストールされることを意味している可能性があるからです。 |
|
| ■ |
スパイウェア対策ツールをよく調べる |
|
Webにはスパイウェア対策ツールと称するツールが溢れていますが、これらはスパイウェア防止に余り役立たないか、全く役立ちません。中には状況をさらに悪くするものもあります。多くの場合これらのツールの提供元は無償のスキャンを用意しており、殆どの場合コンピュータ上で多数のスパイウェアプログラムを検出します。そして、その無償スキャンが終わると、必ずその役に立たない製品の購入を勧めてきます。 |
|
| ■ |
怪しいサイトや不審なメールに注意する |
|
スパイウェアが仕掛けられているホームページを閲覧したり、スパムメールのURLをクリックして同様なホームページにアクセスしたりした場合にスパイウェアに侵入される可能性があります。不審なホームページへのアクセスや怪しいURLの場のクリックは極力避けるようにして下さい。 |
|
| ■ |
クリックできる広告に注意する |
|
クリックできる広告が点滅するプログラムは (特にフリーウェアの場合) 避けるようにしましょう。何らかの罠がある場合が多いからです。そのような広告をクリックした場合、あなたの反応が監視されている可能性があります。 |
|
| ■ |
パソコンやインターネットブラウザを常に最新の状態に保つ |
|
コンピュータウイルス対策同様、Windows UpdateでWindowsを常に最新の状態にしておきましょう。スパイウェアやアドウェアのダウンロードにはブラウザのセキュリティホールがよく利用されます。このため、使用しているブラウザ用のセキュリティパッチが利用できるようになった時点で、直ちに全て適用するようにして下さい。ブラウザのメーカーのWebサイトにアクセスして最新の更新版を入手しましょう。 |
|
| ■ |
スパイウェア対策ソフトを導入する |
|
スパイウェアは利用者に気づかれないように動作するため、これを発見するのはとても大変です。そのため、スパイウェア対策ソフトを導入し、スパイウェアの侵入や実行を防ぐ必要があります。スパイウェア対策ソフトも、ウイルス対策ソフト同様に新種のスパイウェアに対応するための定義ファイルが日々更新&配布されているので、常に最新の状態で利用するようにして下さい。 |
|
| ■ |
頻繁にスキャンする |
|
コンピュータに必ず正規のスパイウェア対策プログラムをインストールし、そのプログラムが頻繁にコンピュータをスキャンして、不要なスパイウェアやアドウェアを駆除できるように設定して下さい。スパイウェアやアドウェアが近い将来消滅すればよいのですが、そのようなことには今後ともならないでしょう。ただし、インストールするソフトウェアとインストールしないソフトウェア、コンピュータにそのまま残すソフトウェアをユーザーがきちんと決めることができていれば制御は可能です。 |
|
|
| 参考:キーロガーの追跡から逃れるために |
現在パソコンは写真の共有からショッピングの料金支払いまで何にでも利用されています。インターネットのオークションで簡単にアンティーク商品を購入したり、簡単に住宅ローン申込書を送信したりできます。でも、くれぐれも用心して下さい。クレジットカードの番号やパスワードなどコンピュータに入力するキー操作の全てをサイバーストーカーがキーロガープログラムを使って追跡しているかも分からないからです。もっともキーロガーはスパイウェアの一種で、親が子どものオンラインでの行動を監視するためにこれを合法的に使用することも可能です。けれども、近年キーロガーは違法な目的に使用されることが多くなってきています。ストーカーがインストールしたり、またはウイルスやワーム、トロイの木馬によって自動的にコンピュータにインストールされます。入力した口座番号やパスワードを盗み、利用者の銀行口座から全額を引き出したり、その人の名義でクレジットカードを作成したりできる情報を犯罪者に渡すのです。
キーロガーは幾つかの方法でコンピュータに侵入します。手動でインストールされることもありますが、ウイルスやワーム、トロイの木馬という形でやって来ることの方が多いようです。この種のマルウェア
(悪意のあるソフトウェア) は全て電子メールや音楽ダウンロードサイトのようなファイル共有システムを介してコンピュータを攻撃します。安全性の低いWebサイトにアクセスしたり正当に思えるソフトウェアをダウンロードしたりすることも、コンピュータを危険に晒すことがあります。いったんキーロガープログラムがコンピュータに組み込まれると、その存在を認識するのは困難です。それも当然で、発見されずにデータを盗むことが目的なだけに、キーロガーは検出するのが困難なのです。残念ながらキーロガーに侵入されているかどうかを知る方法はありません。キーロガーに感染しているコンピュータは時折り動作が不安定になりますが、通常はそれが起きる頃にはもう手遅れの状態なのです。ただし、幸いなことにキーロガーを探し出して破壊したり水際でくい止める防御策があります。これらのステップを実践することで、相手と同じ手段で対抗すること、すなわち、キーロガーをコンピュータにインストールして情報を盗もうとする犯罪者の攻撃をテクノロジーによって交わすことが可能になるのです。
| ■ |
スパイウェア対策プログラムをインストールする |
|
ソフトウェアメーカーが、キーロガーやその他のスパイウェアをコンピュータから発見し削除する新しい検出ツールを製作し始めています。このような製品は安いものから高いものまで多岐に渡りますが、優れたスパイウェア対策ソフトは、既知のウイルスやワーム、トロイの木馬の全種類からコンピュータを保護してくれます。 |
|
| ■ |
制限ユーザーモードに変更する |
|
コンピュータのオペレーティングシステムが最新のVistaや7でなく、まだWindows XP だとすれば、コンピュータのデフォルト設定は恐らく「管理者」モードに設定されています。これは殆ど誰でもコンピュータにこっそり何かを送ってインストールできるということを意味しています。そこで、日常の作業では「制限ユーザー」モードに変更することによってコンピュータをキーロガーからかなり保護することができます。もちろんコンピュータにはまだ「管理者」アカウントがあります。何かをインストールする必要があればこちらを用いますが、その他の時は忘れずに「制限」ユーザーに切り替えましょう。これを習慣にすればパソコンはかなり安全になるでしょう。 |
|
| ■ |
制限ユーザーモードに変更する |
|
コンピュータのオペレーティングシステムが最新のVistaや7でなく、まだWindows XP だとすれば、コンピュータのデフォルト設定は恐らく「管理者」モードに設定されています。これは殆ど誰でもコンピュータにこっそり何かを送ってインストールできるということを意味しています。そこで、日常の作業では「制限ユーザー」モードに変更することによってコンピュータをキーロガーからかなり保護することができます。もちろんコンピュータにはまだ「管理者」アカウントがあります。何かをインストールする必要があればこちらを用いますが、その他の時は忘れずに「制限」ユーザーに切り替えましょう。これを習慣にすればパソコンはかなり安全になるでしょう。 |
|
◆参考:パソコンを「制限ユーザー」モードに変更する手順
- スタートメニューで「コントロールパネル」を選択する
- 「ユーザーアカウント」をダブルクリックする
- 「新しいアカウントを作成する」を選択する
- 新しいアカウントに名前を付け、「次へ」を選択する
- アカウントの種類で「制限」を選択して「アカウントの作成」をクリックする
|
|
| ■ |
フリーウェアは利用しない |
|
キーロガーは無償のスクリーンセーバやインターネットアクセラレータなどのインターネットで提供される無償のソフトウェアに容易に組み込めるため、それらをコンピュータにインストールする誘惑を抑えるよう努めて下さい。定評のあるベンダのソフトウェアのみをインストールするのがよいでしょう。 |
|
| ■ |
Webブラウザの変更を考慮する |
|
マイクロソフトのインターネットエクスプローラ(IE)は最も使用されているWebブラウザで、それは今日開発されているマルウェアの殆どがインターネットエクスプローラ
を使用しているコンピュータを攻撃するように意図されていることを意味しています。従って、ブラウザを変えることはネットサーフィンを安全にする一つの有効な方法です。現在、Mozilla
FoundationのFirefoxやAppleのSafari、AOLのNetscape、また、Opera SoftwareのOperaブラウザなど各種のダウンロード無料のWebブラウザが開発されています。その中でも特にMozillaのFirefoxはより安全面を意識して開発されており、キーロガーを含む既存のマルウェアの多くはFirefoxを情報経路として利用するようには設計されていません。 |
|
|
|
| 不正アクセス対策 |
| ■ |
修正プログラムでWindowsを最新の状態にす |
|
OSやプログラムにセキュリティホールが残っていると、そこを突いて不正アクセスされ、様々な被害を被ることがあります。このような脅威からパソコンを守るため、Windows
Updateを定期的に実行するか、または自動更新するように設定しておきましょう。 |
|
| ■ |
ファイアウォールソフトを導入する
〜Windowsファイアウォールでファイアウォール機能を有効にするには「全般」タブで「有効」をチェックする〜 |
|
不正アクセスに対してとても有効なのがファイアウォールソフトです。ファイアウォールソフトを導入することで、インターネットとパソコンの間に入ってデータのやり取りを監視し、インターネットからの攻撃や不正アクセスを防止したり、或はパソコンから外部のインターネットへの個人情報の送信を制限したりといったことが可能になります。ファイアウォールソフトを導入する場合には、ウイルス対策ソフトやスパイウェア対策ソフトが組み合わさった総合セキュリティ対策ソフトがオススメです。また、既にウイルス対策ソフトなどを導入している場合には単体のパーソナルファイアウォールソフトも利用できます。なお、WindowsにはWindowsファイアウォールが標準で搭載されているので、市販ソフトを導入できない場合には、このファイアウォール機能を必ず有効にしておいて下さい。 |
|
| ■ |
パスワードを安易に設定しない |
|
様々な場面で利用されるIDとパスワードは、利用者本人以外には決して知られることのないようにしなければなりません。万が一でもIDとパスワードが盗まれてしまうと、他人によるなりすましが行なわれます。たとえばオンラインバンクから預金を引き出されたり、オンラインショッピングで商品を購入されたり、インターネットオークションで商品を落札されたり、オンラインゲームのキャラクターデータを改竄&削除されたりといった被害が発生します。
そのため、パスワードは名前や住所、電話番号など推測されやすい安易な文字列ではなく、大文字、小文字と数字、記号を組み合わせ、8文字以上のなるべく長い文字列に設定して下さい。また、パスワードを紙に書いたりパソコンに保存したりしないようにし、定期的にパスワードを変更するとよいでしょう。 |
|
| ■ |
ファイル共有設定を無効化する |
|
ホテルに用意されているLANや空港などで無線LANを利用した際にネットワークに他人のフォルダが表示されることがあります。これはフォルダの共有設定を有効にしたままLANに接続しているからです。これでは自分から「フォルダの中身を覗いて下さい」と言っているようなものです。従って、社内ネットワークやプライベートネットワーク以外ではフォルダの共有設定は無効化しておきましょう。 |
|
|
| フィッシング対策 |
フィッシング詐欺は、正規のホームページに見せかけて他のホームページに誘導したり、或は有名なホームページと類似したアドレスを取得して、利用者のタイプミスを狙って偽装されたホームページに誘導したりと、巧妙な手口で個人情報を搾取します。
| ■ |
メールの送信者欄に惑わされない |
|
メールの送信者欄(From)は誰でも簡単に偽装することが可能です。そのため、悪意を持った人によるなりすましメールには注意しましょう。クレジットカード番号や暗証番号の入力を促すメールを金融機関が送信することはないので、そういった怪しいメールが届いたら、まずは速やかに金融機関に問い合わせ、メールが本当にその金融機関から送られたものなのか確認しましょう。 |
|
| ■ |
フィッシング対策ソフトを導入する
〜Internet Explorer(IE)にはフィッシング詐欺対策機能が搭載されている〜 |
|
ホームページのリンク先が本当に安全なのかはURLをぱっと見ただけでは分からないことが多いです。そこで、フィッシングの疑いがあるホームページにアクセスした際に警告してくれるフィッシング対策ソフトを導入するとよいでしょう。総合セキュリティ対策ソフトにはフィッシング対策機能を備えたものがありますし、Internet
Explorer 7以降IEにはフィッシング詐欺対策機能が搭載され、フィッシング詐欺の疑いのあるホームページを自動的に非表示にします。 |
|
| ■ |
鍵マークをチェックする〜鍵マークをクリックすると証明書が表示さる〜 |
|
クレジットカード番号や暗証番号などをホームページ上で入力する場合には、殆どの場合SSLの鍵マークがブラウザに表示されているはずです。これは「入力した情報を送信する際に暗号化して送信するので安全だ」ということを意味しています。しかし、偽装したホームページでは暗号化しないで送信することが殆どなので、鍵マークがブラウザに表示されません。もちろん鍵マークが表示されていても偽装されている可能性がないとは言えません。そこで、鍵マークをクリック(またはダブルクリック)すると証明書が表示され、実際にアクセスしているURLを確認できます。偽装されている場合はアドレス欄のURLと証明書のURLが全く異なっているはずです。さらに証明書自体も信頼の置ける機関が発行しているかどうかをチェックするとよいでしょう。 |
|
|
| 情報漏洩対策 |
近年、個人情報の漏洩事件がちょくちょく世間を騒がせています。情報漏洩は様々な要因で引き起こされるため、セキュリティ対策を何重にも行なうとより効果的です。
| ■ |
紛失や盗難などによる情報漏洩 |
|
情報漏洩の原因として最も多いのが、パソコンやUSBフラッシュメモリをどこかに置き忘れてしまったり、自宅や会社に進入されパソコンを盗まれてしまったりといった紛失や盗難などの要因です。さらに誤って他の情報と一緒に重要なデータを廃棄してしまったり、ハードディスクを完全に消去しないまま廃棄してそこから情報が漏洩してしまったりといった管理ミスや、また、ホームページ上で公開してはならない情報を操作ミスや設定ミスなどで誰でも見えるようにしてしまい、情報を漏洩させてしまうケース、或は複数のメールアドレスに送信する際にBCCで送信すべきところをCCで送信してしまうといった送信ミスなどを合わせると、情報漏洩の原因の4分の3がこれらの要因になります。
また、紛失については、情報を持ち出さない、どうしても持ち出す場合は暗号化しておく、目の届かないところに放置しないなどといった対策が重要です。次に盗難については、盗難にあった場合に情報漏洩を少しでも抑えるために、パソコンに物理的なセキュリティロックをかけたり、パスワードを厳重にするなどといった対策をしておくとよいでしょう。また、ハードディスクを廃棄する際にはハードディスク消去ソフトや消去サービスなどを利用してから行なうようにしましょう。 |
|
| ■ |
コンピュータウイルスやスパイウェアなどの不正なプログラムによる情報漏洩 |
|
コンピュータウイルスの感染やスパイウェアの侵入により、パソコンに保存していた情報が外部に送信され情報が漏洩してしまうといったケースがあります。日頃からウイルス対策ソフトやスパイウェア対策ソフトなどでパソコンを守り、ウィルスを発見した場合には直ぐに駆除するように心懸けて下さい。 |
|
| ■ |
不正アクセスによる情報漏洩 |
|
不正アクセスによって情報が漏洩するケースも少なくありません。最近では閉鎖したオンラインショッピングサイトの管理が不充分だったため、残っていた個人情報が不正アクセスによって盗まれてしまったという事件もあります。個人の場合には、ファイアウォールソフトやルータなどを導入して不正アクセスをブロックするように設定しておきましょう。 |
|
| ■ |
WinnyやShareなどのファイル交換ソフトを介した情報漏洩 |
|
WinnyやShareといったファイル交換ソフトを通じて個人情報が漏洩してしまうと、その情報は広まる一方で被害は甚大なものになってしまいます。官公庁や企業の情報がファイル交換ソフトで流出したケースでは、ファイル交換ソフトの利用者が会社などから持ち帰ったデータを暴露ウイルスに感染している自宅のパソコンで利用したことが要因でした。つまり、これはファイル交換ソフトの問題ではなく、利用者自身に問題があると言えます。「重要なデータは許可なく持ち出さない」、「持ち出したデータの扱いは厳重にする」、「持ち出したパソコンを不必要にネットワーク接続しない」などといったことを徹底する必要があります。 |
|
| ■ |
内部犯罪による情報漏洩 |
|
従業員が不正に情報を持ち出し、これを第三者に譲渡して情報が漏洩するといったケースもあります。これは明らかな犯罪行為です。 |
|
| ■ |
風評やブログなどでの情報漏洩 |
|
公言してはいけない情報をブログやホームページに掲載してしまったり匿名掲示板に書き込んでしまったりすることも、危険度方拡大問題に発展する可能性があります。不注意ではすまされない事態に陥る可能性もあるので、日頃から情報の取り扱いには充分に気をつけるように心懸けましょう。 |
|
|
| 参考1:セキュリティ一般に関する参考書と関連サイト |
| ■参考文献1:セキュリティ関連書 |
 |
| ■ |
富士通エフ・オー・エム株式会社・著 |
|
『よくわかるパソコンセキュリティ入門』 |
|
FOM出版・2010年11月刊、1,050円 |
|
インターネットは便利で楽しいものである反面、様々なトラブルと隣り合わせの部分があります。本書は、インターネットを利用することで発生する、ウイルスや不正アクセスなどのトラブルからパソコンを守るセキュリティ対策について解説したテキストです。また、個人情報の取り扱い、著作権、携帯電話トラブルなど、幅広い分野におけるセキュリティについて総合的に学習することができます。
|
|
|
 |
| ■ |
富士通エフ・オー・エム株式会社・著 |
|
『よくわかる事例で学ぶ情報セキュリティ<改訂2版>』 |
|
FOM出版・2010年04月刊、2,100円 |
|
「情報の漏洩」「情報の改ざん」「情報の破壊」などのセキュリティ事故から情報資産を守るには、しっかりとした情報セキュリティ対策を講じる必要があります。本書では、情報セキュリティ対策の必要性や対策例を、利用者や管理者の身近で起こる事例を交えながら、わかりやすく解説しています。
|
|
|
|
|
|
|
|
|
|
|
|
[ ページトップ ] [アドバイス トップ]
|
|
| 【2】IDとパスワードの安全管理 |
ネットバンクやネットショップ、ネットオークション、オンラインゲームなどオンラインサービスと切っても切れない関係にあるのがIDとパスワードです。IDとパスワードはあなたの個人情報や財産を守るための大事な鍵です。本節では、大切なIDとパスワードを悪意ある他者に奪われないために、すなわちあなたの個人情報や財産を守るために気をつけなければならないポイントにつき以下で取り上げ解説しました。
|
| IDとパスワードが他人の手に渡ると何が起こる? |
IDとパスワードで認証(本人確認)を行なうオンラインサービスでは、これらが他人の手に渡ると様々な被害に遭う恐れがあります。あなたのIDとパスワードを入手した人は、あなたになりすましてそのサービスにログインし、個人情報を不正に取得し、悪用する恐れがあるのです。
たとえば店頭で何かの商品をローンでで購入しようとしたところ、あなたが店員から聞かされたのは「ローン審査に通らなかった」という耳を疑うような報告でした。店員から見せられた自分のクレジットレポートに記載されていたのは数え切れないほどの未払い勘定で、たった今まで完璧と思っていた自分の信用がなくなっていました。これはあり得ない話ではありません。個人情報の盗難はどこででも起こる可能性がありますが、オンラインではさらに日常茶飯事になりつつあります。ID盗難の詐欺師たちは、コンピュータに保存されている個人情報を見つけ出そうとネットを覗き見して回ります。そして、あなたが支払いをする時、最新のインターネットバーゲンで買い物をする時、Webサイトに登録する時にオンラインで入力したアカウント情報を彼らは盗み取るのです。
|
| ユーザーIDとメールアドレス |
メールアドレスの中にはユーザーIDがそのまま含まれているものがあります。あなたが普段使っているメールアドレスはどうでしょうか? 会員になると無料でメールアドレスがもらえるサービスが幾つもありますが、その部分にユーザーIDがそのまま使われてはいないでしょうか? このようにユーザーIDがメールアドレスにそのまま含まれている場合は、ユーザーIDかメールアドレスか、そのどちらかを変更しておくことをオススメします。都合でどちらも変えられない場合は、上記で解説した強いパスワードを必ず設定しておくようにして下さい。
|
| IDとパスワードを管理するためのポイント |
| ■ |
IDとパスワードを使い回さない
〜IDとパスワードはサイト毎に変更することがオススメ〜 |
|
IDとパスワードを複数のサイトで使い回すことはやめましょう。IDとパスワードをサイト毎に別々のものにしておけば、万が一、サイトAのIDとパスワードが誰かの手に渡ってしまっても、なりすましが為される恐れがあるのはサイトA一か所のみです。しかし、複数のサイトで同じIDとパスワードを使い回していると、その全てのサイトでなりすましの被害に遭う恐れがあります。 |
|
| ■ |
パスワードは定期的に変更しよう |
|
パスワードを定期的に変更する習慣をつけると、他人に知られてしまったIDとパスワードが長期間に渡って悪用され続けることを防ぐことができます。 |
|
| ■ |
パスワードは他人に教えない |
|
「ユーザーアカウントの継続手続きをして下さい」とか「登録情報の更新が必要です」などという内容のメールを受け取ったことはありませんか? これはあなたのIDやパスワードや個人情報を盗みとろうとするフィッシング詐欺を行なう目的で送られているメールです。騙されないよう注意しましょう。また、たとえどんな理があったとしても、あなたの友だちやオンラインサービスの管理人を名乗る人物からパスワードを訊ねられても決して教えないようにしましょう。また、IDやパスワードをメモしてパソコンに貼り付けておいたり、パソコンの近くに放置しておいたりしないようにして下さい。 |
|
|
| ID盗難を防止するための方法 |
あなたの最も重要な機密データがID窃盗犯によって盗まれると、クレジットカード口座の開設や携帯電話の契約、自動車ローンの契約、その他様々なクレジットにその個人情報が利用される可能性があります。あなたの住所や生年月日等の情報を持っている窃盗犯がクレジット申請時にはあなた本人だと思われてしまうのです。だからといって、いま直ぐにコンピュータの電源プラグを抜く必要はありません。次の措置をとると、オンラインでのID盗難のリスクを減らすことができます。
| 警戒を続ける |
あなたの取引銀行やよく利用するオンラインオークションらしいところから、「口座へのアクセスを復旧する必要があります」とか「クレジットカード番号の有効期限が近づいています」という内容の電子メールを受け取ったことはないでしょうか。このような電子メールの大半は実際はフィッシング詐欺師から送信されています。詐欺メールを銀行や企業からのメールのように見せかけるために彼らはどんなことでもします。実際フィッシング電子メール内のリンクは本物のように見えますが、しかし、このリンクを辿ると実際には偽造Webサイトへと導かれ、あなたは自分の口座情報を入力し、無意識のうちに個人情報を盗まれる結果となってしまうのです。機密情報を明かすことを求める電子メールは削除しましょう。信頼できる企業は口座情報を電子メールで尋ねることは決してありません。もちろんスパイウェアにも注意する必要があります。スパイウェアは、電子メールとポップアップ画面を介してあなたのコンピュータに潜り込むプログラムです。コンピュータに潜り込んだ後、あなたが入力するデータを収集し、パスワードなどの機密情報を悪質なハッカーに送信します。ID窃盗を阻止するためにスパイウェア対策ソフトウェアをダウンロードしてインストールし、コンピュータと個人情報の安全を維持して下さい。
|
| 自分の情報を管理する |
次のようなことに注意します。たとえばあなたが利用するオンラインのDVDレンタルサービスが口座の設定用に健康保険証番号などの個人情報を必要とすることはありません。または何らかのチャットルームに入室するためにWebサイトに登録する時、あなたの本当の生年月日や自宅住所、電話番号を明かす必要はないのです。そんな訳で、日頃から自分の口座を監視するようにして下さい。そして、オンラインで個人データを明かすときは慎重になりましょう。必ずサイトのプライバシーポリシーを読んで、あなたのデータが必要な理由、その用途を確認するようにしましょう。
|
| 強力なパスワードを設定する |
デジタルパスワードに辞書の単語や自分の生年月日、大学の卒業年度、親しい人の名前などを使用していると、綴りを逆にしておいても、犯罪者は自分で推測するか、または特殊なソフトウェアを使用すれば容易にそれらを突き止められてしまいます。
コンピュータ上のオンラインアカウント及び機密ファイルには、推測が困難なパスワードを使用して下さい。文字と数字を組み合わせて8文字以上のパスワードを作成します。もちろん好きな歌の歌詞など自分が覚えやすいパスワードを作成してもよいのですが、その綴りでは文字と数字を上手に組み合わせて下さい。また、保険証番号などの機密情報をパソコンにに保存している場合、ファイルをパスワードで保護し、ハードディスクではなくCDに記録しましょう。もちろん最も強力なパスワードでも、誰もが見られる場所に放置してあれば使い物になりません。それでは家の鍵を玄関ドアに差したままと同じなので、パスワードはコンピュータのある場所やその近くには保管しないようにして下さい。
|
| 一方的な金銭要求には決して応答しない |
言うまでもないことかも知れませんが、オンラインの金融詐欺に騙される人は毎年数千人にのぼります。金融詐欺のケースでは、一方的な電子メールでよく知らないチャリティーへの寄付を求められたり、他の地方の不動産の売買申し込みに巻き込まれる場合があります。このような詐欺全てに共通の要素が1つあります。それは、自分の銀行の口座情報を見ず知らずの人物にオンラインで提供することを求められることです。詐欺師があなたの情報を入手したら、それを使って銀行口座の預金を全額引き出したり、他の詐欺行為を働く可能性があります。そこで安全な対処は、あなたの銀行の口座番号または金銭を要求する電子メールには決して返信しないことです。たとえばよく利用するチャリティーがある場合は、そのチャリティーの安全なWebサイトを使用して直接寄付するようにして下さい
|
| 子どもたちを教育する |
子どもたちが電子メールやWebから自宅の住所やその他の個人情報を送信するのを防ぐにはフィルタリングソフトが役立ちます。しかし、技術的な対処のみでなく、必ず子どもたちに対しても、なぜ個人的なデータを渡したりフィッシング電子メールに返信しない方がよいのかを説明して下さい。そして、どうすべきか分からないような場合はいつでも親御さんのところへ相談に来るように子どもたちに指示しておきましょう。また、子どもたちと一緒に安全に関するヒントをネットなどで調べて、オンライン上のプライバシーをより楽しく学ぶのもよいでしょう。
|
| 個人情報が盗まれたことが分かったら |
最善の予防措置を講じたにも拘わらずIDなどの個人情報が盗まれた場合は、まず警察に相談し、個人情報の盗難について報告しましょう。ID窃盗犯の逮捕が早ければ早いほど事態の収拾も容易になり、将来に向けてデジタル面の防備を固めることに繋がります。
|
|
| 安全なパスワードとは? |
メールやWindowsの設定をしたり特定のWebサイトを利用する時などに必要となるパスワードは、他人の個人情報や重要情報を手に入れようとする輩から身を守るために必要不可欠なものです。そこで本項では、簡単には破られない強固なパスワードを作る方法について解説しました。
| 強いパスワードとは? |
他人に簡単に破られないパスワードが一般に「強いパスワード」と呼ばれています。長い文字列や辞書に乗ってないデタラメな文字列が強いパスワードと考えられがちですが、残念ながら長くデタラメな文字列だから安心だとは必ずしも言えません。心に留めておきたいのは、「悪意のあるハッカーに見破られないもの(推測されにくいもの)=強いパスワード」が本質であるということです。従って、長い文字列やデタラメな文字列はあくまでも二次的な評価であることを踏まえておいて下さい。
|
| 弱いパスワードの例 |
それでは、悪意のハッカーはどのようにして他人のパスワードを推測するのでしょうか?
一般的には、まず最初に最弱のパスワードを洗い出します。それは当たり前のことですが、パスワードなしの状態です。被害に遭ったユーザを見るとパスワードを設定していなかったケースが意外に多いのです。もしくは一部でパスワードを設定しているけれど、「Windowsを立ち上げる際にいちいち入力するのは面倒、自分以外は誰も利用しないだろうからいいや」といったケースも多いようです。これが危険の始まりで、オンラインを介してパソコンを乗っ取られたり、大切な情報を盗まれることに繋がりかねません。
次に狙われやすいのがIDとパスワードが同じ場合です。誕生日などの数字のみの場合や、或は辞書に乗っているような名詞や氏名など推測しやすい文字列も危険です。悪意のハッカーは、こうした弱いの設定のユーザを自動で巡回してパスワードを盗むことが多いのです。たとえば「私が飼っている犬の名前なんて誰も知らないだろう」と思っていても、実際には弱いパスワードであることが多々あることに注意して下さい。
|
| 悪意のハッカーが駆使するツール類 |
辞書に乗っているような言葉に比べればデタラメな文字列を用いる方がもちろん強いと言えますが、この点においても踏まえておいてほしいことがあります。悪意のハッカーは入力フォームに一字ずつ入力してゆくといったようなことはせず、それこそ1秒間に数十万もの文字列を試すことができる自動ツールを利用することが一般的です。さらに、aaaの次はaab、aac・・・といったようにアルファベット順で試してゆくのではなく、人間がつけやすい文字列から効率よく探るツールも駆使しています。たとえば人間がつけやすい一番最初の文字は英語ではaではなくeだそうですが、これは悪意を持つハッカーたちが長い間膨大なデータを積み重ねた統計で、非常に優秀なものなのです。こうしたツールを駆使すれば、どんなデタラメな文字列のパスワードでもいつかは解明されてしまいます。言い換えれば強いパスワードとは、「解明するまでに長い時間を要するもの」と言えるでしょう。
|
| こうすれば最強の設定に |
| ■ |
記号を用いること |
|
ひとつの方法は「記号を用いること」です。たとえば america というパスワードですが、このままだと辞書にも乗っているし、非常に推測されやすいパスワードです。これをたとえば「@meric@」といった具合に「a」を「@」に置き換えただけでも強度が向上します。同じくyamamoto
という人名も、[yamamoto]といったようにカッコにくくるだけで推測されにくくなります。Windowsのパスワードの場合は、ひとつ記号を入れるだけで約100倍も強度が違ってくる場合もあるのです。 |
|
| ■ |
ショルダーハッキングの注意 |
|
もう一点、デタラメな文字列をパスワードに設定する際の注意があります。たとえば「tyuiop@[」というパスワードはどうでしょうか。一見すると強そうに見えますが、実はこれはキーボードの「t」から一つずつ右にキーを叩いていった文字列です。オンライン攻撃には強いかも知れませんが、この場合はパスワード入力を肩越しに他人に見られてしまう「ショルダーハッキング」の標的になりやすいのです。実際に打ったキーがそこにいる他人から分かりやすいパスワードも避けた方が無難です。 |
|
|
|
[ ページトップ ] [アドバイス トップ]
|
|
従来の携帯電話のネット閲覧では、いわゆるケータイサイトなどを閲覧できますが、パソコン向けに作られたウェブサイトは表示が乱れたりしてきちんと見られないことがありました。一方スマートフォンはパソコン向けと同等のブラウザを備えているので、殆どのウェブサイトを表示することができます(ただし、動画など内容の一部が表示できない場合があります)。また、様々なアプリ(アプリケーションソフト)があるのもスマートフォンの魅力で、スマートフォン向けのアプリは世界中で企業・個人を問わず作られています。ニュースや地図情報、動画を見られるアプリ、また、Twitterのようなサービスを利用できるものもあり、ユーザは好きなアプリをスマートフォンにインストールして自分好みの使い方ができます。このようにスマートフォンはこれまでの携帯電話の枠を超えて幅広く活用できるため、スマートフォンは「手のひらに乗るパソコン」であるとも言えます。しかしながら、スマートフォンがパソコンに近い存在になるにつれ、残念ながらパソコンと同じような危険に遭遇する可能性が高まってきたのも事実で、その代表が不正サイトへの誘導による被害やウイルスなどの不正プログラムによる被害です。