パソコンやスマホなどでインターネットアクセスに利用するWebブラウザー。しかし、Webブラウザーはサイバー攻撃において悪用されるなど、適切な使い方をしてないと、危険な目に遭いかねない。この記事では、Webブラウザーのセキュリティ対策の重要性と講じるべき対策、そして安全なWebブラウジングのヒントを解説する。
Webブラウザーのセキュリティ対策が重要な理由
ランサムウェアをはじめとするマルウェアの被害が後を絶たない。サイバー攻撃者は、さまざまな手法でマルウェア感染を試みる。メールに記載されたURLをクリックしたことで、悪意のあるWebサイトへ誘導されてマルウェアに感染。あるいは、検索エンジン経由であっても、偽装したWebサイトを正規のものと誤認した結果、感染に至る場合もある。このように、メールやWebサイトはマルウェア感染の主要な導線とも言える存在だ。
そして、メール経由で感染する場合も含めてWebサイトがマルウェア感染において大きな役割を担っているという点が重要だ。すなわち、Webサイトへアクセスする際のツールであるWebブラウザーについて、適切なセキュリティ対策を講じることで、マルウェア感染のリスクを低減できるのだ。
Webブラウザーにおけるセキュリティ対策
Webブラウザーに関連する、主なセキュリティ対策は以下のとおりだ。
ブラウザー本体の最新版へのアップデート
マルウェアはプログラムの脆弱性を突いて侵入してくる。Webブラウザー本体を常に最新版へアップデートしておくことで、既知の脆弱性に対処することができる。なお、Microsoft EdgeやGoogle Chrome、Mozilla Firefoxなど最近のWebブラウザーはデフォルトで自動アップデート機能が有効になっているため、その設定を維持して利用すれば安全性は高まる。
ツールバーやアドインのチェック、アップデート
ツールバーやアドインはWebブラウザーの機能を拡張できる便利なツールだが、古いツールバーやアドインには脆弱性が残されている場合もある。また、そもそもツールバー自体がスパイウェア的な動作をするものも過去に発生したこともあったため、セキュリティの観点からは必要性の低いツールバーやアドインは極力インストールしないことが望ましいだろう。どうしても必要なアドインは、最新版へアップデートしてから利用することを推奨する。
近年では、ツールバーの提供を中止するベンダーも増えている。Webブラウザーに標準で搭載される機能も充実してきたため、ツールバーが使われることも少なくなっているという時代背景もある。しかし、古いパソコンのWebブラウザーにはツールバーが組み込まれていることもあるため、利用時には十分な確認をしておきたい。
セーフブラウジング機能の活用
セーフブラウジング機能とは、安全ではないと思われるWebサイトにアクセスしようすると、警告が表示される機能だ。多くのWebブラウザーがセーフブラウジング機能を備えており、デフォルトでセーフブラウジング機能が有効になっているはずだが、念のためチェックしておきたい。
自動入力の無効化、キャッシュ・閲覧履歴の削除
Webブラウザーには、Webサイトのログインのために一度入力したIDとパスワードを保存し、次回以降ログインする際に自動入力してくれる機能が搭載されているものもある。便利な機能ではあるが、クロスサイト・スクリプティング攻撃を受けたWebサイトにアクセスしてしまった場合など、IDやパスワードが漏えいしてしまう危険性がある。
また、パソコンを他の人と共有している場合は、キャッシュや閲覧履歴を残すように設定してしまうと、後に使ったユーザーに閲覧しているWebサイトの情報が漏れる可能性がある。このような場合、自動入力機能を無効化し、キャッシュや閲覧履歴も定期的に削除するか、閲覧履歴が残らないモードでWebブラウジングすれば安心だ。
アドレスバー上のSSLアイコンのチェック
SSL (Secure Sockets Layer)とは、WebブラウザーとWebサイトの間の通信を暗号化する通信技術だ。SSL対応のWebサイトへアクセスする際は、URLが表示されているアドレスバーの左にあるアイコンが鍵マークになる。なお、SSL非対応のWebサイトにアクセスすると、Chromeでは「保護されていない通信」、Edgeでは「セキュリティ保護なし」とアドレスバー上に表示される。
SSL対応のWebサイトであれば確実に安全性が担保されるわけではないが、不審なWebサイトを見分ける1つの判断基準にはなるだろう。基本的に、Webブラウザーは標準の設定で各種のセキュリティ機能が有効化されているため、特段必要がなければ、設定を変更せずにそのまま利用すれば良い。
SSLとTLSとは
先述のとおり、安全なWebサイトを見分けるために、URLの始まりが「http://~」ではなく、「https://~」となっていることを確認するという方法がある。この場合、Webブラウザーで送受信する情報は暗号化された状態でやり取りされる。そのため、通信が秘匿化されることで安全性が高まるという理屈だ。
この「https://~」の状態で用いられる暗号化プロトコルはSSL(Secure Sockets Layer)と呼ばれる。WebサイトとSSLで通信が行われている場合、Webブラウザーには安全を表す施錠された状態のアイコンがアドレスバー上に表示される。しかし、SSL通信と呼ばれるものの、現在ではSSLの脆弱性を解消したTLS (Transport Layer Security)が基本的に用いられている。このため、SSL/TLSと記載されることもあるが、多くの場合は通称であるSSLの言葉が使われる。
ただし、SSL通信であるから必ずしも安全というわけではないことに注意が必要だ。先述のとおり、あくまでSSL通信は暗号化されて通信しているに過ぎないのだ。SSL通信ではSSLサーバー証明書が必要になるが、SSLサーバー証明書には、DV証明書、OV証明書、EV証明書の3種類があり、後者ほど信頼性が高い。
DV証明書はドメインさえあれば取得でき、Let’s Encryptなどであれば無料でも導入できるため、フィッシングサイトでも利用されている。OV証明書とEV証明書では、ともにそのドメインの運営元の実在確認を行うため、信頼性は高い。特に、EV証明書は実在証明をより厳格に行っている点が特長として知られている。
セキュリティが強化された「セーフブラウザー」とは
セーフブラウザーと呼ばれるような、通常のWebブラウザー以上にセキュリティ機能が強化されたブラウザーも存在する。以下に代表的なものを紹介する。
Google Chrome
強力なセーフブラウジング機能を備えており、フィッシングサイトなど危険性のあるサイトにアクセスしようとすると警告が大きく表示され、Webブラウザーがそのアクセスを遮断する。
Mozilla Firefox
セキュリティとプライバシーを重視したWebブラウザーであり、カスタマイズ性にも優れている。
Brave
シェアは少ないものの、セキュリティを重視したWebブラウザーであり、閉じるたびに保存したキャッシュなどのデータを消去するかどうかの確認が表示される。
Tor
安全性、匿名性を特に重視したWebブラウザーであり、終了時にすべてのCookieを消去する機能を備えている。オニオンルーティング技術を用いていることから、検閲を実施している諸外国では、その回避のために利用されている場合もある。
なお、ここで取り上げていないMicrosoft EdgeやSafariは、いわゆるセーフブラウザーの範疇に入らないことが多いが、セキュリティ面で他のWebブラウザーより劣っているというわけではない。普段からMicrosoft EdgeやSafariを利用しているのであれば、そのまま使い続けても問題はないだろう。
セキュリティソフトのブラウザー保護機能
セキュリティソフトには、さまざまなブラウザー保護機能が搭載されているため、そうした機能を利用することでより安全にWebサイトの閲覧が可能になる。例えば、ESET個人向け製品では、以下のような保護機能が備わっている。
プロトコルフィルタリング
POP3とHTTPアプリケーションプロトコルを検査してフィルタリングすることで、怪しいWebサイトへのアクセスを防ぐ。
Webアクセス保護
コンテンツの読み込み時に、悪意のあるコンテンツが含まれていることが事前に判明しているWebサイトへのアクセスをブロックする。また、それ以外のWebページにおいても、読み込み時にThreatSenseテクノロジーで検査を行い、悪意のあるコンテンツが検出されるとブロック機能が働く。
フィッシング対策機能
IDやパスワードを盗み出すようなフィッシングサイトであることが明確なWebサイトへのアクセスをブロックする。
インターネットバンキング保護
Webブラウザーをセキュアーブラウザーとして起動することで、アドインが無効になり、キーボードから入力した内容(IDやパスワード、クレジットカード情報)が保護される。
ネットワーク保護
ファイアウォールやネットワーク攻撃からの保護機能、ボットネット保護機能がそれぞれ搭載されており、自宅や組織のネットワークを安全に保護できる。
また、セキュリティソフトの中には、メール保護機能が搭載されているものもある。メール保護機能では主にプラグインを用いて、メールに潜むマルウェアなどを検出可能だ。このように、セキュリティソフトを導入することによって、ユーザーは総合的なセキュリティ対策を実現できる。安心、安全にインターネットを活用するためにも、自らの利用状況に応じた適切なセキュリティ対策を講じてほしい。