TREND COMMENTARY

トレンド解説 | マルウェアに関する最新の動向、対処方法

よく忘れがちな11のセキュリティ対策

この記事をシェア

ITセキュリティを狙う攻撃者は常に最大の弱点を攻撃する、それが鉄則である。ここでは日々のセキュリティにおいて起こり得る、うっかり忘れがちな11の落とし穴を紹介する。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト
「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

ITセキュリティを狙う攻撃者は常に最大の弱点を攻撃する、それが鉄則である。ここでは日々のセキュリティにおいて起こり得る、うっかり忘れがちな11の落とし穴を紹介する。

セキュリティ対策について万全を期していたつもりでも、意外な落とし穴があるもしれない。とても身近であるために、かえって忘れてしまっていることがある。以下、順を追って紹介しよう。

目次

1. パッチ対応が面倒
2. 疑うのは悪いことだ
3. パスワードを使い回す
4. 連携機能が便利なSNS
5. セキュリティを導入しない
6. 自分だけは大丈夫
7. 無防備に機器を置き去る
8. 無料の公衆無線LAN
9. SSL認証警告の無視
10. 非公式サイトからのDL
11. スマートフォンの改造

1. パッチ対応が面倒

残念ながら情報漏出の原因は、不正なリンクをクリックするようなヒューマン・エラーだけにあるのではない。アップデートしなくても利用できてしまうコンピューター・システムにも一因がある。

攻撃する側はMicrosoft OfficeやAdobe Playerなどの脆弱性を狙っており、被害者のパソコンに侵入しようと常日ごろ努力している。また、力のある攻撃者であれば、まだパッチが公開されていない段階で脆弱性を突く、いわゆる「ゼロデイ」攻撃を行う。

それゆえ、パッチが公開されたら、直ちに対応すべきである。

ただし企業組織の場合、簡単にパッチを導入できないこともある。パッチ管理はシステム・アドミニストレーターにとって大きな悩みの種なのである。

とはいえ、Windows 10については、これまでのように定例更新ではなく随時更新となり、企業組織向けについても、新機能によるトラブルを避けるために脆弱性などの更新だけを随時行うサービスが用意されるため、今後のパッチ対応がより安全になる可能性がある。

また、AndroidやiOSについてはアプリケーションの自動更新機能があるため、ユーザーは何かをしなくてはならないわけではない。

問題はそれ以外の脆弱性対策である。「アップデートのお知らせ」メッセージを受け取ったら、直ちにパッチを当てることが望ましいことに変わりはないのである。

2. 疑うのは悪いことだ

私たちはなぜか、デジタルの世界を根拠なく信用していないだろうか。

必要としていないのに突然やって来る押し売りには用心していても、迷惑メールやWebサイトのメッセージにはどこか甘くなっているのではないだろうか。

例えば、マルウェアが仕掛けられているかもしれないのに、なんら疑問を抱かずにメールの添付ファイルやインターネットからダウンロードしたファイルを開いてしまってはいないか。

また、罠(わな)が仕掛けられたWebサイトにリダイレクトするかもしれないのに、TwitterやFacebook、LinkedInなどのSNSで用いられる「短縮URL」を、あまりにも簡単にクリックしてはいないか。

確かに、疑いを抱くのはあまり良いことではないかもしれない。だが、忘れてはならない。Webサイトもメールも危険に満ちており、しかも攻撃者はその正体をはっきりと見せずに、何げない顔をして近づいてきているということを。

まずは、疑うべきである。そして、慎重になるべきである。怪しいと思った場合には、慌てずにインターネットで調べてみたり、詳しい人に相談したりしてみよう。疑うのは「良い」ことなのだ。

3. パスワードを使い回す

パスワードを割り出すための手法の一つに「総当たり攻撃」というものがある。例えば、数字や可能性の高い文字列を組み合わせて順番に並べて試してみるものだ。人間が一つずつ入力すると大変な労力を必要とするが、自動入力できるソフトウェアを利用すれば、あとはリストさえあれば簡単にできてしまう。

にもかかわらず、多くの人はパスワードに気を使っていない。

誕生日や電話場号と名前(自分だけでなくペットや子供の場合も含む)の組み合わせ、または、ごく短く簡単な数列や文字列を使っている人が大半である。

しかも、さまざまなサービスに対して一つのパスワードを使い回している。これでは、攻撃者に付け入る隙を与えてしまうだけだ。

確かにパスワードの管理は大変である。ある研究によれば、英国では平均で19種類のアカウントのパスワードを持っていることを明らかにしている。これらを全部違ったものにした上で全て暗記するのは、もちろん現実的ではない。

しかし、もしもあるサービスにおいてパスワードが破られた場合、他のサービスにも被害が及ぶという可能性を真剣に考えなければならない。

複雑なパスワードを生成するとともに数多くのパスワードを管理するツールもあるので、具体的に対策を取ることが必要だ。

パスワードのセキュリティについては、サービス提供側でもさまざまな対策を取り始めており、少しずつ改善されてきてはいる。とはいえ、ユーザー側の意識も高まらないと被害は決して減ることはないだろう。

驚くべきことに2014年において最もよく使われたパスワードは「123456」だった
驚くべきことに2014年において最もよく使われたパスワードは「123456」だった
 

4. 連携機能が便利なSNS

パソコンとスマートフォンにはさまざまな機能があるが、中でも、コミュニケーションの手段として利用する機会は極めて多いはず。

特に、LINEやTwitter、Facebook、Instagramなど、ソーシャルメディアやインスタントメッセージは大人気。特に若い世代にとっては、自分の暮らしの一部といってよいほど密接な関係にある。

しかし、これらのサービスにおいても危険は隣り合わせである。情報が傍受されたり盗み出されたりすることも頻繁に起こっている。特に個人情報はネットの闇市場で活発に売買されていることを思い出すべきである。つまり、攻撃者は一般ユーザーを装って、こうしたコミュニケーションのネットワークに紛れて多くの個人情報を集めようとしているかもしれないのである。

特に近年、SNSでは「連携機能」が頻繁に利用されるようになった。あるサービスに書き込んだ内容(または書き込んだという情報)を他のサービスにおいて自動的に告知することができるため、大変便利であるが、危険も多い。

この連携機能が悪用されると、一見するとアカウントが乗っ取られたかのようになる。つまり、なりすましのような記事を攻撃者は多くのユーザーに送り付けることができるのである。

ネットワークの連鎖で被害は果てしなく続く恐れがある。被害者はなりすましを受けた側だけでなく、それを閲覧した側にも発生する。普段と違うようなふるまいをするアカウントに対しては注意が必要なのである。

5. セキュリティを導入しない

ウイルス対策ソフトなど、ITセキュリティを守るためのソリューションは数多くあり、日進月歩してきた。

これまで主に、コンピューター・ウイルスに対しては、検出されたプログラムを解析してウイルス定義データベースに登録することで感染対策が行われてきた。これを「ウイルス定義データベース」方式という。

当初はコンピューター・ウイルスの数は少なく、この「ウイルス定義データベース」方式を中心にして対策が立てられてきた。ところがこの数十年の間にコンピューター・ウイルスはすさまじく増えた。

次々と新種が現れると、セキュリティ・ベンダーは、そのためのウイルス定義ファイルを素早く用意してユーザーに届けなければならない。しかしその数が桁違いに増えてしまったら、いったいどうなるであろうか。

アップデートの回数が増え、データベースの容量が大きくなると、どうしてもパソコンに負荷が掛かってしまう。そこで多くの人は「セキュリティソフトを導入するとパソコンが重くなる」と思い始め、場合によってはそうなるのが嫌で導入しないというケースも現れている。確かにパソコンは重くはならないが、極めて危険な状態に陥っていることに気付かなければならない。

現在は、こうした「ウイルス定義データベース」の更新だけに依存しないでウイルス、トロイの木馬、ワーム、そして他のタイプのマルウェアを挙動や内容によって不正かどうかを見極めて検出し削除する「ヒューリスティック」エンジンなどのプロアクティブ技術が導入されている。

もしも「重い」ために対策ツールを導入することにちゅうちょしているのであれば、一度このプロアクティブ方式を組み込んだ製品を利用してみることをお勧めする。

6. 自分だけは大丈夫

情報セキュリティにおける最大の課題は、これまで述べてきたような、パッチの適用やウイルス対策ソフトの導入を怠るといった個々のふるまいではなく、自分が攻撃者の標的になっているという自覚がないことである。

個人でも企業組織でも、なぜか多くの人は「自分(たち)にはそんなことが起こるはずがない」と思い込んでいる。

クラッキングされ個人情報や金銭が盗まれて初めて「想定外だった」と慌てることになる。

サイバー攻撃には標的に関して分けると二種類ある。

特定の相手を狙う場合と無差別に狙う場合である。

特に「無差別」攻撃は日常的に至るところで起こっている。確かに、怪しいサイトに近寄らないようにし、疑わしい場合には常に避けて通り、知っている相手とのコミュニケーションにも十分気を使えば、かなりの確率で危険性は弱まる。

しかし、それでも攻撃者は巧みに人間の弱みを狙ってくる。

意識として、常に、自分はいつも狙われている、と考えるべきであろう。

7. 無防備に機器を置き去る

単純なミスで最も多いのは、パソコンにロックを掛けないままその場を立ち去ることである。数分動作がなければスクリーンセイバーが起動するように設定したり、スリープモードが働くようにしたりするとともに、起動時にはパスワードや指紋認証などを必要とする設定にしておくべきだろう。

無防備な機器は、外部機器を使ってデータが盗まれたり、肩越しにパスワードなどがのぞかれる「ショルダーサーフィン」にさらされたりする可能性もあることを、忘れてはならない。

もちろん同じことは、スマートフォンやタブレットにも当てはまる。この小さな機器には、驚くべき量の情報が詰まっている。安易に第三者に手渡すべきではない。

しかし、最大のリスクは、機器の盗難や置き忘れである。決して「うっかり」がないようにしたい。

放置された機器は犯罪者の格好の餌食となる
放置された機器は犯罪者の格好の餌食となる
 

8. 無料の公衆無線LAN

外出先でインターネットに接続したい場合、無料で提供されている公衆無線LANサービスは確かに便利である。

1カ月定量の契約でスマートフォンを使っている場合など、Wi-Fi接続がなければ困るという人も多い。

しかし、無線で通信を行っている場合、どうしてもセキュリティが甘くなっているときがある。

もちろん、自宅や会社で無線LANを構築している場合には、慎重に、パスワードや暗号化方式など、安全な接続ができる体制をとっている場合が多いかもしれない。

ところが一方で、公衆無線LANの場合、非常に簡単にネットワークに入ることができる場合がある。

これは一見「便利」であるが、極めて「危険」でもある。

必要最低限の利用に抑えるとともに、少なくとも、オンラインバンキングやネット通販など金銭が直接関係するようなアクセスは避けるべきである。

9. SSL認証警告の無視

「接続の安全性を確認できません」――いつもアクセスしているはずのWebページが急に開かなくなり、接続の安全が保証されないという警告が表示されることがある。

これは「SSL」という公開鍵と秘密鍵とを使ってデータを暗号化してやりとりする決まりが破られている、ということを意味する。

したがって、この警告が現れたら、無視してはならない。少なくとも何らかの不具合がそのページで発生している可能性があるからである。

これは、証明書が無効であるか期限が切れていることを意味する。つまりこのまま接続するのはとても危険であり、第三者によって傍受される恐れが高いということである。

確かに、かつて2009年にカーネギーメロン大学の研究者は、Webブラウザにおけるデジタル証明書の警告は効果的なセキュリティ対策とはならない、という調査結果をまとめたことがある。多くの人がこの警告を無視するからだ。

GoogleもまたChromeユーザーが警告の70%を無視していることを発見した。ただしGoogleは最近、セキュリティ警告を設計し直している。

警告が出た場合、たとえ気持ちが急いていても、素直に従うべきであろう。

10. 非公式サイトからのDL

スマートフォンやタブレットのユーザーの中には、Google PlayやApp Storeといった公式サイト以外からアプリケーションのダウンロードを行っている人がいる。

公式サイトにないアプリケーションをどうしても使いたいというような場合があるかもしれないが、多くは、SNSやWeb広告などで紹介されていて、そのリンクに導かれてやってきた場合である。

非公式サイトにおいては、とても大きなリスクが発生することを忘れてはならない。

非公式のサイトには、もちろん、良心的な開発者もいるかもしれない。魅力的なアプリケーションがあるかもしれない。

しかし、すべ全てが悪意に満ちているわけではないとはいえ、違法行為を助長するものや、悪質なコードを含むものがそこかしこに含まれている可能性がある。

とりわけ、本来有料のアプリケーションが無料で配布されている場合、個人情報を盗み取るなどの不正を目的としていることが多い。よく注意すべきだろう。

11. スマートフォンの改造

iOSの場合は「ジェイルブレイク」と呼び、Androidの場合は「ルート化」と呼ぶ、スマートフォンの改良は、やはりお勧めできない。

「ジェイルブレイク」や「ルート化」に挑むのは、いろいろと制約がある場合に、そうした束縛から自由になることに喜びを抱いたり、自分がどこまでその機器を使いこなせるのか制限を解除して試してみたいと思ったり、いろいろな理由があることだろう。

しかし「ジェイルブレイク」や「ルート化」は明らかにセキュリティ上のリスクを大きく高めることになる。

外部から攻撃される可能性がはなはだしく高まる一方で、機器がクラッシュしたり異常動作をしたりする原因にもなる。もちろん、メーカーの保証も無効になる。

パソコンやスマートフォンは、メーカーが保証する範囲で、細心の注意を払って、利用すべきだろう。

 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!