インターネットセキュリティの基本はすでにご存知ですか?
ウイルス対策プログラムとパッチを最新の状態に保ち、インターネット上のどこにアクセスしているかに注意し、フィッシング サイトにアクセスしたりトロイの木馬をダウンロードしたりしないようにオンラインの賢明さを身に付けておく必要があることはご存じのとおりです。
しかし、基本的な対策を講じてもまだ安全だと感じられない場合はどうすればいいでしょうか?ここでは、今日最も一般的な攻撃を阻止するのに役立つ、高度なセキュリティのヒントをいくつかご紹介します。
ただし、セキュリティはトレードオフの関係にあることを忘れないでください。これらのヒントのほとんどでは、セキュリティが向上すると利便性が損なわれます。でも、それはあなたのコンピュータです。好きなだけ警戒しても構いません。
スクリプトを避ける
これは、Web 上での安全を確保するために最も役立つアドバイスかもしれません。特に信頼できないサイトでは、JavaScript を避けてください。
JavaScriptは非常に人気があり、それには十分な理由があります。ほぼすべてのブラウザで動作し、Webをよりダイナミックにします。しかし同時に、悪意のある人物がブラウザを騙して、本来行うべきではない動作を実行させることも容易にします。ブラウザに別のWebページから要素を読み込むように指示するといった単純なものもあれば、クロスサイトスクリプティング攻撃のように、より複雑なものも存在します。クロスサイトスクリプティング攻撃は、攻撃者が正規のWebページで被害者になりすます手段となります。
Javascript攻撃は至る所で発生しています。Facebookをご利用の方は、最新の攻撃を目にしたことがあるかもしれません。最近では、ブラウザのアドレスバーにコードをコピー&ペーストするだけで500ドルのギフトカードが無料でもらえるといった、偽のFacebookページが詐欺師によって開設されています。
このコードはJavaScriptなので、ブラウザに絶対に追加しないでください。「詐欺師はこの手法を使って、望まないアンケートを開いたり、ソーシャルネットワーキングのプロフィールにスパムを送信したり、フィッシングページに誘導したりします」と、サンベルト・ソフトウェアのセキュリティ研究者、クリス・ボイド氏は述べています。
しかし、ハッキングされたWebページや悪意のあるWebページにもJavaScriptが埋め込まれることがあります。こうした攻撃を回避するには、無料のFirefoxプラグイン「NoScript」を使うと、ブラウザでJavaScriptを実行できるWebサイトと実行できないWebサイトを制御できます。NoScriptは、新しいWebサイトにアクセスした際に、不正なウイルス対策プログラムやオンライン攻撃がポップアップ表示されるのを防ぐのに非常に役立ちます。
あらゆる場所でスクリプトをブロックし、NoScript を使用して信頼できるサイトのホワイトリストを作成することにより、現在インターネットを悩ませている、いわゆる Web ドライブバイ攻撃のほとんどを阻止できます。
NoScriptにはクロスサイトスクリプティングブロッカーも搭載されています。クロスサイトスクリプティングは以前から存在していましたが、最近ではFacebookやYouTubeなどのオンラインアカウントを乗っ取るために、悪意のあるユーザーがこれまで以上に頻繁に利用しています。
Firefoxをご利用でない場合でも、スクリプトを厳しく取り締まる方法はいくつかあります。Foxfireユーザーと同様に、Google ChromeユーザーもJavaScriptを全面的に無効にし、許可するサイトのホワイトリストを作成することができます。
残念ながら、Internet ExplorerとSafariにはNoScriptに相当する機能はありませんが、IEユーザーはインターネットゾーンのセキュリティ設定を調整することで、スクリプト実行前にプロンプトを表示するように設定できます。また、IE 8には、一部の攻撃を防ぐための新しいクロスサイトスクリプティング保護機能が搭載されています。
Adobe ReaderでJavaScriptを無効にすることも効果的です。シマンテックによると、昨年のWebベースの攻撃のほぼ半数は悪意のあるPDFファイルに関連していました。もし被害者がPDFでJavaScriptを実行できないように設定を変更していれば、これらの攻撃のほとんどを阻止できたはずです。
Reader で JavaScript を無効にするには、「編集」、「環境設定」、「JavaScript」の順にクリックし、ウィンドウの右側にある「Acrobat JavaScript を有効にする」ボックスのチェックを外します。
こうした防御策の欠点は、不便さです。ブラウザでスクリプトを無効にすると、多くのアニメーション、ムービー、動的なWebページが動作しなくなります。Webページを開いて、正常に動作しないことに気づき、そのページでスクリプトを許可するという終わりのない繰り返しに、多くのユーザーが苛立ちを感じています。
Reader でも同じことが当てはまり、JavaScript を無効にしていると PDF ベースのフォームが適切に送信されないことがあります。ただし、多くの人は、必要なときにいつでも Reader の JavaScript をオンにするだけでかまいません。
不正なウイルス対策ソフトのオファーを断る
最近、多くの人がこんな経験をしています。全く合法的なサイトでウェブサーフィンをしていると、突然、恐ろしい警告メッセージがポップアップ表示されます。コンピュータが感染していると告げられます。それを削除しようとしますが、さらに多くのウィンドウがポップアップ表示され、コンピュータのスキャンを促します。
こうすると、スキャンは必ずセキュリティ上の問題を発見し、その問題を解決するソフトウェアを売りつけようとします。これは偽のウイルス対策ソフトウェアです。このソフトウェアが行うことは、犯罪者に金銭を渡すだけです。
不正なウイルス対策プログラムは、ここ数年で最も厄介なセキュリティ問題の一つとして浮上しています。被害者にとっては、ポップアップウィンドウ自体が感染しているように見えることもあります。警告ウィンドウを閉じようとするたびに、新たな警告ウィンドウが現れます。
やるべきことは次のとおりです:
まず第一に、このソフトウェアは絶対に購入しないでください。動作しないばかりか、システムを壊してしまうことも少なくありません。Alt +F4キーを押してブラウザを直接閉じるか、Ctrl+Alt+Deleteキーを押してシステムのタスクマネージャーを開き、そこからブラウザを終了してください。ブラウザを閉じると、ポップアップの問題は通常解消されます。
不正なウイルス対策ソフトによる攻撃を避けるもう一つの方法は、話題のニュース記事を読む際に注意することです。悪意のある攻撃者はGoogleトレンドやTwitterのトレンドトピックをフォローしており、悪意のあるWebページをあっという間にGoogle検索結果の上位に表示させてしまうのです。
Googleはこうした行為を抑制しようとしていますが、速報ニュースとなると、悪意ある行為者はしばしば一歩先を行きます。「信頼できるニュースソースだけを読むことで、影響を受けるリスクを減らすか、少なくともGoogleニュースでこれまで見たことのないニュースサービスを検索するようにしてください」と、サンベルトのボイド氏は言います。
次へ: あまり人気のないアプリを使う; プログラムが最新であることを確認する
Microsoft WordやAdobe Readerに依存しない
Microsoft Office と Adobe Reader は非常に人気のあるプログラムですが、セキュリティの観点からは最強のアプリケーションではありません。特に、おそらく大丈夫だと思うが確信が持てないファイルを開く場合にはそう言えます。
犯罪者の多くは、大規模なトラブルメーカーの理論を信奉しています。攻撃を計画する際には、通常、最も広く使用されているソフトウェアプログラムを標的にします。これが、WindowsがLinuxやMacオペレーティングシステムよりもはるかに頻繁に攻撃を受ける理由の一つです。
彼らに一歩先んじる方法の一つは、犯罪者が比較的頻繁に標的にしない、あまり知られていないアプリを使うことです。多くのセキュリティ専門家は、Foxit ReaderやPDF Studioなどの代替リーダーでPDFファイルを開いています。同様に、OpenOfficeで.docファイルや.pptファイルをチェックすることも可能です。ただし、非標準のアプリケーションでは、ファイルが正しく表示されない場合があるという欠点があります。この欠点により、ニーズによっては日常的な使用には適さない場合もありますが、それでも疑わしい文書を開く際には使用を検討する価値はあります。
GmailやVirusTotalなどのサービスを使って、開いた文書をチェックする
セキュリティ専門家が代替の PDF および .doc リーダーを使用するのはなぜですか?
信頼できないソースから送られてきた添付ファイルは開かないように、長年警告されてきました。見慣れない.exeファイルは確かに問題の兆候ですが、ハッカーはユーザーを騙して悪意のあるエンコードされた文書を開かせることでコンピュータに侵入する方法も発見しています。こうした攻撃の大部分は、古いプログラムの既知の脆弱性を悪用していますが、それに加えて、ゼロデイ攻撃と呼ばれる新たな攻撃が定期的に出現し、ソフトウェアメーカーがまだ修正していない脆弱性を悪用しています。
今では、代わりのドキュメント リーダーを見つける方法がわかっていますが、それがうまくいかない場合は、ドキュメントを二重チェックしてウイルスを回避するために他の方法を採用することを検討してください。
一つの方法は、Googleにチェックを任せることです。添付ファイルをGmailアドレスに転送すると、Googleのフィルターがマルウェアスキャンを実行します。その後、ドキュメントを変換してGoogleドキュメントで読み、本物かどうかを確認できます。
もう一つのヒントは、Virustotalにファイルを送信することです。この無料スキャンサービスは、41種類のウイルス対策スキャンエンジンでファイルをスキャンします。いずれかのプログラムがファイルを悪意のあるものとして検出した場合、Virustotalが通知します。
使用しているプログラムを把握し、最新であることを確認する
数年前にダウンロードした古いバージョンのRealPlayerは、今では単なるセキュリティホールに過ぎないかもしれません。プログラムを使用しない場合は、PCからアンインストールすることを検討してください。
不要なアプリを削除するには、コントロールパネルのWindowsのインストール/アンインストールセクションにアクセスしてください。原則として、使用していないプログラムは削除しましょう。
セキュリティの観点から見ると、あらゆるプログラム、特に広く使用されているアプリは、ハッカーがシステムに侵入するための新たな経路となります。便利なセキュリティツールとして、PCをスキャンして古いソフトウェアを検出するSecunia Online Software Inspectorがあります。
でも、それだけではありません。この便利なMozillaのページでは、Chrome、Firefox、IE、Operaなどのブラウザプラグインのアップデートが必要かどうかを確認できます。
Facebookアプリをチェックして、Facebook版のソフトウェアの肥大化に陥っていないか確認するのも良いでしょう。ログインした状態で「アカウント」をクリックし、「アプリケーション設定」をクリックして、インストールされているアプリを確認してください。使用していないアプリがあれば削除しましょう。
パスワードゲームを磨く
インターネットでは、覚えなければならないパスワードが多すぎる。誰もがこのことに気づいているにもかかわらず、ほとんどの人は同じユーザー名とパスワードを使い回すことでこの問題を回避しています。
ハッカーもこのことを知っており、喜んでそれを悪用します。多くの場合、彼らはフィッシング攻撃などによって他人のパスワードとユーザー名を盗み、その組み合わせをFacebook、Gmail、PayPal、Yahoo!などの他の人気サービスでも試し、そこでも使えるかどうかを確認します。
幸いなことに、KeePass Password Safeのような無料でシンプルなパスワード管理ツールを使えば、パスワードを自動で管理できます。少し手間がかかります。ウェブサイトにログインするたびにパスワードマネージャーとブラウザを行き来するのは面倒かもしれませんが、セキュリティには常にトレードオフが伴うことを覚えておいてください。
Firefoxブラウザをお使いの場合は、KeePassのパスワード管理機能をブラウザに統合するKeeFoxプラグインをお試しください。(このような製品は、「あらゆるものに安全で別々のパスワードを使用するという良い習慣を維持しながら、パスワードを記憶する必要がないようにしてくれます」と、McGrew Securityのセキュリティ研究者、ウェズリー・マグルー氏は述べています。)
ロバート・マクミランは、IDG ニュース サービスでセキュリティ問題を取り上げています。
