ITプロフェッショナルとして絶対にやらない10のこと

私は30年以上IT業界で働いており、そのほとんどの期間はPC-WELT（PCWorldのドイツの姉妹誌）の編集者としてセキュリティを専門としてきました。ウイルス対策ソフトウェアのテスト、Windowsのセキュリティ強化に関するヒントの提供、最適なセキュリティツールの継続的な探求、サイバー犯罪者の活動の監視などを行っています。

長年にわたり、私は自分にとっては全く普通で理にかなっていると思える様々な行動や原則を身につけてきました。しかし、他のPCユーザーを観察すると、リスクの高い、あるいは少なくともセキュリティの観点から見てあまり重要ではない行動に気づくことがよくあります。

そのため、私は IT セキュリティの専門家として絶対にしない 10 の最も重要なことと、代わりに何をすべきかについてのヒントをまとめました。

さらに読む：古いPCにWindows 11をインストールするのは非常に危険です。その理由は次のとおりです。

1. コピーではなく移動

IDG

自分のファイルをすぐにコピーせずに移動すると、不安を感じます。例えば、カメラで撮影した写真や動画、スマートフォンやオーディオレコーダーで録音した音声などがこれに該当します。これらのファイルは通常は固有のものですが、移動するとすぐに失われてしまうリスクがあります。これは非常に稀なケースですが、完全に排除できるわけではありません。

しかし、たとえ移動プロセスがスムーズに進んだとしても、データは一度しか利用できません。PCのハードディスクが故障すれば、データは失われます。また、誤ってファイルを削除してしまった場合も、データは失われます。こうしたリスクは、コピーではなく移動操作を開始した場合にのみ発生します。

「新しい写真のためにSDカードの容量が足りない」と思われる場合は、2枚目のSDカードの購入を検討してください。ご自身のデータは常に価値があります。

SDカードの空き容量はいつ確保すればいいのでしょうか？PCのバックアッププランでコピーしたデータがバックアップされたらすぐに解放します。私の場合は、Raspberry Piで動作するネットワーク上のハードドライブでバックアップしています。

重要なファイルも自動的に暗号化され、クラウド ストレージにアップロードされます。

さらに読む:最高のオンラインバックアップサービス

2. バックアップなしで自分のデータを保存する

重要なデータはすべて自動バックアップに設定しています。自分で作成したファイルをすぐにバックアップせずに保存するのは、私にとってあまりにもリスクが大きすぎるからです。Android、iOS、Windowsなど、アプリに入力するすべてのデータも含まれます。ほとんどのアプリが分かりやすいバックアップ機能を提供していないからといって、ユーザーがデータに対する責任を免除されるわけではありません。

例えば、ドイツのコブレンツにある2つの文法学校では、数百台のiPadがエラーにより学校ネットワークからログアウトしました。生徒が使用していたGoodnotesアプリの手書きメモが削除されました。多くの生徒は学校所有のiPadとこのアプリのみを使用して作業していたため、メモの二次コピーは存在しませんでした。合計7,500台のiPadのうち、約500台が故障時に学校ネットワークに接続されていたため、データ損失の影響を受けました。

iPadでは通常クラウドバックアップが利用されますが、データ保護のため無効になっていました。他の形式のデータバックアップは利用されていなかったようです。関係する生徒を責めることはできませんが、担当のシステム管理者を責めるべきです。

3. 徹底的なチェックなしにストレージをフォーマットする

IDG

私は絶対にこのような間違いはしません。なぜなら、以前に同じミスを犯したことがあるからです。ですから、経験から言えるのは、正しいドライブを選択したと確信できる場合にのみ、ストレージドライブをフォーマットするということです。

何年もの間、ファイルの保存には外付けUSBハードディスクを使っていました。これらのハードディスクのフォルダ構造は大体同じで、「マイドキュメント」「ビデオ」「Temp」「Virtual PC」といったフォルダがありました。しかも、ハードディスクはすべて同じモデルで、以前、お得なセールで思い切って買ったものでした。中には、データキャリアの名称が「Data」という同じものもありました。

それはあまり賢明な方法ではありませんでした。なぜなら、間違えやすくなってしまうからです。結局、深夜にこれらのハードドライブの1つを別のものと間違えてしまい、間違った方をフォーマットしてしまいました。

それ以来、私は外付けハードドライブと USB スティックに非常にわかりやすい名前を付けてラベルを付け、フォーマットする前にもう一度よく確認するようになりました。

まず確認してからフォーマットしましょう：意図しないデータ損失を防ぐには、フォーマット前に適切なドライブを選択することが重要です。Windowsエクスプローラーで、フォーマットするハードドライブまたはパーティションのドライブレターを確認してください。複数のドライブを搭載したシステムでは、すぐには分からないことがよくあります。時間をかけて確認し、他のハードディスクやドライブを取り外して、全体像を把握しましょう。ディスクの名前とサイズは、ディスクの識別に役立ちます。

さらに、Windowsの検索で「ディスクの管理」と入力してディスクの管理を起動してください。接続されているすべてのディスクとそのパーティションが表示されます。正しいハードドライブ、USBスティック、またはパーティションが見つかったことを確認してから、フォーマットを開始してください。

関連：ランサムウェア攻撃を防ぐ（または生き残る）方法

4. メール内のリンクを開く

メール内のリンクを開くのは好きではありません。特に、銀行や決済サービスプロバイダーから送られてきたとされるメールは、絶対に開きません。PayPalからの月例メールのリンクも、実際にはPayPalから送られてきたものだと分かっていても開きません。

なぜダメなのでしょうか？昨今、攻撃者が銀行メールを模倣した偽メールを作成するのは非常に簡単です。少なくとも、受信トレイを確認するだけの短時間では、フィッシングメールと本物の銀行メールの違いを確実に見分けることはできません。

代わりに、オンラインバンキングやその他の重要なページは、ブラウザに保存したリンクから開くか、毎回ブラウザにアドレスを再入力しています。サイトにログインし、顧客アカウントに新しいメッセージが届いていないか確認します。届いていなければ、メールの内容は偽物か、銀行が顧客アカウントにこの情報を入力するほど重要ではないかのどちらかです。これで私の問題は終わりです。

ヒント:データのプライバシーを向上させるために、これらの 5 つの Windows 設定を変更してください

5. 疑わしいファイルを開く

IDG

疑わしいファイルがあれば、それがプログラムであれ文書であれ、開かないようにしています。リスクが大きすぎるからです。IT編集者として、私はインターネットからツールを頻繁にダウンロードしており、その多くはウイルススキャナーでスキャンされています。これは、ファイルが疑わしいことを示す一つの兆候です。

もう一つは、その出所です。怪しいウェブサイトからのファイルは、メールに添付されたファイルやメール内のリンクから送られてきたファイルと同じくらい疑わしいものです。どうしてもそのようなファイルを開いたり起動したりする必要がある場合は、必ず最初にwww.virustotal.comというツールでチェックするようにしています。このオンラインサービスは、60種類以上のウイルススキャナーでファイルを検査します。

www.virustotal.com で提供されている情報よりもさらに詳しい情報を知りたい場合は、オンラインサンドボックスに疑わしいファイルをアップロードすることもできます。ただし、これはVirustotalでのテストよりも少し複雑です。これらのサービスは多くの場合登録が必要で、料金がかかる場合もあります。

登録不要の無料かつ簡単なオンライン サンドボックスは、www.hybrid-analysis.com でご利用いただけます。

6. サービスの支払いにバウチャーを渡す

鋳造所

誰がこんなことをしたいと思うでしょうか？驚くほど多くのユーザーが！彼らは皆、ソーシャルエンジニアリング攻撃の被害者です。ソーシャルエンジニアリングは、心理的なトリックを用いて人々を操り、彼らの利益にならない行動を取らせます。信頼、恐怖、無知といった人間の特性が悪用されるのです。

よくある手口はこうです。インターネットを閲覧していると、突然、Windowsから送信されたように見える警告メッセージが表示されます。PCがハッキングされたので、Microsoftの担当者に修理を依頼するためにサポート電話番号に電話するように言われます。電話してみると、実際にはPCがハッキングされたと告げられます。しかし、この修理には料金がかかり、バウチャーカードで支払うことになっています。バウチャーカードは警察にとって銀行振込よりも追跡がはるかに困難であるため、犯罪者はバウチャーカードを要求するのです。

事実、ソーシャルエンジニアリングの罠から逃れられる人はいません。綿密に準備された巧妙な攻撃者は、誰でも罠に誘い込むことができます。「CEO詐欺」で検索すれば、その例はたくさんあります。しかし、サービスのバウチャーコードのような、一見普通ではないものを要求された瞬間に、あなたは疑いの目を向け、罠から逃れることができるのです。誰かがあなたから金銭を徴収しに来ると言われた時も同じことが言えます。

参照: PC からマルウェアを削除するにはどうすればいいですか?

7. 不明な外部デバイスを接続する

持ち主が分からないUSBメモリ。差し込むつもりはありません。幸いなことに、Windowsの自動起動機能がUSBメモリからEXEファイルを即座に起動していた時代は終わりました。Windows 10と11のデフォルトでは、USBメモリの内容を表示するためにWindowsエクスプローラーを起動するだけです。

だから、それが問題なわけではないんです。でも、皆さんと同じように、私も気になっています。攻撃者はこれを悪用して、思わず開きたくなるようなファイル名で悪意のあるファイルを保存するんです。

セキュリティ専門家は長年、企業ネットワークに侵入したいなら、感染したUSBメモリを数本会社の駐車場に置いておくだけで済むと主張してきました。従業員の誰かがそのUSBメモリを拾い、自分のPCに接続するのです。

プロ仕様のマルウェア「Stuxnet」も、USBスティックを介してイランの核施設のコンピュータに侵入したとされています。このUSBスティックが駐車場のトリックで施設内に侵入したのか、それとも内部関係者が密かに持ち込んだのかは不明です。Stuxnetは核施設内の遠心分離機を破壊し、核爆弾用の核分裂性物質の製造を遅らせました。

外部の USB スティックを挿入する必要がある場合: ポイント 5 と同じルールが適用されます。www.virustotal.com でファイルを確認するか、サンドボックスで起動します。

8. デフォルトのパスワードを使用する

デフォルトのパスワード保護が設定されている新しいデバイスを接続する際は、すぐに既存のパスワードを変更します。パスワードが設定されているオンラインアカウントにも同様に適用されます。

確かに、ルーターにデフォルトパスワードが設定されていることが少なくなりました。しかし、残っている場合は迅速な対応が不可欠です。攻撃者はデフォルトパスワードを知っており、それを使ってデバイスにログインしようとするからです。優れたパスワードマネージャーを使えば、使用するサイトやサービスごとに、強力で固有のパスワードを作成できます。

9. 不要なネットワークサービスを有効にする

IDG

NASやウェブカメラの新たなセキュリティ脆弱性が、ほぼ毎月のように公表されています。これらのネットワークデバイスは通常、インターネット経由で脆弱性を悪用され、ハッカーがNAS上のデータ、ウェブカメラの画像、さらにはホームネットワーク全体にアクセスすることを許してしまいます。

だから、必要のないネットワークサービスは一切無効にしています。ルーターへのリモートアクセスは無効にしています。スマート照明へのリモートアクセスも無効にしています。NASとロボット掃除機へのアクセスも無効にしています。

10. 高価なウイルス対策ソフトのPlus版を購入する

PCワールド

ウイルス対策ソフトウェアは通常、3つのバージョンで提供されています。シンプル、良い、とても良い、あるいはウイルス対策、インターネットセキュリティ、そして総合セキュリティです。私は3番目で最も高価なバージョンを買うことは絶対にありません。

これは純粋に経済的な理由です。もしお金持ちだったら、違う決断をするでしょう。でも、お金に余裕がない限りは、中間のバージョン、つまり「Internet Security」と呼ばれるものしか買いません。無料のMicrosoft Defenderよりも多くの機能を備えていることが多いですが、フルバージョンほど高価ではありません。

後者の場合、必ずしも必要ではないサービス（メタデータのクレンジング、ソーシャル メディアのモニタリング）や、他の場所でより安く入手できるサービス（VPN サービス、クラウド ストレージ）に料金を支払うことになります。

先ほど言ったように、トータルバージョンではさらに多くの機能が提供されますが、私はその追加機能は必要ありません。

この記事はドイツ語から英語に翻訳され、元々はpcwelt.deに掲載されていました。