コミックの世界では、悪役は皆、悪の天才です。ウェブ上では、ハッカー、スパマー、フィッシング詐欺師は悪人かもしれませんが、必ずしも天才である必要はありません。多くのユーザーがパッチを当てていない既知のセキュリティホールを悪用するだけで、彼らは潤沢な収入を得ています。あるいは、何百万人もの人々が、何度も何度も「やってはいけない」と言われてきたことをしてしまう性癖につけ込むことでも、彼らは潤沢な収入を得ています。
幸いなことに、これらの一般的な攻撃を回避するのに天才である必要はありません。いくつかの簡単な修正を実施すれば、ほとんどの悪質な攻撃を回避できます。
修正1: ソフトウェアの要点にパッチを適用する
「壊れていないなら直す必要はない」という理由で、Windowsやその他のプログラムの自動更新をオフにしていませんか? 考えてみてください。あなたのプログラムは、もしかしたらあなたが気づいていないだけで、ひどく壊れているかもしれません。PCユーザーに自己紹介をする派手なウイルスの時代は終わりました。現代のサイバー犯罪者は、目に見えない形でPCを乗っ取ることを好みます。パッチが適用されていないソフトウェアは、彼らにとってまさに絶好の機会を与えているのです。
今日では、現代のデジタル犯罪者が好んで用いる攻撃方法であるハイジャックされたWebページは、あなたのPCに対して多数のプローブを仕掛け、プローブが悪用できる未修正の脆弱性を一つでも探し出します。もし脆弱性が一つでも見つかったら、アンチウイルスプログラムがその後の攻撃を検知してくれることを祈るしかありません。そうでなければ、システムに感染した時点で、何の異常も感じない可能性が高いでしょう。
幸いなことに、オペレーティングシステムやブラウザだけでなく、すべてのプログラムを最新の状態に保つことで、Webベースの脆弱性攻撃の大部分を完全にブロックできます。攻撃サイトは、QuickTimeやWinZipといった一見無害なアプリケーションだけでなく、WindowsやInternet Explorerにも脆弱性を見つけ出します。そのため、自動更新サービスを提供しているソフトウェアはすべて有効にしましょう。これは、パッチを入手する最も迅速で簡単な方法です。
修正2: 他の穴を見つける
もしすべてのプログラムが簡単な自動アップデート機能を備え、私たち全員がそれを賢く使いこなせれば、繁栄するマルウェアビジネスは深刻な打撃を受けるでしょう。それまでは、Secuniaの無料かつ使いやすいセキュリティアプリが救いの手を差し伸べてくれるでしょう。
無料でダウンロードできるSecunia Personal Software Inspectorは、インストールされているソフトウェアをスキャンし、PCの安全性を脅かす可能性のある古いプログラムを教えてくれます。しかし、それだけではありません。古いプログラムが見つかるたびに、「ソリューションをダウンロード」ボタンなど、素早く簡単に操作できるボタンが表示されます。このボタンを使えば、ブラウザを開かなくても最新のソフトウェアパッチをダウンロードできます。
このプログラムは、ソフトウェアベンダーのサイトへのリンクに加え、システムの脆弱性に関するSecuniaの完全なレポートも提供します。特定のプログラムに関する今後の警告をブロックすることもできます(ただし、もちろん、事前に十分に注意する必要があります)。
Secunia PSIは完璧ではなく、安全でないプログラムコンポーネントの更新が必ずしも容易ではありません。しかし、ほとんどのアプリにとって、迅速かつ非常に重要な修正を提供します。
解決策3:最新のブラウザに頼る
最も巧妙にハイジャックされたWebページは、見分けるのがほぼ不可能です。ページ上には表示されない、挿入されたごく小さなコード片が、裏で壊滅的な攻撃を仕掛ける可能性があるのです。
こうしたページを自力で避けようとするのは、面倒な事態を招くだけです。特に、サイバー犯罪者は人気サイトをハッキングする傾向があり、ソニーのゲームやマイアミ・ドルフィンズのサイトへの攻撃はよく知られた例です。しかし、最近リリースされたFirefox 3とOpera 9.5ブラウザに搭載された新しいサイトブロック機能は、ある程度の防御策を提供します。
どちらのブラウザも、以前のバージョンのフィッシング対策機能を拡張し、既知のマルウェアサイトもブロックします。正規のサイト上の乗っ取られたページであっても、悪意のある人物によって意図的に作成されたサイトであってもブロックします。どちらのブラウザも、そのようなページにアクセスするリスクを完全に排除することはできませんが、追加の保護レイヤーはどれも効果を発揮します。
MicrosoftはInternet Explorer 8にも同様の機能を追加する予定ですが、このバージョンが本格的に利用できるようになるまでには、まだしばらく時間がかかるでしょう。ブラウザのセキュリティ強化の詳細については、「マルウェアの脅威に立ち向かう新しいブラウザ」をご覧ください。
最も危険な犯罪者は、巧妙なマーケティングを駆使して、ユーザーに悪事を働かせ、自分のPCに感染させようとします。ソーシャルエンジニアリング攻撃の多くは、スペルミスや乱雑な文法など、笑ってしまうほど粗雑ですが、だからといって危険を軽視すべきではありません。巧妙に仕組まれた攻撃が防御をすり抜け、有害なメールの添付ファイルやダウンロードしたファイルを開かせることもあります。標的型攻撃では、あなたの実名や役職が悪用されることもあります。
対策としては、シンプルながらも強力なツール、VirusTotal.com を活用できます。このサイトにファイル(最大10MB)を簡単にアップロードするだけで、Kaspersky、McAfee、Symantec など、35種類ものウイルス対策エンジンでスキャンできます。レポートには、各エンジンがファイルに対してどのような評価をしたかが表示されます。Prevx など一部のエンジンは誤検知を起こしやすいですが、特定の脅威の名前を含む複数の警告が表示された場合は、ほぼ確実にファイルを削除してください。
警告がないからといって、ファイルが安全であるとは限りませんが、かなり高い確率で安全であると言えるでしょう。100%安全かどうか確信が持てないメールの添付ファイルやダウンロードファイルは、VirusTotalですべてチェックしましょう。そうすれば、悪質なソーシャルエンジニアリングを回避できます。
VirusTotal を使うのが習慣になり(悪くないアイデアです)、VirusTotal にスキャン用のファイルを簡単に送信したい場合は、無料の VirusTotal Uploader をダウンロードしてください。ユーティリティをインストールしたら、ファイルを右クリックすると、「送信先」の下に VirusTotal サイトにアップロードするためのオプションが表示されます。
修正5:急速に広がるマルウェアに先手を打つ
従来のシグネチャベースのウイルス対策ソフトウェアは、マルウェアの猛攻に圧倒されつつあります。攻撃者は、セキュリティラボが分析できる以上の亜種を次々と生み出すことで検出を回避しようとします。そのため、今日では、シグネチャに加えて、完全なシグネチャを必要としないプロアクティブ検出機能も備えており、巧妙なマルウェアを検知するのに優れています。
有望なアプローチの一つとして、PC上での挙動のみに基づいて悪意のあるソフトウェアを特定する、行動分析を用いるものがあります。しかし、ウイルス対策ソフトウェアだけでは不十分な場合があります。PC Toolsから無料でダウンロードできる人気のThreatFireは、このような行動ベースの保護層を追加します。最近のテストでは、ThreatFireはマルウェアの挙動のみに基づいて90%を正しく特定しました。
PC WorldのThreatFireレビューでは、プログラムの徹底的な分析と簡単なダウンロードリンク(1台のPCにセキュリティプログラムを過剰にインストールすることに関する警告も)を提供しています。また、動作分析とプロアクティブなウイルス検出の詳細については、「シグネチャだけでは不十分な場合」をご覧ください。
注: AVG Freeアンチウイルスプログラムをご利用の場合は、PC Toolsが新しいバージョンをリリースするまでThreatFireのご利用は控えてください。現在のバージョン3.5はAVGと競合しますが、PC Toolsは現在修正に取り組んでいるとのことです。
修正6:受信トレイをスパムから救う
スパムフィルターは進化していますが、それでも一部の迷惑メールは依然として通過してしまいます。人気株やバイアグラの勧誘メールばかりで諦めて削除するのではなく、使い捨てメールアドレスを試してみましょう。
このようなアドレスは、オンラインショッピングサイト、フォーラム、その他メールアドレスの入力が必要なサービスにアクセスするたびに作成するものです。そのアドレスにスパムメールが殺到してきたら、削除することができます。これは、購入やWebサインアップ専用の無料Webメールアカウントを作成するよりも優れた方法です。単一のアカウントでは、スパムメールが多すぎると、せっかくのメリットも失ってアカウント全体をキャンセルせざるを得なくなります。
Yahoo!ウェブメールユーザーは、年間20ドルのPlusサービスを選択できます。このサービスには、使い捨てメールサービス「AddressGuard」など、様々な特典が含まれています。このサービスでは、ブックマークをクリックするだけで、任意のサイト用の新しい使い捨てメールアドレスを約10秒で作成できます。
Gmailユーザーは、普段使っているメールアドレスに「+何でもいいので」を追加して送信するだけで済みますが、そのアドレスにスパムメールが届くようになったら、単純に停止することはできません。Gmailでフィルターを作成し、そのアドレス宛てのメールをすべてブロックする必要があります。
その他の方には、Spamgourmet.com の優れた無料サービスをお勧めします。これは、セットアップと使用が簡単で、電子メール メッセージを通常のアドレスに転送する使い捨てアドレスを即座に作成できます。
解決策7:フィッシング対策の習慣を身につける
個人情報を狙った卑劣なフィッシング行為は今もなお根強く残っており、偽サイトの多くは本物と見分けがつきにくいものとなっています。しかし、いくつかの簡単な対策を講じれば、フィッシング詐欺に引っかかることはまずありません。
最善かつ最も簡単な方法は、メール内のリンクをクリックして金融口座にアクセスしないことです。必ずURLを入力するか、ブックマークを使用してください。この習慣さえあれば、ほぼすべてのフィッシング攻撃から身を守ることができます。
変更できない場合は、少なくとも最新バージョンのInternet Explorer、Firefox、またはOperaを使用してWebを閲覧してください。これらには、既知のフィッシングサイトをブロックする機能が組み込まれています(修正3で説明したように、OperaとFirefoxは現在、既知のマルウェアサイトもブロックします)。フィッシング対策機能が組み込まれていないSafariは避けてください。
最後に、「http://adwords.google.com.d0l9i.cn/select/Login」のようなURLを使う、よくあるフィッシング詐欺の手口に注意してください。このURL(Phishtank.comに掲載されている最近の実例)を見ると、サイトのドメインがgoogle.comだと思われるかもしれません。しかし実際には、このURLはd0l9i.cnという中国のサイトに接続しており、運営者があなたの個人情報を盗み取ろうと待ち構えています。
Internet Explorer 8では、「ドメインハイライト」という革新的な機能が導入され、こうした不正行為を容易に見分けられるようになります。しかし、この機能が利用可能になるまでは、URLを注意深く監視してください。
解決策8:自分のサイトを安全に保つ
ウェブサイトを運営するには良い時期ではありません。ウェブはデジタルワンダーランドのように見えるかもしれませんが、舞台裏では戦場です。そして、あなたのサイトには銃弾が向けられています。
犯罪者は自動化ツールを使って、サイトによくある脆弱性を探します。脆弱性を発見すると、その脆弱性を突いて大きな穴を開け、忠実な訪問者を攻撃する有害なコードを埋め込みます。
サイトの安全性を確保するには、まずは簡単な無料スキャンで、最も明らかな問題を見つけ出すことから始めましょう。まずはQualys.comのフォームにご記入いただき、1つのIPアドレスの無料スキャンをリクエストしてください。
次に、HPから無料のScrawlrツールをダウンロードします。簡単なインストール後、Scrawlrを使ってサイトをスキャンし、SQLインジェクションの脆弱性(最近のソニーのサイトハッキングで狙われた脆弱性の一種)を探します。
両方のスキャンで問題がなかったとしても、サイトが安全であることを保証するものではありません。例えば、どちらもカスタムJavaScriptコードの問題は検出しません。カスタムJavaScriptコードは、よくある攻撃手法の一つです。どちらのスキャンも、リクエストや実行は簡単ですが、報告されたセキュリティホールの修正にはかなりの作業が必要になる場合があります。しかし、それでも、サイトが乗っ取られた後にサイトと評判を修復するよりもはるかに少ない作業量で済みます。
解決策9:パスワードを安全かつ覚えやすいものにする
オンラインパスワードは、銀行の金庫を保護するティッシュペーパーと同じくらい安全ではないかと思われ始めています。セキュリティ研究者によると、盗まれたログイン情報の供給量は非常に膨大になり、住所や社会保障番号などの他のデータを追加しない限り、犯罪者はそれらを売って金銭を得ることはほとんど不可能です。また、窃盗犯は金融口座のログイン情報を盗むだけにとどまりません。彼らはウェブメールアカウントのアクセス情報も定期的に盗んでいます。最近の事例では、詐欺師がウェブメールアカウントに侵入し、被害者の友人に金銭を要求するメッセージを送信しました。
専門家は、すべてのアカウントに強力で固有のパスワードを使うべきだと言っています。しかし、パスワードをどのように記憶すべきかについては何も教えてくれないため、ほとんどの人はすべてのアカウントで同じ、それほど安全とは言えないパスワードを使い回してしまうのです。
覚えておきたいパスワードを1つだけにして、利用するサイトごとに強力で固有のパスワードを設定できる簡単な解決策をご紹介します。FirefoxとIEのアドオン「Password Hash」(またはPwdHash)は、入力したシンプルなパスワードを、サイトのドメイン名を計算に利用するアルゴリズムにかけます。このユーティリティは、生成された強力なパスワードをサイトに送信する前に、そのパスワードに代入します。「Password Hash」をインストールしたら、あとはパスワードボックスで入力する前にF2キーを押すだけです。
この便利なツールのダウンロード リンクと詳細については、PC World のダウンロード ページをご覧ください。
最高のウイルス対策プログラムでも、感染を見逃してしまうことがあります。そして、ウイルスやトロイの木馬が一度侵入すると、駆除は非常に困難になります。もし、何か危険なものが防御を突破したのではないかと疑われる場合は、追加の対策を講じる必要があります。
多くのウイルス対策ソフトメーカーは、Webブラウザ経由で無料で簡単にオンラインスキャンを実行できるサービスを提供しています。スキャンサービスでは、開始前に大きなJavaまたはActiveXコンポーネントをダウンロードする必要があるため、スキャンには時間がかかりますが、開始は簡単です。既にインストールされているウイルス対策ソフトに加えて、これらのスキャンを実行することで、セカンドオピニオン(あるいはサードオピニオン、フォースオピニオン)を得ることができます。以下に、それぞれの選択肢について詳しく説明します。
Trend Micro HouseCall: マルウェアを検出して削除します。IE と Firefox の両方で動作します。
BitDefender オンライン スキャナー: マルウェアを検出して削除します。IE が必要です。
Kaspersky Online Scanner: マルウェアを検出しますが、削除はしません。IE および Firefox で動作します。
F-Secure オンライン ウイルス スキャナー: マルウェアを検出して削除します。IE が必要です。
ESET オンライン スキャナー: マルウェアを検出して削除します。IE が必要です。
