記事つっこみ

スパイウェア

スパイウェア対策も、今までのウイルス対策と同じような対策が必要です。ウイルス対策でも論じられるように、ひとつの対策をしておけば大丈夫と考えるのは危険です。
不正アクセス対策で言うところの多重防御が必要なので、ここに示す 5 つの対処(および補足)を実施することをお勧めします。特にアダルトサイト、出会い系などのページは被害の約65%だと言われてます。

---

ソフトとファイル更新

スパイウェア対策ソフトを利用することで、スパイウェアの侵入や実行を抑止することができます。
ただし、対策ソフト本体や定義ファイルを常に最新の状態にしておくことが大切です。
また、利用者が意図的にインストールしたソフトウェアがスパイウェアとして検知される場合(スパイウェアと検知される部品プログラムを含んでいるような場合)は、該当ソフトウェア(プログラム)の検知を除外する設定が必要です。
つまり、利用者の責任において使用しなければならないと言うことになります。
一部のウイルス対策ソフトには、スパイウェアを検知できるものがあります。
しかしながら、これらのウイルス対策ソフトでは、スパイウェアをすべて検知し駆除することができないことが報告されています。
また、スパイウェア専用の対策ソフトでも、完全と言うことはないので、これさえあればと言う過信は禁物です。

UP DATE

コンピュータにある脆弱性(セキュリティホール)を利用して侵入するスパイウェアの存在が確認されています。
脆弱性を解消するために、コンピュータを常に最新の状態にしておくことが重要です。
セキュリティホールは基本ソフト(OS)だけでなく、利用されている各種のソフトウェアにも存在する場合があります。
Windows ユーザの場合は、Windows Update または Microsoft Update を定期的に実行することをお勧めします。
それ以外の OS やソフトウェアをご利用のかたは、ベンダや各種の公開されたセキュリティ情報を参照し、脆弱性が公開された場合はすぐに対処して下さい。

WEBとメール

● Webサイトの参照
　悪意のある Web サイトでは、サイトを参照しただけでスパイウェア等をインストールされる場合があります。
検索エンジンで検索された怪しげなサイト、スパムメールやポップアップメッセージに記載された怪しいと思われるサイトには近づかない方が賢明です。
必要ならば、後述するブラウザのセキュリティ設定を強化してから参照して下さい。

● 便利なツールのダウンロード
　シェアソフトやフリーソフトを Web サイトからダウンロードする場合は、信頼できるサイトのみから行いましょう。
同様な意味で、ファイル交換(P2P等)から取得したソフトウェアについても注意が必要です。
これらのファイルを利用(インストール)する前に、スパイウェア対策ソフトやウイルス対策ソフトで検査することを忘れないようにして下さい。

● 不審なメール
　ウイルスメールと同様に、不審なメールに添付されたファイルを開くことで、スパイウェアがインストールされたり、メール本文に記載された怪しげなサイトを訪問すると、スパイウェアをインストールされたりする場合があります。

　不審なメールに付いた添付ファイルは開かない

不審なメールに記述されたリンクは開かない事が重要です

● 理解できないポップアップ画面や確認メッセージ
　理解できないポップアップ画面や確認メッセージ(プロンプト)は、画面上のボタンを操作することで、内蔵された不正な処理が動作する場合があります。
おかしいなと思ったら、×ボタンで終了しましょう。

ポップアップされたメッセージは×ボタンで終了する
理解できない確認メッセージ(プロンプト)は×ボタンで終了する

セキュリティの強化

● パーソナルファイアウォールを使う
　外部からのコンピュータへの不正アクセスによりスパイウェアをインストールされる可能性があります。
正しく設定すれば、ファイアウォールは不正なアクセスを抑止します。
また、既にインストールされてしまったスパイウェアからのデータ送信を抑止することができる場合もあります（アプリケーションファイアウォール機能等）。

● ブラウザのセキュリティ設定を行う
　インターネットサーフィンを行う場合、ブラウザのセキュリティ設定を行うことをお勧めします。
先にも述べた、怪しげなサイトを訪問する場合、セキュリティ設定を高い状態にしておくことが重要です。
利用者の意図とは関係なしに、悪意のある ActiveX やスクリプトによって、スパイウェア等をインストールされる可能性があります。
Windows ユーザで IE(Internet Explorer)を使用している場合は、インターネットのプロパティのセキュリティ設定で必ず『中』以上の設定をしましょう。
さらに、スパイウェアを論じる場合に良く取り沙汰されるクッキーについては、インターネットのプロパティのプライバシー設定で必ず『中』以上の設定をしましょう。

<クッキー (Cookie)>
　Web サーバーと Web ブラウザの間で、ユーザに関する情報やアクセス情報などをやりとりするための仕組み

必要な場合以外は管理者モードを使わない
　管理者モードを使用している状態で、コンピュータで不正なプログラムが動作すると、コンピュータの制御を完全に乗っ取られる可能性があります。
必要でない場合は、管理者モードで動作させないことが重要です

バックアップ

どんな場合でも、コンピュータの状態を安全な状態にするには、システム自体を初期化することです。
コンピュータが不正なプログラムに支配された場合で、回復不能な場合は、システムを初期化して下さい。
この際、大切なファイル等はバックアップしておくことが重要です。

補足. 自分で管理できないコンピュータでは、重要な個人情報の入力を行わない
　不特定多数の利用者がいるネットカフェ等、自分で管理できないコンピュータでは、スパイウェアが常駐していることを前提に、銀行の口座番号やカード情報等の重要な個人情報の入力を行わないことが重要です。
犯罪の被害者にならないためにも、心得て下さい。

▼参考━MSNのスパイウェア情報

フ　ィ　ッ　シ　ン　グ

フィッシングとは、金融機関（銀行やクレジットカード会社）などを装った電子メールを送り、住所、氏名、銀行口座番号、クレジットカード番号などの個人情報を詐取する行為のことをいいます。近年は、金融機関に限らず、オークションサイトなど、ID とパスワードを必要とするサービスを装った事例も確認されています。ログインする際は、接続しているサイトが正しいか確認してください。
　なお、本人確認などの問い合わせがメールで届いた場合、メールに記載されているリンクを安易にクリックせず、送信元に電話するなどの手段で真偽を確認するようにしましょう

---

フィッシング実情

［フィッシング詐欺検出機能］の自動検出が有効だと、あるWEBサイトにアクセスした際、そのサイトがフィッシング詐欺の可能性があるかどうかを［インターネットエクスプローラー7］が自動的に判別します。問題がなければサイトがそのまま表示され、その可能性がある場合には警告が表示されます。（ただし、フィッシング詐欺サイト検出機能は100％の正確さを保証するものではありません）

<図１>

これは、2004年11月に見つかった、あるカード会社を装ったフィッシングメールと偽のWebサイトです。
これ以前は、米国などの英語圏をターゲットとした英語の文面だったのですが、この時より、日本をターゲットとした日本語メールが確認されるようになりました。最初はまだ、機械翻訳したような日本語でしたが、2005年に見つかっている国内銀行を装ったメールなどは、一般的な日本語のメールも出てきているので、騙されないよう注意が必要です。
＊国内での被害も発生しており、金融機関では様々な注意喚起を行っています。

またｋのことは「タイポスクワッティング」＝Typo（タイプミス）とSquatting（占有）を組み合わせた造語で、有名サイトに類似したドメインを取得し、URLを直接入力するユーザのタイプミスを狙い、偽サイトへ誘導する手口のことです。
http://www.antiphishing.jp/report-phishing-mail.html
.

タイポスクワッティング・サイト
（正）www.aaaa.com
（偽）wwwaaaa.com ［例えば、悪意を持つ人が、www のドットが抜けているサイトを用意

フィッシング対策の心得

慌てないで対応しましょう
中には紛らわしいサイト名にしているものもありますが、慌てないことが大切です。
メールの送信者欄（Fromアドレス）は偽装できます。なりすましメールに注意しましょう。
手口は巧妙化していますが、必要ならば、フィッシング対策ソフトなどの導入も検討しましょう。
メール中のリンクからアクセスするのではなく、お気に入りに登録したアドレスからホームページを見るようにしましょう。

そもそもカード番号や暗証番号を入力するような	依頼がメールでくる	なんて事はありません

もしそのようなメールが金融機関等から届いた場合は、送信元に電話で問い合わせたり、ホームページのお知らせ欄を見たりして、その情報（メール）の真偽を確認するようにしましょう。

ユーザが出来る対策として、重要な情報を入力する際は実際にアクセスしているサイトを確認するために、ブラウザのSSLの鍵マークを確認しましょう。偽サイトであれば、通信は暗号化されていないケースがほとんどです。
鍵マークをダブルクリックすると、その証明書の内容が表示され、本当にアクセスしているURLをチェックすることができます。

電子証明書

例えば、www.ipa.go.jp/ へアクセスしていれば、サイト名が //www.ipa.go.jp/ と表示されているはずです。
また、自分で発行している電子証明書ではなく、信頼のおける機関が発行している電子証明書であることも見極めるポイントです

それで、電子証明書に含まれる代表的な情報ｈ以下のとおりです

１　電子証明書が発行されたWebサイトのホスト名
２　認証局の名前
３　電子証明書の有効期限
４　Webサイトを運営する組織名
５　運営する組織の所在地

　基本的に、電子証明書の検証はWebブラウザが自動的に行い、検証される項目は以下の通りである。

１　アクセスしているURLと証明書に書かれたURLは一致するか？
２　証明書の有効期限は切れていないか？
３　発行元の認証局は信頼できるか？
　
　これらの項目に問題がなければ、Webブラウザは警告が出ません。

　ここで注意が必要となるのが、フィッシャーが正規のサイトと紛らわしいドメインを取得して偽サイトを作り、そのサイトに対して電子証明書を取得した場合だ。この場合、電子証明書自体には問題はないため、Webブラウザは警告を出さない為、Webブラウザが検証するのはあくまで「Webサイトのホスト名」「証明書の期限」「認証局の信頼」であり、「このWebサイトが本物である」ということを保証出来ていない、今後に期待したい。

---

▼フィッシング対策関連はここ

▼フィッシング検出機能動画

セキュリティ一般　─　パスワード

先日私のHP宛てに「登録しているオークションサイトに、身に覚えのない商品が自分の ID で出品されている」といった、アカウントを不正に利用されたという被害報告が複数ありました。相談の中には、パスワードに数字だけの組み合わせや、簡単な英単語を設定していたために、容易にパスワードが見破られて、アカウントを不正に利用されたと推測されるケースがありました。
　オークションサイト等のサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があります。このような被害に遭わないために、パスワードの作成や管理には、十分な注意が必要です。

pass word

(1)被害内容と原因
　IPA に寄せられた相談の被害事例は、新聞でも何度か報道されています。それによると、オークションサイトのアカウントが盗まれて、不正に利用されたといった被害が多数確認されています。中には、本人が知らないあいだに大量の商品をオークションに出品されてしまい、その手数料をオークションサイトから請求されるといった金銭に関わる被害が起きています（図1-1参照）。
　今回の被害の多くは、安易なパスワードを設定していたことが原因のひとつとして推測されます。相談事例の中にも、パスワードを「数字だけの組み合わせ」、「簡単な英単語」で設定していたというものがありました。このような安易なパスワードでは、辞書攻撃*2等により短時間にパスワードを解読されてしまい、アカウントの不正利用に繋がる危険性が高くなります。

参考＞
http://www.ipa.go.jp/security/txt/2008/images/0810fig1-1.png

---

(2)強いパスワードとは
　オークション等のサービスを提供するウェブサイトでは、パスワードを作成する際、「英字、数字、記号をランダムに組み合わせて、8文字以上にしましょう」という注意事項が記載されているケースがよくあります。これは強い（破られにくい）パスワードを作成するポイントとなります。
　つまり、現在の最新パソコンの処理能力でもパスワードを解読するための計算が何千年もかかるのであれば、それは解読できないことと同一であると考えられます。したがって、一般的にはパスワードに使用する文字の種類を多くしたり、桁数を大きくしたりすれば、強い（破られにくい）パスワードであるということがいえます。
　パスワード解析ツールを使用して解読時間を試算した結果によると、英字（大文字、小文字区別有）と数字を組み合わせて8桁のパスワードを作成した場合、解読には最大で約50年（すべての組み合わせを試算した場合）かかります。このように、3種類(62文字数)で8桁のパスワードを作成すれば、パスワードの強度は十分と言えるでしょう。強度の違いを確認して、破られにくいパスワードを作成するようにしてください。

(3)質問と回答
質問＞自分が利用しているネットオークションサイトでは、自分のアカウント（ID）のログイン履歴を確認できる。それによれば、数ヶ月間、国内の特定の IP アドレスから継続して自分の ID に対してログインを試みていることが分かった（全てログイン失敗）。このままでは、パスワードを破られるのは時間の問題であり、オークションサイト側にアクセス制限などを依頼したが、全て断られた。被害を未然に防ぐためにサイト側へ何か要請をしようと思うが、どんな内容が効果的か教えてほしい。また、差し当たって個人でできる対策は何か。
回答> サイト側への要請としては、少なくてもパスワード総当たり攻撃だけは排除してもらうことを主張してはどうでしょうか。例えば、連続して3回パスワードを間違った場合はアカウントを一時的にロックしてもらうなど。
個人でできる対策としては、強固なパスワードを設定するとともに、その保管に注意し、かつ定期的にパスワードを変更すること、となります。

8桁以上の長いパスワードであっても、推測しやすいもの（ID と同一、数字だけの組み合わせ、辞書に載っている単語の組み合わせなど）は避けるようにしましょう。