セキュリティ対策の心構え

セキュリティ対策の重要性

インターネットは高速道路。運転免許が必要だ

交通事故を防ぐために、交通法規や道路標識があり、運転者には運転免許の取得や安全点検が義務付けられています。インターネットは情報の高速道路だといえます、インターネットで自分や他人に被害を与えないためには、インターネットでの危険について、一定の知識と訓練が必要になります。それを知らずにインターネットを利用するのは、無免許で高速道路を走るようなもので、無謀というしかありません。

しかも、インターネットでの交通ルールは未整備な状況なので、自動車運転よりもいっそうの注意が必要です。また、ブロードバンドでの常時接続の環境は、いったんＷｅｂページを見たりメールの送受信をすると、シャットダウンしたり電源を切らない限り、常にインターネットにつながっている（高速道路にいる）環境なのです。

ウイルス・不正アクセスの目的が変化してきた

１９９０年代後半になると、インターネットの普及に伴い悪質なウイルスがパンデミック化して社会的問題になってきましたが、それでも、ウイルス作者は好奇心や顕示欲による愉快犯だと認識されていました。
　ところが、２０００年代になると、個人情報搾取や脅迫などの犯罪目的、外交や政治目的に変貌しました。それに伴い、犯罪組織も発生しました、ビジネスとしてのウイルスや不正アクセスになったのです。さらに、２０１０年代になると大規模組織によるサイバーテロに発展し、社会インフラへのサイバーテロが話題になるように、インターネットは国防上の対象にまでなってきました。
参照：「ウイルスの歴史」

自己防衛のためではない。犯罪に加担しないためなのだ

インターネットでの騙しの手口は、ますます多様に巧妙になってきました（参照： 「Ｗｅｂでの騙しの手口」）。これから身を守るだけでも大変なことです。
　しかし、セキュリティ対策の目的は「被害者になるな」から「加害者にさせられるな」へと発展しています。

極論ですが、自己防衛は自己責任だといえます。「自分のパソコンにトラブルが発生する」「クレジット番号やパスワードを知られて財産を失う」「個人情報を知られて中傷誹謗、恐喝される」ような被害は深刻な問題ですが、それらは「鍵を掛けずに外出する」「サイフや手帳を無造作に放置する」ようなことです。便利・費用のために安全を代償にしているのですから、個人の自由だともいえます（それでも犯罪を誘発するという責任があります →参照：「性弱説」）。
　昔の顕示欲目的のウイルスは、感染パソコンに被害を与えましたが、犯罪目的、特に第三者攻撃目的の場合には、ウイルス感染に気づかれないことが重要なため、感染パソコン自体に障害を起こすウイルスは少なくなりました。それで初心者は「ウイルスに感染されたことも、被害にあったこともない」と思い、対策に手を抜きがちです。

セキュリティ対策が不十分だと、自分が知らないうちに加害者になってしまうことを認識させることが重要です。交通法規が他人に迷惑をかけないことが主目的であるように、セキュリティ対策は社会的義務なのだと認識させましょう。
参照：「情報セキュリティ対策の社会的責任」

銀行強盗をするときは自分の車を使わない。なりすましをされるな

犯罪者が標的を攻撃するには、第三者のパソコンを踏み台にするのは常識です。近年に話題になったいくつかの例を掲げます。

• 遠隔操作脅迫メールによる誤認逮捕事件が話題になりました。警察は直接に脅迫メールを送ったパソコンを突き止めて、その所有者を逮捕したのですが、そのパソコンが真犯人の仕掛けたウイルスにより、逮捕者になりすましていたことが判明しました。
• 尖閣列島などの政治問題に関連した官公庁のＷｅｂページ改ざん事件が頻発していますが、いくつものサーバを経由してなりすましされているので、真の発信者を特定するのは困難な状態です。
• 国外の組織が、多数の国会議員に対して信頼のある関係者を装ったメールを送り、機密情報を入手した事件もありました。このような標的型攻撃が多くみられるようになりました。

なりすましされた人が被害者なのは当然ですが、あえていえば、なりすましされる状況にしていたのが原因であり、加害者の片棒をかついでしまったのだともいえます。

ＤｏＳ攻撃の踏み台にされるな

ＤｏＳ攻撃とは、標的となるＷｅｂサイトに大量のデータを送り付けて、本来のサービスができなくなるようにする攻撃です。著名な販売サイトや公官庁が標的にされます。
　多数のパソコンにあらかじめ「トロイの木馬」あるいは「ボット」と呼ばれるウイルスに感染させておき、攻撃者の指示により一斉に標的サイトに大量のデータを発信させるのです。標的サイトからは踏み台になったパソコンが攻撃してきたように見えます。
　それら踏み台になるパソコンは多段階にネットワーク化され「ボットネット」と呼ばれます。ボットネットの構築者が、ボットネットを攻撃者に売るようなアングラ市場も普及しているそうです。また、実際には攻撃せずに、脅迫材料に使うことも行われています。まさに犯罪ツールなのです。

迷惑メールに反応するな

身近なことにも関心をもたせましょう。メールの８０％以上が迷惑メールだといわれています。迷惑メールは、不特定多数受信者に労力をかけさせるだけでなく、インターネット環境（社会的インフラ）の無駄遣いになっています。
　迷惑メールが存在するのは、「０×∞＝大」の法則によります。ビラ配りなどに比べて、インターネットの大量メール送信はコストが極端に安いので、少しでも客がつけば十分にペイします。取引にはならなくても、なんらかの返信があれば（拒絶要求でも）、そのアドレスは見込客として高価商品になるのです。すなわち、このようなメールに反応することは、この市場を支援する反社会的行為であり不特定多数への加害者になっているのです。
　さらに、迷惑メールに誘導されたサイトで魅力的な無料アプリを示され、ダウンロードしたらウイルスだったという例が非常に多いのです。

個人でのセキュリティ対策

常識的な対策でよいのだ

では、一般個人のパソコンでは、どの程度の対策を講じるべきでしょうか。攻撃する価値のある特定の標的に対しては、攻撃者は真剣に労力や費用を惜しまず研究するでしょう。通常の個人パソコンがその標的にされたら、負けるのに決まっています。

しかし、攻撃者もビジネスなのですからコストパフォーマンスが重視されます。不特定多数を対象に攻撃するのに、労力や費用はかけられません。単純なワナをばらまいておき、それに引っかかったパソコンにウイルスを感染させることになります。
　それを防ぐには、セキュリティ対策ソフトを入れておく、不審なメールを開かない、いかがわしいＷｅｂページを見ない、信頼のないアプリをダウンロードしないなど、常識的な対策をしていればほとんどは防げるのです。
参考：ウイルス対策（ＩＰＡ）

最低限の「義務」を実践しよう

上記のような常識的な対策を知らない人は少ないでしょう。「知っているが実践していない」ことが問題なのです。実践させるには、当初から高度な対策を強要するのではなく、簡単なレベルから始めることが大切です。次の２つだけを実践するだけでも大きな効果があるといわれています。

• Windows Update
  ほとんどは自動更新で行われていますが、再起動が必要な場合など自動更新の対象にならないものもあります。ときどきWindows Updateを起動して確認することが必要です。そのためには、デスクトップにWindows Updateのショートカットを作成しておくことを勧めます。
• アンチウイルスソフト
  パソコンに「おまけ」でインストールされているアンチウイルスソフトは、数が月で期限切れになるので、正規に購入する必要があります（Avastのような有名な無料ソフトもあるので、費用を理由にはできません）。
  ウイルスは数日間で蔓延するので、アンチウイルスソフトの更新以前に感染していることがあります。それを発見して駆除するために定期的にスキャンする必要があります。スキャンを自動化する設定をしておき、その日時にはパソコンの電源を入れ放置しておくようにしましょう。また、確認のために、ときどき手動でスキャンさせることを勧めます。