インターネットを使ったサービス利用時のリスクや必要な対策
ネットサービスのリスクと対策
電子メール
ウイルス添付メール
電子メールには、文字のみで記述された「テキスト形式」と、文字の色を変えたり、写真や特殊なプログラムを盛り込める記述をした「HTML形式」という主に2種類の方式があります。
これに他のソフトを起動しで読むことのできる「添付ファイル」を添えることができます。
単なる文字だけのテキスト形式のメールでウイルスに感染することはありませんが、HTML形式のメールまたは添付ファイルに含まれるウイルスは、パソコンのサイバーセキュリティ対策が不十分だった場合、これらのメールまたはファイルを開くだけで感染してしまいます。
添付ファイルは、ファイル名の拡張子である程度判別でき、例えばWIndowsでは、.exe .com .reg など開くことでプログラムが実行されたりシステムの設定が変更されたりとリスクが高いファイルもあります。
ただし、拡張子を見るだけでウイルスを防げるものではありません。
ソフトウェアを最新にしていれば、リスクの高いファイルを開こうとしたときに警告を表示するものも多いので、安易に続行しないで判断することが大切です。
感染してしまうケース
- パソコンのOS、その他ソフトウェアが最新の状態になっていない。
- ウイルス対策ソフトがパソコンにインストールされていない。
- ウイルス対策ソフトのパターン定義ファイルが最新の状態に更新されていない。
- 添付ファイルを開く時には、あらかじめウイルス対策ソフトで添付ファイルがウイルスに感染していないかをチェックしましょう。
また、電子メールやSNSなどのメッセージにURLを記載して、あらかじめ用意した悪性ホームページに誘導し、感染させる手口もあります。
悪性ホームページは、例えばネットショッピングや、オンラインバンキングなどのホームページを偽装したいわゆるフィッシングサイトの場合もありますし、わざとウイルスを感染させるために、不正なプログラム(ウイルスやボット)を仕込んだホームページもあります。
具体的には、ホームページなどで「あなたのコンピュータはウイルスに感染しています」のようなメッセージを表示し、偽のウイルス対策ソフトのダウンロード用Webサイトに誘導して、ウイルスをインストールさせる事例などが発生しています。
迷惑メール
受信者が望んでいないにもかかわらず、一方的に送信されてくる電子メールのことを迷惑メールと呼んでいます。
いわゆる「出会い系サイト」やドラッグなどの商品の宣伝などを内容とする電子メールが多く、スパムメールとも呼ばれます。
これらの電子メールは、昼夜を問わずに届けられ、電子メールをダウンロードするために時間がかかるなど、受信者側に大きな負担をかけるため、最近では社会問題のひとつになっています。
また、いやがらせのために送りつけられる大量の無意味な電子メールも、迷惑メールの一種といえます。
迷惑メールの対策としては、ホームページのアンケートや電子掲示板などにメールアドレスをむやみに掲載しないことや、使用するメールアドレスは、わかりにくいものにするなどが考えられます。
さらに注意が必要なのは、このような迷惑メールで送信される内容をうかつに信用してはいけないということです。これらの電子メールの中には、無限連鎖防止法に抵触するもの(いわゆるねずみ講)や詐欺行為を目的としているものもあります。
- 長く複雑なメールアドレスを使用する。
- 指定したドメインやメールアドレスからの電子メールのみ受信するように設定する。
- 必要以上に自分のアドレスを他人に漏らさない。
- SNSのメッセージでの迷惑メールの場合は、利用しているSNSサービスの機能を使って、メッセージを拒否する、もしくは相手をブロックする。
など、利用者側で対応できる自衛策も大変有効です。
携帯電話による迷惑メール対策の一環として実施してみましょう。
携帯電話番号を使って送られてくるSMS(ショートメッセージサービス)の迷惑メールの場合は、携帯電話会社のサービスを使って、電話番号によるブロック設定をすることが有効です。
また、パソコンの場合には、以下のような対応策が考えられます。
- インターネットサービスプロバイダでメール受け取りの拒否条件設定による受信制限をかける。
- インターネットサービスプロバイダによる迷惑メールフィルタを使用する。
- 統合セキュリティ対策ソフトによる迷惑メールフィルタを使用する。
迷惑メールフィルタを使用すると、電子メールの内容を分析して、迷惑メールと判断された場合には、件名に「SPAM」や「MEIWAKU」などの文字列が追加されます。
電子メールソフトで、件名にこれらの文字列が付けられた電子メールを自動的に分類する設定を行うことで、迷惑メールを通常の受信用ボックスから除外することが可能になります。
ただし、迷惑メールフィルタは、定められたロジックや蓄積された情報によって迷惑メールであると判定するため、常に正しい判断が行われるわけではないという点に注意しなければなりません。なお、受信者の望んでいない広告メールを送信する際には、「今後送信を必要としない場合にはこちらのメールアドレスまでご連絡ください」といった内容を記載することが法律で義務付けられていますが、その意思を伝える際には、相手側に氏名・住所などをむやみに開示しないように気を付けましょう。
悪意を持って、迷惑メールを送信してくる業者は、このような意思を伝えた際に、その送信元の電子メールアドレスが使われていることを確認できることにもなります。そして、その後も迷惑メールが送信され続けるという被害も起こっています。
ご提供いただいた違反情報につきましては、分析などを行い、総務大臣及び消費者庁長官による違反送信者への措置等に活用させていただきます。
メールの誤送信
電子メールはメッセージやデータを簡単に交換できる利便性の高いサービスですが、送り先を間違えてしまうと、他人にメールが届き、結果的に情報漏えい(ろうえい)につながってしまう危険性もあります。
また、複数の相手に同時にメールを送る際に、操作を誤って、本来は秘密にしなければならないそれぞれのメールアドレスが見える状態で送ってしまった場合も、やはり情報漏えいにつながります。
電子メールを送る場合、まずは TO: 、CC: 、BCC: の違いを理解する必要があります。
TO: や CC: は、電子メールを受け取った人には、自分以外の誰宛てに送信されたメールかがわかります。
このため一度に複数の人宛てに送る場合で、他の人のメールアドレスが分かると困る場合は BCC: を使います。この利用方法を間違えると、関係のない第三者にメールアドレスが知られてしまい、情報漏えい事案となってしまう可能性があります。
電子メールの誤送信の対策は、以下の通りです。
- メールアドレスの宛先(TO: 、CC: 、BCC:)の設定を間違えないように利用する。
- プライバシー情報が含まれた電子メールを安易に送信しない。
- 誤送信した場合に第三者に電子メールを見られる可能性があるため、添付ファイルなどを送る場合は、ファイルを暗号化したり、添付ファイルにパスワードを設定する。
- メールアドレスの誤入力など、意図しない宛先に電子メールが送信されてしまうことを防ぐため、送信する際に宛先などを確認する画面を開くように、あらかじめ電子メールソフトに設定する。
チェーンメールの問題点
チェーンメールとは、電子メールを受け取った人が次々に知人に電子メールを転送することで、ねずみ算式に広まっていく電子メールのことです。
多くの場合、チェーンメールには、「すぐに友達に教えてあげてください」や「できるだけ多くの人に広めてください」「すぐに10名に転送しないと、あなたは不幸になります」などのように、電子メールの転送を促す言葉が付いています。
チェーンメールの内容は、ほとんどがデマ情報やいたずらであったり、「あるテレビ番組の企画です」、「すぐにお金儲けができます」など詐欺的な内容のものですが、募金の呼びかけや輸血のお願いなど、本来は善意の電子メールがいつの間にかチェーンメールとして広まってしまうケースもあります。
最近では、SNSでも同様に、リツイートやシェアなどの機能で、デマ情報が広まってしまうケースが出ています。
チェーンメールへの対策としては、身に憶えのないメールや不審なメールが送りつけられてきたら、まず次のことはしないように心掛けましょう。
- メールのURLはクリックしない。
- メールの添付ファイルは開かない。
- メールに返信しない。
- メールは転送せず、削除する。
こうしたチェーンメール対策は、自分自身が被害にあわないようにするとともに、被害をそれ以上広げないための重要なマナーです。
相手にメールの転送を強要する行為は、メールの内容にかかわらず、迷惑行為であるといわざるをえません。
人間関係や信用に傷がつくことにもなりかねませんので、勇気を持って転送しないようにしましょう。
Aさんは、メール友達のBさんから「Aさんのコンピュータはウイルス大丈夫?私のコンピュータはやられちゃったみたい。もし、"sulfnbk.exe" というファイルがあったら、すぐに削除しないとまずいよ。このウイルス、だいぶ流行っているみたいだから、他の友達にも知らせてあげてね。」という電子メールを受け取りました。
すぐにAさんが自分のコンピュータを確認したところ、確かにこのファイルがあったので、慌てて削除してしまいました。でも、Kさんのコンピュータにはちゃんとウイルス対策ソフトがインストールされていたのです。では、このウイルスはどのように感染したのでしょうか。
これは、デマウイルスというちょっと変わったウイルスです。簡単に言ってしまうと、この電子メールの内容自体が「デマ」、つまり嘘であるというわけです。
この sulfnbk.exe は、Windows を正常に動作させるための重要なファイルで、これを消してしまうとコンピュータの動作がおかしくなってしまいます。実際に、このデマウイルスの情報は、チェーンメールとして日本中に広まり、多くの利用者に影響を与えてしまいました。なお、同じようなデマウイルスに、jdbgmgr.exe というファイルの削除を促すものがあります。
このようなメールを受け取っても、すぐには対応せず、詳しい人に確認したり、インターネットなどで調べたりしてから対応するようにしましょう。
ある男性が電子メールを使用した無限連鎖講防止法違反の疑いで摘発されました。「無限連鎖講」とは、いわゆるねずみ講のことです。
この男性が送った電子メールは、記載されている4人の会員に1000円を振り込んだ上で、自分の口座を一番下に書き加えて、多くの知り合いに電子メールを送ってくださいという悪質なチェーンメールです。
電子メールには、たくさんの知人に転送するだけで、いつの間にかあなたの銀行口座には毎日のようにたくさんの人からお金が振り込まれますという記載がありました。このようなねずみ講を誘うチェーンメールは、安易に儲かるというキャッチフレーズで、この事件以外にも、文面を変えて多くの種類が出回っています。
ねずみ講は始めた人だけでなく、犯罪という意識がないまま知人を勧誘した場合にも罪に問われる場合があるので、十分な注意が必要です。また、最近ではSNSを利用したねずみ講も増えてきています。SNSの利用でも十分に注意しましょう。
クラウドサービス
クラウドサービスとは
クラウドサービス(特に、以下の分類でいうIaaS)では、主に仮想化技術が使われています。
仮想化技術とは、実際に存在する1台のコンピュータ上に、ソフトウェアの働きにより、何台もの仮想のコンピュータがあるかのような働きをさせることができる技術です。逆に複数台のコンピュータをあたかも1台であるかのように利用することもできます。
この技術により、利用者は、クラウドサービス事業者が保有するコンピュータの処理能力を、柔軟に必要な分だけ利用することができます。
利用者から見て、インターネットの先にある自分が利用しているコンピュータの形態が実際にどうなっているのか見えづらいことを、図で雲のかたまりのように表現したことから、「cloud=雲」という名称がついたと言われています。
クラウドサービスは、主に以下の3つに分類されています。
SaaS(サース、サーズ:Software as a Service)
インターネット経由での、電子メール、グループウェア、顧客管理、財務会計などのソフトウェア機能の提供を行うサービス。以前は、ASP(Application Service Provider)などと呼ばれていました。PaaS(パース:Platform as a Service)
インターネット経由での、仮想化されたアプリケーションサーバやデータベースなどアプリケーション実行用のプラットフォーム機能の提供を行うサービス。IaaS(アイアース、イアース:Infrastructure as a Service)
インターネット経由で、デスクトップ仮想化や共有ディスクなど、ハードウェアやインフラ機能の提供を行うサービス。HaaS(Hardware as a Service)と呼ばれることもあります。
クラウドサービスは、企業が情報資産を管理する手段として急速に普及しています。また、個人が利用するインターネット上の様々なサービスが、意識するかどうかにかかわらず、クラウドサービス上で稼働するようになっています。
クラウドサービスを利用する場合には、データがクラウドサービス事業者側のサーバに保管されているということ、インターネットを介してデータなどがやりとりされることなどから、十分なサイバーセキュリティ対策が施されたクラウドサービスの選択が重要であるということを理解した上で利用することが大切です。
クラウドサービス利用上の注意点
クラウドサービスは、インターネット経由で情報の保存や処理などのサービスの提供を受けられる点に特徴があります。
個人で意識的にクラウドサービスを利用する場合として、例えばオンラインストレージサービスを契約して、クラウドサービス上にデータを預け、自分の様々な端末でデータを共有したり、また撮影した写真や書類などを他の人と共有するといった使い方が代表的です。
それ以外にも、現在私たちが利用するWebメールやオンラインショッピングなど、インターネット経由の様々なサービスの土台として、実際にはクラウドサービスが活用されることも多くなっています。クラウドサービス上のデータは、クラウドサービス事業者により安全に管理されることが基本ですが、実際には、障害によるデータの消失や情報漏えい(ろうえい)などの事例も発生しています。クラウドサービスを過度に信頼するのではなく、利用する場合には、想定される脅威に対応した対策を取ることが重要です。
クラウドサービスを利用する際の主な脅威としては、以下のような脅威が考えられます。
1.障害などによりデータが消失
仮にクラウドサービスに障害が発生した場合、クラウドサービス上のみにデータを預けていると、大切なデータの復旧ができなくなる可能性があります。 クラウドサービスを利用する場合にも、別のシステムの上に定期的にバックアップを取っておきましょう。2.預けているデータが外部に漏えい
クラウドサービス事業者へのサイバー攻撃やその他の要因で、預けているデータが外部に漏えいする可能性があります。万が一を想定し、クラウドサービス上に預けるデータの性質を慎重に判断することが大切です。
また、契約するクラウドサービス事業者のセキュリティ対策のレベルや保証の範囲などを、利用規約などであらかじめよく確認することが大切です。
3.アカウントが第三者に悪用
ウイルス感染などによって、利用しているクラウドサービスのユーザIDやパスワードが流出した場合、第三者による不正アクセスにより、クラウドサービス上に保管している情報が漏えいする可能性あります。また、流出したものと同じユーザIDとパスワードを他のサービスでも利用していた場合、そのサービスも不正アクセスを受ける危険性が高まります。
ユーザIDやパスワードは、個別のサービスごとに異なるものを設定し、使い回しをしないことが大切です。
ファイル共有ソフト
ファイル共有ソフトとは
ファイル共有ソフトとは、インターネットで不特定多数の利用者とファイルをやり取りするためのソフトウェアのことです。
ファイル共有ソフトの仕組みはソフトウェアによって少しずつ異なりますが、その多くはファイルのやり取りをクライアント同士で行うP2P(Peer to Peer-ピア・トゥー・ピア)型というタイプのものです。
P2P型のファイル共有は、通常の社内のネットワークで利用するファイル共有とは異なり、ファイルを提供するサーバが固定されているわけではありません。
ファイル共有ソフトによるファイル共有では、どのファイルがどこのコンピュータに存在するかというインデックス情報(ソフトウェアによって呼び方は異なります。)が必要であり、ソフトウェアによって、中央に配置した専用のサーバで管理したり、それぞれのコンピュータ(クライアント)が保有したりしています。
このインデックス情報を元に、ファイルを保管しているコンピュータを特定して、欲しいファイルを直接コピーするという仕組みになっています。
つまり、インデックス情報を共有化することによって、網の目のように張り巡らされたクライアント同士のネットワークで、ファイル共有システムを実現しているというわけです。
最初のファイル共有ソフトは、1990年代後半に米国で登場しました。
その後、日本でも多くのファイル共有ソフトが登場し、ブロードバンド通信の普及に伴い、多くの利用者に利用されました。
しかし、そこで共有されるデータも、著作権違反の音楽データ、映画、テレビ番組、漫画、ゲームソフトのファイルといったものが多く、社会問題となっています。
また、ファイル共有ソフトが接続するネットワークでは、非常に多くのウイルスが流れており、これにより感染したり、さらなる情報漏えい(ろうえい)を引き起こしたりする危険性があります。
また、現在ではファイル共有ソフトをターゲットにしたウイルスにより、企業や組織の機密情報がインターネット上に漏えいしてしまうという事件が数多く発生しています。ファイル共有ソフトはできるだけ使わないことが望ましいといえます。
また自分ではファイル共有ソフトを使っていないつもりでもいつの間にか家族の誰かが勝手にインストールし、情報が漏えいしてしまう事件も起こっています。ファイル共有ソフト使用の方針については家族にも徹底が必要です。
ファイル共有ソフトの危険性
以上のように、ファイル共有ソフトの利用は非常に情報漏えいのリスクが高いということを認識してください。
もうひとつ理解しておかなければならないのは、著作権侵害に対する問題です。
多くのファイル共有ソフトは、収集したファイルを再度インターネットに公開する仕組みを持っています。つまり、最初は収集したファイルであっても、後からそれらのファイルを自分のコンピュータから公開することにより、著作権侵害で訴えられる可能性があるということです。
パソコンを共有して使っている場合、誰かが勝手にファイル共有ソフトをインストールしてしまったために、情報漏えいに至った事件も起こっています。ファイル共有ソフト使用については、共同利用者にも徹底が必要です。
できれば共有のパソコンを使う場合は以下の点に注意しましょう。
- 共有のパソコンでも、アカウントは共有しない。 利用者のアカウントは一人一つずつ、別々に作成して利用しましょう。
- 管理者権限ではなく、一般ユーザ権限で利用する。
利用者に使用させるアカウントにはユーザ権限を設定し、勝手にソフトウェアをインストールされない設定で利用しましょう。
A君は大の音楽好きです。A君は大量の音楽データをまとめてダウンロードするために、ちょっと会社のネットワークを拝借することにしました。会社で自分が使っているパソコンに、ファイル共有ソフトを入れてみると、あっという間に好きな音楽データがたまっていきます。
そんなある日のことです。ファイル共有ソフトでダウンロードしたひとつのファイルを開いたときに、A君の使用するパソコンがウイルスに感染してしまったのです。
しかし、A君はウイルスに感染したことにはまったく気づきません。しばらくすると、社内でインターネットの電子掲示板に、会社の名前が出ているということを耳にしました。
A君がその電子掲示板にアクセスしてみると、なんとそこにはA君が使用しているパソコンのデスクトップ画面の画像が公開されているではありませんか。
そして、デスクトップ画面には、大切なお客様に送信した重要な電子メールの内容がしっかりと記されていたのです。
ファイル共有ソフトを導入した場合には、ウイルスに感染してしまうと、機密情報や個人情報が漏えいする危険性が高いということを認識しておかなければなりません。
例えば、共有しているパソコンに自分はファイル共有ソフトをインストールしていなくても、誰かがそのパソコンにファイル共有ソフトをインストールしていると、そのパソコンを利用している人すべての情報が漏えいしてしまう可能性があります。
また、ファイル共有ソフトを通じて入手したファイルは、著作権法違反となっているものやコンピュータウイルスが非常に多く含まれています。
このような場合、罪に問われたり、ウイルス感染したりする危険性があるのです。ファイル共有ソフトの利用は、できる限り控えましょう。
サイバーセキュリティ関連の技術
ファイアウォールの仕組み
ファイアウォールは、ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みです。しかし、その通信をどう扱うかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。これを荷物の配送にたとえると、送り主とあて先などの情報は見ているが、その荷物の中身は見ていないということになります。
ファイアウォールとは、元々は火災などから建物を防御するための防火壁のことをいいます。火災のときに被害を最小限に食い止める防火壁のような役割を果たすことから、インターネットの世界では、外部のネットワークからの攻撃や、不正なアクセスから自分たちのネットワークやコンピュータを防御するためのソフトウェアやハードウェアを、ファイアウォールと呼ぶようになりました。
現在のファイアウォールには、大きく分けて2種類あります。ひとつは家庭などで利用する、単体のコンピュータを防御することを目的としたパーソナルファイアウォールで、もうひとつは、企業や家庭のネットワーク全体を防御するファイアウォールです。
パーソナルファイアウォールは、クライアントのコンピュータに導入するソフトウェアです。パーソナルファイアウォールは、そのコンピュータに対して、インターネットからの不正な侵入を防いだり、ウイルスの侵入を防御したり、自分のコンピュータを外部から見えなくしたりすることが可能になります。ソフトウェアのメーカーによっては、ウイルス対策ソフトと組み合せて販売されています。
企業などのネットワークに使用するファイアウォールは、インターネットと社内のLANとの間に設置するものです。この場合のファイアウォールの基本的な機能は、外部からの不正なアクセスを社内のネットワークに侵入させないことです。具体的には、外部からの不正なパケットを遮断する機能や、許可されたパケットだけを通過させる機能を持っています。
また、インターネットサービスプロバイダが自社の接続サービスを利用している利用者を対象として、ファイアウォールをサービスとして提供している場合もあります。自分が利用しているインターネットサービスプロバイダで、サービスが提供されているかどうか確認し、利用を検討してみるとよいでしょう。
ファイアウォールの設置は、外部のネットワークに接続した環境にとっては、必須と言えるサイバーセキュリティ対策です。ただし、ファイアウォールを設置しても、それがネットワークに関する完全なサイバーセキュリティ対策になるわけではありません。あくまでも、ネットワークに対する攻撃や不正アクセスに関するサイバーセキュリティ対策のひとつとして考える必要があります。
暗号化の仕組み
暗号化とは、データの内容を他人には分からなくするための方法です。たとえば、コンピュータを利用する際に入力するパスワードが、そのままの文字列でコンピュータ内に保存されていたとしたら、そのコンピュータから簡単にパスワードを抜き取られてしまう危険性があります。そのため、通常パスワードのデータは、暗号化された状態でコンピュータに保存するようになっています。
暗号化の仕組みは、以下の通りです。
まず、元のデータを暗号のシステムを使い暗号化します。この時に暗号鍵と呼ばれるデータを使用します。このような仕組みで暗号化をすると、元のデータは、まったく違うデータになります。
暗号化されたデータは、同じように暗号のシステムを使い元のデータに戻します。これを復号と呼び、この際に暗号化の時と同じように暗号鍵を使って行います。
つまり、暗号化をするときに使う暗号鍵が非常に重要な役割を果たします。これが他人に渡ってしまうと、暗号化したデータが読まれてしまうことになります。そのため、この暗号鍵は暗号化通信に関係のない人に渡ったりすることがないよう厳重に管理しなければなりません。
タイムスタンプとは?
ある時刻にその電子データが存在していたことと、それ以降改ざんされていないことを証明する技術。タイムスタンプに記載されている情報とオリジナルの電子データから得られる情報を比較することで、タイムスタンプの付された時刻から改ざんされていないことを確実かつ簡単に確認することができます。
タイムビジネスとは
安全・安心なIT社会の実現のため、信頼のおける時刻情報を考慮した情報通信基盤の整備は不可欠であり、これを実現するため、「時刻配信サービス」、「時刻認証サービス」が必要となります。 これらの時刻情報を用いて、様々な電子データや電子文書などの電子情報のやり取りや電子情報そのものの安全性と信頼性を高めるビジネスを「タイムビジネス」と定義します。
時刻配信サービス
サーバー群を用いたサービスを提供している企業など、高精度で高信頼の時刻を必要としている企業に信頼できる時刻情報を配信するサービスです。
時刻認証サービス
インターネット上の取引や手続き等が行われた時刻や電子文書の存在した日時を証明するサービスです。これらは、対象文書の改ざんの有無だけでなく、「過去のある時点に間違いなく存在していた」ことを証明すると同時に「それ以降変更がされていない」ことを証明することができます。
安心してインターネットを使うために
