Pocket

※任意団体SPREAD当時に公開されたコラムです。

サイバー大学 准教授/IPA非常勤研究員/SECCON実行委員  園田 道夫氏

添付ファイルはダブルクリックしてはいけません、という注意を聞いたことがありますか?

そんなことを言っても、知人や同僚、取引先とのやり取りでは普通にメールにファイルを添付してやり取りするし、添付ファイルすべてを禁止されてしまったとしたら、じゃあどうやってファイルを受け渡せば良いのかわからない。最近見かけるファイル受け渡しサイトを利用しても良いけど個人情報登録したくないし、流行のDropBoxなるものもソフトウエアをインストールしたりするのが面倒だし少し不安だから・・・などと、出口のない迷路にハマっていませんか?

「そんなあなたに朗報です。.exeという拡張子を持たないファイルならダブルクリックしても安全です。フォルダオプションで拡張子を表示させて、チェックして開くかどうかを決めましょう」。←こんなセキュリティ対策を聞いたことがありませんか?

今から5年くらい前、インターネットがまだ牧歌的なところを残していた時代には、上記のような注意が通用していました。しかし、今はもう、こうした対策は誤りです。

大事なことなのでもう一度。拡張子を見てそのファイルを開くかどうか決める、拡張子が.exeというファイルは開かない(=それ以外は開いても良い)、という対策は、今では通用しなくなっています。

いまどきのウイルスというものは、例えばAdobe Reader、あるいはMicrosoft Wordなどの仕組みや脆弱性を悪用する、文書ファイル(.pdfや.doc、.docxなど)として到来します。文書ファイルの名前も凝っていて、例えば、子ども手当のことが話題になっているときは「子ども手当.pdf」、あるいは大飯原発の再稼働が問題になっているときには「大飯原発の再稼働に反対する署名用紙.doc」というファイルがやって来ます。(参照:P5 http://www-935.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h1.pdf

以前のように見え見えに怪しいファイル名ではなくて、いかにも開いてしまいそうな巧妙なネーミングで罠に誘い込むわけです。こういうファイルをうっかり開いてしまうと、遠方に居る悪い人がネットワーク越しにあなたのパソコンを操作できるようになってしまいます。勝手にアプリケーションを操作したり、コンピュータ内にあるファイルを盗み出したり、キー入力操作を監視したり記録したり、搭載カメラ・マイクによる盗撮・盗聴などを行ったりできてしまうのです。その結果として、例えばオンラインバンキングのWebサイトを使ったとしたら、その際の記録を微細に採られてしまい、ログインIDやパスワード、口座番号などが盗まれ、勝手にお金を送金されてしまうなどの被害に遭うことも考えられます。あるいはクレジットカード番号と認証情報、セキュリティコードなどを盗まれ、勝手に換金目当ての買い物をされてしまう等も想定されます。

PCwithvirus-thumb-120x110-48お金が取られてしまうというのは痛すぎる被害ですね。

そうならないようにするためには、どういう対策が有効でしょうか。

最初に戻って「添付ファイルはダブルクリックしてはいけません」というのは有効と言えるでしょうか?前述したように、この対策を至上命令として守るとしたら、日常生活でえらく困ってしまいそうですが・・・。

「怪しいメールかどうかを見極める」という対策も効果がありそうですが、どうでしょうか。怪しいメール(スパムメール)の見極めは、メールフィルタなどがかなり高精度に行ってくれます。ではそちらに任せておけば安心かというと、どうもそういうことではなさそうです。なぜそうなのかというと、前述の「大飯原発の再稼働に反対する署名用紙.doc」というような名前のファイルが添付されてくるメールというのは、明らかにおかしいとわかる迷惑メール(例えば、いきなり50万円振り込むとか、あなたのことを待っていて、しかもお金を払ってくれる異性が居るとか)とは異なり、メールの件名(タイトル)も本文も実に巧妙に練られたものになっています。例えば、その組織が公開しているWebページなどの情報からテキストをコピーしてきて、文章の感じや語調なども模倣、もしくはそのまま使ったりするのです。

そういう偽造メールを怪しいメールとして判別するのは、非常に難しいと言わざるを得ません。

こうして吟味してみるとなかなか良い対策がありませんが、有効そうな対策がもう一つあります。それはアプリケーションやソフトウエアのアップデートというものです。

怪しい文書ファイルのリスクについて考えてみましょう。「仕組みや脆弱性を悪用する」と書きましたがまさしくその通りで、特に脆弱性が存在する場合には、悪質なウイルスに感染したのと同様な状態に陥ってしまうなど、単に仕組みを活用されるよりも遥かにダメージが大きくなってしまいます。まずはこの「脆弱性」というものを抹消してやれば、つまり、メーカーが公開したそのソフトウエアやアプリケーションのアップデートをできるだけ早い時期に適用してやれば、脆弱性と仕組みの合わせ技や脆弱性の単独技で感染同様状態になるのを防ぐことができます。

WindowsOSなどのOSのアップデートは比較的早い時期から自動化され、NHKで報道されるほどの大きな感染事件などを経て、必須の対策として社会に浸透しましたが、アプリケーションやソフトウエアのアップデートは残念ながら認知度は今一歩足りていません。ソフトウエアごとに方法が異なり、自動化されていないものもあるので設定は少し面倒ですが、自分で適用するだけでなく周囲の人にも更新(アップデート)チェック・通知や更新適用の自動化を設定して、忘れずに、そして速やかに適用するようにしましょう。