最近コンピューターウイルス関連の物騒なニュースを聞きます。
パソコンを操作する上で回避することはできない「コンピューターウイルス」。
パソコン内のデータを破壊し、個人情報を外部送信し、お金を騙し取る。それらは、とても高度な技術が使われているため、完璧な対策は現在ありません。感染のリスクは常につきまとっています。
しかし、感染のリスクを減らすことは特にパソコンが得意でない個人でもできます。
今回は、コンピューターウイルスの感染リスクを下げる基本的な対策を6つ紹介します。
・・・ただ、前置き・本編ともに長いです。お暇なときにどうぞ。
- なぜ対策しないといけないの?
- 「脆弱性」「ゼロデイ攻撃」の恐怖
- あくまで対策は感染リスクを減らすだけ
- OSのアップデートをする – Windows Update –
- セキュリティ対策ソフトの導入
- Adobe Flash Playerのアップデート
- Java アップデート
- インストールされているソフトウェアのアップデートを確認
- セキュリティ情報に対するアンテナを高めよう
- まとめ
なぜ対策しないといけないの?
この記事で紹介する対策は、様々なセキュリティ企業が毎年声を大にして発信しているものです。
それはもはや「推奨」ではなく「必須」の対策となっているからでしょう。パソコンを使うユーザーすべて、「パソコンなんてよく分からない、仕事で使ってるだけだし・・・」という初心者の方でさえも実行しなくてはいけないのです。
コンピューターウィルスを含む不正プログラム(マルウェアといいます)は、年々高度化しているためセキュリティに強い人でも感染してしまうことがあるのです。
そして、感染したパソコンはあなただけが被害に会うのではありません。
感染したパソコンはメールなどを使い他のパソコンへ向けてマルウェアを添付したメールを送付したり、ボットネットと呼ばれる感染したパソコン同士で独自のネットワークを組まされて、攻撃者が自由に弄れるようになってしまう状態になっていることもあります。
そうなると、今度はあなたのパソコンから攻撃を開始されてしまうことがあるのです。
つまり、あなたも加害者になる可能性もあるのです。以下のニュースをご覧ください。
パソコン遠隔操作事件 – Wikipedia
https://ja.wikipedia.org/wiki/パソコン遠隔操作事件
最近ニュースで見たことがあるという方も多いでしょう。何の罪もないユーザーがウイルスに感染して身に覚えのない犯罪予告をされてしまい、起訴までされてしまった事件です。
このように、あなたも(もちろん私も)犯罪者として仕立てられてしまうこともあるのです。
これはどう考えても納得のいかないことでしょう。
このことから、パソコンを使う以上は必ずマルウェアに対する対策は実行するべきなのです。
そして、それらは自分だけのためではなく相手の迷惑にもならないようにするためでもあるのです。
「脆弱性」「ゼロデイ攻撃」の恐怖
脆弱性【vulnerability:バルネラビリティー】とは、セキュリティ上問題のある箇所のことを言います。
この脆弱性をつかれた攻撃をされてしまうと、攻撃者が自由にプログラムを遠隔で実行できるようになったり、個人情報を外部送信されてしまったりといった被害を受けます。
ただ、この脆弱性はいわゆる「バグ」ではなく正常な使い方をすればプログラム上何の問題も起きないのです。
ですが、恣意的に無茶な動作をさせようとすると不具合が顕在化してしまうのです。そこを攻撃者は突いてきます。
対策は脆弱性を修正するアップデートをすること
脆弱性はどんなプログラムにも存在します。人間が作った以上、何かしらのミスはあるものです。
ですので、これら脆弱性を突かれる攻撃を防ぐためには「アップデート」を頻繁に実行することが重要です。
Widnowsならば「Windows Update」、ソフトウェアなら定期的にアップデートできない確認してみましょう。
ゼロデイ攻撃にはほぼ無力
さて、脆弱性が認知されていて修正されているようならば確かにアップデートで対策が可能となります。
しかし、プログラムには未知の脆弱性が残っているかもしれません。それらはまだ認知されておらず、攻撃者が最初の発見者だとしたらどうなるでしょうか。
もうお分かりですね、これではこちらで対処する術がありません。未知の攻撃となりますからセキュリティ対策ソフトもスルーされてしまいますし、感染を防ぐのはかなり難しくなるでしょう。
このように、未知の脆弱性を利用した攻撃方法を「ゼロデイ攻撃」と呼びます。
攻撃が開始された直後はだれも対策を実行していない「穴」を突かれますから、感染を防ぐのは至難の業です。
セキュリティ対策ソフトも、対策が始まるまで最速でも1日~2日かかりますから、その間は無防備も同然。
仮想環境などの構築で被害を最小限にするくらいしか対策がなさそうです。
「怪しいサイトを開かない」だけではもう通用しない
こうなったらもう運です。これら攻撃は単に「怪しいサイトを開かない」だけではだめです。昨日まで健全だったサイトが改ざんされて攻撃サイトに変わってしまうこともあるのです。
WebサイトにはJavaScriptやFLASHなどを利用した動的で便利なものがありますが、これらのもちろん脆弱性があります。ここでゼロデイ攻撃をされて感染させられてしまうのです。私の友人もこれにやられてました。
しかも、感染に気づかないこともあるのでよほど神経をすり減らして対策しないと回避は不可能な気がします。
実は、当ブログも改ざんされていてもおかしくない時期がありました。PHPの脆弱性を突かれてしまったサイトが多くあり、自分のところも射程範囲内。今のところは改ざんされたファイルは確認できず、脆弱性も修正されたので大丈夫かとは思います。(以下、問題の脆弱性です。内容はとても難しいですが、興味がありましたらどうぞ)
https://uunfo.hatenablog.com/entry/20120525/1337968313
っと、こんな感じでどんなサイトでも改ざんされる可能性がある以上、ネット上でほんとに安全なサイトなんてないのかもしれません。
あくまで対策は感染リスクを減らすだけ
以上のことから、マルウェアの感染を完全に防ぐ手立ては現状では存在しないと言い切れます。
あくまで、これから実行する対策は「感染リスクを減らすだけ」であることを肝に銘じておいてください。
セキュリティ対策ソフトだけでは不十分、やろうと思えばそれらソフトを回避させて上で感染させることもできるのです。
ですが、対策しないのは愚の骨頂。減らせるリスクは減らしておくのが社会での常識ですからね。
被害は自分だけではなく、他人にも影響があることを忘れないでください。
OSのアップデートをする – Windows Update –
Windowsもソフトウェアであるから開発会社であるマイクロソフトから定期的にアップデートが公開されています。
Windows Updateは1ヶ月に最低一回提供されます。「定例アップデート」「定期アップデート」などと呼ばれています。
アップデートの内容は、セキュリティ関連のものだったり機能強化のためだったり色々ですが、必ず適用してください。
このアップデートでないとOSのセキュリティは対策されません。
場所は [コントロールパネル] → [Windows Update] になります。「Windowsは最新の状態です」と緑のチェックが入っていれば取りあえず安心です。不安なら左上にある「更新プログラムの確認」で未適用のプログラムがないか確認できます。
また、「設定の変更」でWindows Updateの動作の変更が可能です。
基本は「推奨設定」で問題ありません。変更は自己責任となりますので注意してください。
セキュリティ対策ソフトの導入
いくらマルウェアをスルーことがあるといっても、インストールされていないのは愚の骨頂。
ユーザーが侵入してこようとするプログラムすべてを確認・手動で駆除なんてできるわけないのですから、必ず導入するべきです。できれば有料ソフトがお勧めです。
以下、有名なセキュリティ対策ソフトです。
| 製品名 | メーカー |
|---|---|
| ウイルスバスター | トレンドマイクロ |
| ノートン インターネットセキュリティ | シマンテック |
| マカフィー ウイルススキャン | マカフィー |
| カスペルスキー インターネットセキュリティ | ZAO Kaspersky Lab |
| ESET Smart Security | Eset社 |
| ウイルスセキュリティZERO | ソースネクスト |
これら有料のソフトは、コンピューターウィルスだけでなく、スパイウェアなどマルウェア全体で対策してくれます。サポートもしっかりしているので、できれば有料のソフトの導入をお勧めします。
個人的には、使い易さで「ウイルスバスター」、信頼と機能性で「ノートン」「ESET Smart Security」がお勧めです。
ですが、結構好みの分かれるところでもあるので、体験版をインストールしてみたり他の人のレビューも見てみると後悔しない買い物ができるでしょう。
期限切れは危険
また、有料のセキュリティ対策ソフトは「対策期限」というものがあります。購入したら永遠に使えるわけではありません。
期限が切れるとセキュリティ機能をすべて停止するものもあります。
購入したソフトのライセンス期間は何年分なのか、しっかり把握して切れたら再度購入する必要があります。
詳細は以下の記事にて。
無料でもいいけど注意も必要
セキュリティ対策ソフトは無料のものをあります。こちらを利用してもいいのですが、いくつか注意点があります。
- サポートは期待してはいけません。無料ということは、あまりお金もかけられないということでもあるからです。
- マルウェア全体で対策してくれないものもあります。ウイルスのみの対策ということも。
- ファイヤーウォールやメールフィルタリング機能などがない場合も多い。
以上の様に、無料の代償としていくつか穴もあります。そこをさらに埋めるため、別のセキュリティ対策ツールを導入する必要があります。ファイヤーウォールソフトを導入している方が多いですね。
このように、無料の対策ソフトは少しパソコンに詳しくないと扱いきれない=対策し切れていないということになりやすいので、最初にうちは有料のソフトに頼っていた方がいいかと思います。
ここで勉強してみたら、経費削減として無料のソフトを使ってみてもいいかもしれません。
Adobe Flash Playerのアップデート
Adobe Flash Playerは、Webブラウザで動画を見たりする際に必要になることがあるソフトウェアです。
ネットに繋ぐならほぼ必須のソフトウェアです。それゆえ、攻撃の対象になりやすいのです。
Adobe Flash Playerには2種類あって
- Adobe Flash Player ActiveX
- Adobe Flash Player Plugin
のふたつです。「ActiveX」はInternet Explorer(IE)が使用するFlash Playerで、「Plugin」はIE以外のWebブラウザで使用するFlash Playerです。つまり、IEとその他のブラウザを併用している方は両方のFlash Playerをアップデートし最新版にしておく必要があるのです。
ただし、Google ChromeとInternet Explorer 10はFlash Player内蔵型のため、WebブラウザのアップデートでFlash Playerも同時に最新版が適用されます。
2種類のFlash Playerの適用方法
以下のページへ行けばAdobe Flash Playerが適用できます。
Adobe – Adobe Flash Playerのインストール
http://get.adobe.com/jp/flashplayer/
ですが、適用されるのは「このページを訪れた際に使っているWebブラウザに必要なFlash Player」です。
つまり、両方をアップデートしたいならば最初にIEで訪れて適用、つぎにそれ以外のブラウザで訪れて適用する必要があります。2回アップデートを適用する必要があるのです。
それぞれのアップデータを個別に入手したい場合は以下のページから「OS」と「バーション」を選択することで「ActiveX」「Plugin」の2種類を入手可能です。
Adobe – 別のバージョンのAdobe Flash Playerをインストール
http://get.adobe.com/jp/flashplayer/otherversions/
インストールされているバージョンの確認
今パソコンへインストールされているFlash Playerのバージョンを確認する場合は、 [コントロールパネル] → [Flash Player] で「Flash Player 設定マネージャー」を起動、「高度な設定」で確認できます。
また、自動アップデートの設定もできます。
▲クリックで拡大
Java アップデート
Java【ジャバ】とは、プログラミング言語のひとつです。これを実行する環境のこともJavaということがあります。
Javaを必要とするプログラムがあった場合、これがインストールされていないと起動できません。
Flash Playerと違い、必要ない場合も多いので脆弱性対策として「アンインストール」するという選択もできます。
これは通常通りコントロールパネルの「プログラムと機能」で「Java ○」(○はバージョン)を見つけてアンインストールすればOKです。複数のバージョンがインストールされていると、より脆弱性を突かれやすくなります。
32bit版と64bit版もあるので、残しておく場合は最新バージョンのどちらか環境にあったものをインストールしましょう。
全オペレーティング・システムのJavaのダウンロード一覧
http://www.java.com/ja/download/manual.jsp
インストールされているバージョンの確認
Flash Playerと同じく[コントロールパネル] → [Java] で「Javaコントロールパネル」を開くことが出来ます。
「更新」タブ内の「いますぐ更新」ボタンでJava環境を更新できます。
▲クリックで拡大
インストールされているソフトウェアのアップデートを確認
Flash PlayerやJavaだけでなく、本来ならばインストールされているすべてのソフトウェアに対してアップデートできないか常に確認しておく必要があります。
メーカーパソコンならば、標準で独自のソフトウェアの更新状況を確認できるプログラムがあるはずですので、忘れずに確認してみましょう。私はノートパソコンで「VAIO」という機種を使っていますが、この機種には「VAIO アップデート」というソフトウェアがありましたね。
圧縮・解凍ソフトやTwitterクライアントソフト、Webブラウザのアドオンなど注意して確認してみましょう。
特に注意が必要なのが「Adobe Reader / Acrobat」
この中でも特に注意が必要なのが「Adobe Reader / Acrobat」というPDF閲覧ソフトです。
このふたつのうち、「Adobe Reader」の方は無料で提供されており、購入したパソコンへ標準でインストールされていることも多いソフトウェアです。基本的なPDFリーダーゆえ攻撃の標的にもされやすいソフトです。
ネットからダウンロードできる文書でPDF形式のものをいいですが、これが悪意のある文書だったりウイルスを感染させるような細工が施されていると、閲覧することで脆弱性を突かれて感染してしまうのです。このうような事件が世界中で発生しています。
これらは特に注意して定期的にアップデートがないか、脆弱性情報がないか確認する癖を付けましょう。
Adobe Reader のダウンロード – Adobe
http://get.adobe.com/jp/reader/
▲アップデートするには「ヘルプ」からチェックができます。
セキュリティ情報に対するアンテナを高めよう
この記事最後の対策として、「セキュリティ情報に対する情報収集を怠らない」ことを書きます。
例えば、最初に書いた「Windows Update」ですが、定例/緊急のアップデートの告知はちゃんと事前にされています。
脆弱性の内容や、危険度、アップデートが公開されるまでの一時的な対策方法などがまとめられているニュースサイトも多くあり、とても参考になります。
その他にも、最近流行っているAndroidウイルスの情報や、マルウェアの侵入経路なども解説されているため、セキュリティに対する知識も増えていきます。それは防御するための知識にもなるのです。
ニュースサイトですので、あまり用語の解説がされていないことも多いですし、専門用語ばんばんでてくることもあります。
ただ、それでも概要だけは何とか読み解くことができるはずです。Windows Updateで言うと、公開日くらいなら分かるでしょうし、他のAdobe Readerなども同じく公開日や最新バージョンは今いくつなのかなど細かいところでなくても重要な情報が多いのです。
あまり面白みはないかもしれませんが、とても重要なことです。最低でも「Windows Update」と「Adobe Reader」「Java」の情報は抑えておくと対策の準備もしやすいでしょう。
以下、お勧めのニュースサイトです。
おすすめニュースサイト
○INTERNET Watch - http://internet.watch.impress.co.jp/
セキュリティ – ITmedia ニュース - http://www.itmedia.co.jp/news/subtop/security/
まとめ
記事分割して方がよかったんじゃないか、と思える長さになってしまいました。
セキュリティ対策に関することはネタに事欠かないほど多くあります。一般家庭にも普及し始めた「パソコン」、持ち運べるパソコンとも言える「タブレット型」や「スマートフォン」。これらすべてに言えるのが、セキュリティ対策が必須になってきたことです。
年々コンピューターは高性能化し、それにともなってマルウェアも進化してきました。今では、もう完全に防ぐ手立てはないレベルにまでになっています。昨日まで安全だったサイトも、今日も安全とは限らないのです。
今回の記事で6つの対策を紹介しましたが、正直すべて実行するのは初心者にはつらいものがあると思っています。
「本来ならば必須のこと」しか書いていないのですが、何せ面倒な割に普段利用では効果が実感できませんから、億劫にもなります。「対策しなかったら必ずパソコンが動かなくなる」という訳でもないですし・・・
ですが、一度感染すれば被害は冗談では済まないレベルになります。データ破壊や個人情報漏洩、最近ニュースにもなっている「誤認逮捕」なんて状況にもなってしまいます。
言い方は悪いですが、以上の対策をしておけば防げた事件を解決するために私たちの税金が使われていると言ったら、少しはやってみようという気分にはならないでしょうか(笑
・・・まあこれは半分冗談として、個人的にはもう義務教育の中にITセキュリティ対策も組み込むレベルにまでいっているのではないかと思っています。対策の内容が一般利用者からすれば高度すぎるからです。「操作が」よりも「考え方が」という意味で ですね。目に見えないものはやはり面倒です。
今回の記事で最後にいいたいことですが、
「パソコンでは、セキュリティ対策しないことは自分だけでなく知人・会社の同僚・世界中の人にも迷惑がかかる行為であること。パソコンを利用しているなら自分のためにも、相手のためにも必ず実行して欲しい」
以上、今回の記事はこれにて終わりです。お疲れ様でした。
また、このブログを訪れてくれましたら嬉しいです。
コメント
コメント欄を開く