タイトル-特集
『インターネットにおける脅威の動向』
財団法人あきた企業活性化センターにおいて平成18年11月に実施した「秋田県内企業の情報化実態調査」では、回答した県内企業の93.9%が「インターネットを利用している」という結果が得られました。情報収集の強力な手法として企業活動に大変有益なインターネットですが、正しい知識と判断がない場合、大きなリスクが生じる場合もあります。今号の特集では、情報セキュリティー対策の専門家、独立行政法人情報処理推進機構 セキュリティセンター による、『インターネットにおける脅威の動向』をご紹介いたします。
はじめに:インターネットを取り巻く現状
 近年、パソコンの性能向上や低価格化に加え、一般パソコンユーザ向けの高速インターネット接続環境(ADSLや光ファイバー等)の普及が著しく進んでいます。そのおかげで、パソコンとインターネットは企業のみならず家庭においても非常に身近な存在となったばかりか、ネット上で提供される様々なサービスの恩恵を受けるために無くてはならないものとなっています。例えば、検索サイトを通じての情報収集、ホームページやブログなどによる情報発信、電子メール・チャット・電子掲示板やSNS(ソーシャル・ネットワーキング・サービス)によるコミュニケーション、ネット通販やネットオークションによる電子商取引、インターネット銀行取引、オンラインゲーム・・・挙げたら際限がありません。
 このように大変便利なパソコンとインターネットですが、実は、インターネット上にあるサービスや情報は善意に基づいたものばかりではない、ということは意外に知られていません。残念なことに、有害かつ反社会的な内容を掲載しているサイトや、パソコンユーザをだまして金銭を奪う目的で作られたサイトも存在するのが実情です。つまり、悪意を持った人々にとっても、犯罪を実行するためにパソコンとインターネットが非常に“便利”なものになってしまっているのです。
 インターネットの世界でも、目に見える現実世界でも、自分の身は自分で守る必要があります。そのためには、世の中にどのような脅威があるかを知ることが先決です。そこで今回は、一般のパソコンユーザの身近に潜む情報セキュリティ上の脅威について紹介をするとともに、解説を加えていきます。さらに、それら脅威から身を守るために必要な、情報セキュリティ対策の基本知識にも触れていきます。
【脅威その1】  ワンクリック不正請求
 最近の情報セキュリティ脅威に共通して言えることは、“人間の心理を巧みに突いた手口が多い”ということです。そこで、被害を防ぐ手立てとして手口を知ることが第一と言えます。まずはその最たる例である、「ワンクリック不正請求」を紹介します。
 ワンクリック不正請求とは、アダルトサイトで、「無料動画」などと書かれたリンクをクリックしただけで「登録完了」の表示とともに、高額の利用料金が請求されるものです。大半は、法律上は契約が有効ではない場合であることが「不正請求」と言われる所以です。まずは、事例を紹介します。
 『ネットサーフィンしていて、ふと立ち寄ったサイトにアダルトサイトの広告が…ついついクリックしてその先に進み、「無料」の文字に安心して年齢認証ボタンをクリック。さらに動画ファイルへのリンクをクリックして、どんなものが再生されるかワクワクしていると、出て来たのは請求書画面。ビックリして思わずパソコンの電源を切ってみたが…その後も、パソコンを起動する度にその請求書が画面に貼り付いている。一旦消えたと思っても、数分おきにしつこく請求書画面が出現する。よく見ると、IPアドレスやら自身が契約しているプロバイダ名、会社でクリックした場合なら、会社名までもが表示されている。クリックした本人は、自身のパソコンが特定されて不正にアクセスされていると思い込み、追い詰められたと感じてお金を振り込んでしまった…』
 IPAが用意している相談窓口には、このような相談が毎月、非常に多く寄せられます【図1】。ほとんど全ての相談者は、業者からのコンピュータ不正アクセス(以下、単に「不正アクセス」と記す)によって請求書がしつこく表示されると思っているようですが、実はコンピュータウイルス(以下、単に「ウイルス」と記す)の仕業です。しかもウイルスが勝手に侵入したのではなく、サイトを見た本人自身がダウンロードして開いていたのです【図2】。動画だと思って開いたファイルは、実はウイルスだったのです。ウイルスによっては、数分おきに請求書を表示させたり【図3】、パソコンに設定してある自分の氏名やメールアドレス情報を盗み出すものも存在します。つまり、後から名指しで請求書メールが届くことになるのです。クリックしてしまった本人は、自分でクリックした自覚がある上に、“恥ずかしい”“他人に相談できない”といった理由で、ついつい言われるままに料金を振り込んでしまうケースが後を絶ちません。特に最近は料金が3〜4万円程度と比較的払い易い額に設定されていることも、ついつい振り込んでしまう原因の一つでしょう。
 契約の有効性などで心配なことがあれば、最寄りの消費者センターなどに相談することをお勧めします。不審なメールの本文や怪しいサイトにあるリンクは、クリックしないことが身のためです。なお、ウイルス対策ソフトを利用していても、アダルトサイトに仕込まれているウイルスは毎週のように更新されているため、うまく検出されないケースが多いので注意が必要です。さらに最近では、「芸能人の情報を検索していたらいつの間にかアダルトサイトに誘導されて、ワンクリック不正請求の被害に遭った」という相談も多くなっています。何よりも、誘惑に負けない勇気を持つことが最も重要であるといえます。
【脅威その2】セキュリティ対策ソフトの押し売り
 パソコンを使う上で、ウイルス感染や不正アクセス、迷惑メール受信、個人情報流出、といった被害から身を守るために利用するソフトウェアのことを総称して、「セキュリティ対策ソフト」といいます。最近の高度化・複雑化する情報セキュリティの脅威から自分の身を守るためには、現在では必須と言っても過言ではないツールです。一般のパソコンユーザの間でも広く普及しつつあります。
 最近、このようなセキュリティ意識の高まりに乗じて、セキュリティ対策ソフトを押し売りする行為が目立ってきています。これはどのような手口なのでしょうか。早速事例を見てきましょう。
 『あるポータルサイトにアクセスしたら、「エラーが見つかりました」という警告が出ていることに気付いた【図4】。気になってバナー広告をクリックしてみたら、勝手にパソコン内がスキャンされたような画面が表示された【図5】。さらに、「あなたのパソコンはウイルスに感染している恐れがあるので、セキュリティ対策ソフトをダウンロードして」というような画面が表示された【図6】。そういえば、セキュリティ対策ソフトを買おう買おうと思っていたけどまだ買っていなかった…ちょうどいい、この機会に入れてみよう…と、言われるままにソフトをダウンロードしてインストールしてしまった。その後、パソコン内をウイルスチェックしてみたら複数のウイルスが見つかったとのこと。そして、「駆除するには、製品版を購入してください」ということで、クレジットカード番号の入力を促す画面に。無料だと思っていたので放置しておいても、その後も定期的に購入を促す画面が出現する…』
 このように、パソコンの初心者が一方的に脅されて不安になってしまうケースが多いようです。最初に見た警告は、実は単なるバナー広告だったのです。その言葉の脅しに乗ってダウンロードさせられてしまったソフトは、どの程度信頼の置けるものかは分かっていません。しかし、正規のセキュリティ対策ソフトの製造・販売者からは、脅しのようなメッセージを利用者のコンピュータに表示して購入を迫るようなことはしませんので、このような製品は一般的には信頼できないものとして良いでしょう。IPAに寄せられる相談の中には、「言われるままにソフトをインストールしたら、パソコンの調子が悪くなった。アンインストールしたら、ますます動作が不安定になり、初期化せざるを得なくなった」というものもありました。信頼できない、正体の分からないソフトは、インストールしないことに越したことはありません。
【脅威その3】ソフトウェアのセキュリティホールとウイルス
 ここでいう「セキュリティホール」とは、“ソフトウェアに関し、想定外の事象を起こすことのできる、情報セキュリティ上の弱点や設計ミスのこと”です。「ぜい弱性」とも呼ばれます。例えば、毎月Microsoft Update を通してWindowsユーザ向けに提供される修正プログラムは、主としてセキュリティホールを解消するためのものです。なお、セキュリティホールは、WindowsなどのOSのみならず、ソフトウェアならどんなものにも存在する可能性があることを忘れてはなりません。
 では、セキュリティホールを放置していたらどうなるのでしょうか。悪意のあるユーザがセキュリティホールのあるパソコンを攻撃することで、パソコンに侵入したり、任意のプログラムを実行したりすることが可能になり、最悪の場合、パソコンが外部から操られてしまうことになってしまうのです。ところで、セキュリティホールを攻撃するのは、悪意のあるユーザだけではありません。ここ数年間、セキュリティホールはウイルスの格好の標的になっているのです。インターネットにつないでいるだけで、いつの間にかウイルスに感染してしまっていたということが実際に起こっているのです。
 通常、ソフトウェアベンダからセキュリティホール情報が提供される際には、同時に修正プログラム(セキュリティパッチとも呼ばれます)も提供されます。しかし、悪意のあるユーザはそのセキュリティホール情報を参考にして、ウイルスを開発するのです。さらにここ数年は、修正プログラム提供後から数えて、当該セキュリティホールを突くウイルスが出現するまでの日数が極端に短くなってきています【図7】。
 しかし、この問題への対策はいたって簡単です。セキュリティホールの修正プログラムの提供が始まったら、すぐに自分のパソコンにインストールするだけで良いのです。なお、Windows XPのように自動更新機能を持つソフトウェアもありますので、当該機能が有効になっているか、確認してみると良いでしょう。
セキュリティ対策の基本
 ここまで、主要な脅威について紹介してきましたが、それらへの対策をまとめると次のようになります。
 【ソフトウェアのセキュリティホールの解消】WindowsなどOSを始めとして、利用している全てのソフトウェアを、常に最新の状態にアップデートしておきましょう。自動更新ができないソフトウェアの場合は、ベンダのウェブサイトをこまめにチェックして、新しい更新プログラムが公開されていないか、確認する習慣を身に付けましょう。
 【ウイルス対策】ウイルス対策ソフトなどのセキュリティ対策ソフトをインストールし、ウイルス定義ファイルを常に最新の状態にするとともに、定期的(1週間に1度以上)にパソコン内を手動でウイルスチェックしましょう。
 【普段の心構え】上記の2項目は技術的なことですが、最近はそれだけで自分の身を守るために十分な対策であるとは言えなくなってきています。例えば、【脅威その1、2】で紹介したような手口では、ウイルスなどの不正プログラムをダウンロードさせられようとした時に警告が出ていますが、パソコンユーザがわざわざそれを許可してしまっていては、どうしようもないのです。これらの対策を7箇条としてまとめたのが、【図8】です。この他、IPAではパソコンユーザのみなさんに役に立つ“対策のしおりシリーズ”を提供しています。ぜひとも、ご活用ください【図9】。さらに期間限定ですが、現在、経済産業省が実施中の「CHECK PC!」キャンペーンのサイトにもセキュリティ対策に有用な情報が満載ですので、ぜひとも訪問してみてください【図10】。
 セキュリティ対策として、犯罪や脅威の手口を知ることが第一なのは確かです。しかしそれ以前に、出所の分からないファイルはダウンロードしないし開かない、というウイルス対策の大原則を守るとともに、インターネット上に存在する誘惑に負けないための知識を身に付け、モラルに反した行動は慎むことが、最良の自己防衛策となります。
おわりに:IPAセキュリティセンターについて
 情報処理推進機構(IPA)は、「情報処理の促進に関する法律」に基づき設置された経済産業省所管の独立行政法人です。その一組織であるセキュリティセンターでは、経済産業大臣が定める情報セキュリティ対策の強化等の目標を受け、情報セキュリティに関する調査・研究や対策の普及啓発業務を行っています。さらに、IPAはウイルスを発見した場合の届出機関として国から指定されています。これを受け、IPAでは無料相談窓口として「コンピュータウイルス110番」を開設しました。専門の相談員による電話相談、電子メール、FAXや自動音声案内による24時間対応の自動応答システムで、どなたからでも相談を受け付けています。ウイルス感染の際の駆除方法や被害を最小限に食い止めるための適切な対処方法、今後の対策方法、その他情報セキュリティ全般に関する内容についての相談や質問に対し、個別に技術的なアドバイスを提供しています。情報セキュリティに関することなら、何でもお気軽にご相談ください。
■コンピュータウイルス110番・不正アクセス相談窓口
 電話:03-5978-7509、FAX:03-5978-7518
 電子メール:isec-info@ipa.go.jp、ホームページ:http://www.ipa.go.jp/security/
 電話受付時間:午前10:00〜12:00、午後1:30〜5:00(土日、祝祭日を除く)

a