銀行側がどんなにセキュリティを強化しても、ユーザー側が基本対策を怠っては元も子もなくなる。「リモートでパソコンを監視・操作できるような不正プログラムが侵入したらひとたまりもない」(ラックSNS事業本部セキュリティプランニングサービス部の新井悠担当部長)。本章ではユーザーが行うべき対策を考えてみよう。ポイントは不正プログラムの侵入を防ぐ、フィッシング詐欺にだまされない、パスワードをきちんと管理する、の3つに集約される。
多くの不正プログラムは、OSやアプリケーションのプログラム上の欠陥を利用して侵入する。ソフトウエアメーカーはこの欠陥を埋めるべく随時、修正プログラムを提供している。その代表がWindows Update(Microsoft Update)だ(図10[拡大表示])。これ以外にFirefoxやAcrobat Readerなどアプリケーションの修正プログラムも適用しておこう。アプリの修正はメーカーのサイトで更新作業を行うか、自動更新機能を持つソフトならそれを有効にすればいい。
拡張子の偽装に要注意
怪しいファイルを不用意に開かないことも大切だ。例えば図11[拡大表示]はウイルスメールの実例で、「Mytob(マイトブ)」と呼ばれる不正プログラムが添付されている。危険なファイルは末尾の拡張子を見れば分かる。exeなどが代表だ。Windows XPの場合、初期設定では拡張子が表示されないので、図11の手順ですべての拡張子を表示しておこう。
図12[拡大表示]に、すべてではないが、特に危険性が高い拡張子をまとめた。Webサイトや添付ファイルでこれらを見かけても、クリックしないことだ。「zip」「rar」などの圧縮ファイルは、展開した後に現れるファイルにも注意が必要だ。なお、「txt」や、「gif」「jpg」「bmp」「tif」などの画像、「wav」「mid」「mp3」「mov」「mpeg」「avi」などの音声・動画のファイルは危険性が低い*3。
不正プログラムの中には、「ファイル名.txt(長いスペース).exe」のように拡張子の前にスペースを空けて拡張子を偽装するものがある。ファイル名の表示方法(「表示」メニュー)によっては名前の後半が省略されるためだまされてしまう。「詳細」表示にすればきちんと確認できる。
IEのレベルは「中」でOK
Internet Explorer(IE)では、ActiveXコントロール(Webサイトからダウンロード・実行されるソフトウエア部品)の仕組みが悪用されて、不正プログラムの侵入を許してしまうことがある。この扱いは、「インターネットオプション」から変更できる(図13[拡大表示])。初期設定では「インターネット」ゾーンのセキュリティレベルは「中」。この状態ならまず問題ないと考えていい。あえて言うなら、「レベルのカスタマイズ」で「スクリプトによる貼り付け処理の許可」を「無効」にすればさらに安全性は高まる。
Windows XP Service Pack 2(SP2)から標準で有効になったパーソナルファイアウオールも、不正プログラムの侵入対策として効果的だ(図14[拡大表示])。これは、パソコンからインターネットに出て行く通信、行って戻ってくる通信は許可するが、ネット側から一方的に送り付けられる通信は遮断する、という機能。修正プログラムが未配付のセキュリティホールに対する攻撃、いわゆるゼロデイアタックへの対策として効果を見込める。ひと昔前に流行したBlasterウイルスのような、ネットにつないだだけで感染する不正プログラムの侵入を防げる。もちろん、ユーザーが怪しいプログラムを自ら実行して感染する場合は無力だ。
パーソナルファイアウオールの機能はたいていの統合型セキュリティ対策ソフトにもある。手持ちのソフトがあるならそちらを使ってもよい。
SSLの証明書で見破る
フィッシング詐欺に関しては、専用対策ソフトを提供しているネット銀行もある。だが現時点では使い勝手の面で本誌読者にお薦めできるものではないと考え、その概略は本特集末尾の別掲記事にまとめた。
産業技術総合研究所 情報セキュリティ研究センターの高木浩光主任研究員は「フィッシング詐欺の対策について“いたちごっこ”で片付けられてしまいがちだが、Webサイトやブラウザーに欠陥がない限り、アドレスバーのドメイン名とSSLの鍵マークを確認することで偽のWebサイトを見破れる」と指摘する(図15[拡大表示])。
なお、SSLのカギアイコンをダブルクリックすると、認証機関が発行した証明書の内容を見られるのをご存じだろうか(図15)。アクセスしているサイトのURL、銀行の所在地や名称などを確認できる。ただし英語表記のため、確認に正確を期すなら、英語での正式名称を把握しておく必要がある。証明書に問題がある場合は、SSLでページを開いた途端に警告が出るのでそれと分かる。
金融機関(らしき差出人)からメールが来ても、本文のリンクをすぐクリックするのは考えものだ。お気に入りや検索サイトなどメール以外の経路で金融機関の正規Webサイトにアクセスし、お知らせページに同様の記述があるか確認するといい。緊急を要する内容ならコールセンターに電話で問い合わせよう。
ウイルス対策は不可欠
本特集の冒頭で述べた「名指しで狙ってくる特注品」の不正プログラムは、ウイルス対策ソフトによる検出が難しい。しかし、過去に頒布された多くの不正プログラムは対策ソフトで検出・駆除できる。国内大手メーカーのパソコンには対策ソフトがプリインストールされており、これを有効に使うのはネット銀行利用における最低限のルールだ。必ず一度は起動して、監視機能を有効にした上で、ウイルス情報(パターンファイル)を最新版に更新しておこう。
今冬には、フィッシング詐欺対策機能を搭載した製品も登場する。例えば「ウイルスバスター 2006 インターネット セキュリティ」は、IEにサイト判定のツールバーを追加する(図17[拡大表示])。著名金融機関などのURLを登録したデータベースを用意。それとツールバーが通信して、アクセス中のURLが本物か否かを判定する。
このほか石橋をたたいて渡る向きには、スパイウエア専用の対策ソフトもある(図18[拡大表示])。ウイルス対策ソフトでもスパイウエアは検出可能だが、より検出数が多いというのが専用ソフトのウリだ。だが、大手ウイルス対策ソフトのメーカーによれば「本当に悪質な不正プログラムはウイルス対策ソフトでも検知・駆除できる」とのこと。スパイウエア専用ソフトは、Windows Updateなどの基本対策とウイルス対策をきちんと済ませた上で導入を検討しよう。なお、新種の不正プログラムに対応できない点はスパイウエア対策専用ソフトもウイルス対策ソフトと変わらない。
パスワードで異論反論
最後に、パスワードをいかに管理すべきかについて考えてみよう。
今回、取材先で尋ねたところ、各人のポリシーを反映しているのか、実にさまざまな答えが返ってきた。共通点としては、まず可能な範囲でなるべく長い、複雑なパスワードを使うこと。辞書に載っているような単語はダメで、意味不明でランダムな文字列が望ましい。「他人にしゃべらない」「人目に付くところにメモを残さない」のは基本である。
意見が分かれたのは、「使っているサービスに応じてパスワードをすべて変えるか」「定期的にパスワードを変えるか」というところだ。「1つのパスワードで複数のサービスをまかなっている」「いや、すべて変えている」「覚えられないので基本的に変更しない」「1カ月おきに変えている」など持論はさまざまだった。耳にした中で一番理想的に聞こえた管理方法は、「自分が使っているサービスを重要度別に3つに分け、それぞれに複雑なパスワードをかける。3つのうち、銀行のように金銭に直結する重要なサービスのみ定期的に変更する」というもの。基本対策と併せて参考にしていただきたい。
