第5回 ブラウザの拡張機能 ブラウザとセキュリティインターネットの便利さは、目の前のPCが世界中のコンピュータと結ばれていることで実現しています。外の世界からは便利さとともに脅威も同時に送られてきます。迷惑メール、ウイルス、ボット、フィッシング詐欺、最近では被害にあうだけでなく、いつの間にか自分も加害者になっている場合もあります。こうした脅威から身を守るためブラウザやソフトの機能についてお話します。 【今回登場するキーワード】
インターネットの便利さの裏面には危険もあります。メールやWebサイトから感染してPCやソフトを機能不全に陥れたり、データを消去したり、ネットワークに流出させたりする「マルウェア」、ワンクリック詐欺やフィッシング詐欺などの「ネットワーク犯罪」、知らぬ間にPCに入り込みキー操作を記録して盗み取る「不正アクセス」など、多くの脅威に囲まれています。これらの脅威からPCを守る方策をお話します。 マルウェアからPCを守るはじめに、ウイルスを含む悪意あるプログラムの総称「マルウェア」(Malware)のお話しです。不正な(悪質な・有害な・悪意ある)ソフトウェアの総称をマルウェアといいます。コンピュータウイルスはそのひとつです。マルウェアに感染したPCは、動作が不安定になる、起動しない、動作が遅い、勝手にメールを送る、異常終了などの障害が起こります。 パソコンユーザのためのウイルス対策7箇条
これらの対策は、ウイルス対策ソフトの導入、ブラウザやメールソフトのセキュリティの設定とWindowsやアプリケーションを常に最新の状態にしておくことでほとんど実現することができます。 ウイルス対策ソフトウイルス対策ソフトの導入は、マルウェア対策の基本中の基本です。ウイルス対策ソフトは、マルウェアが外部から侵入するのを防いだり、定期的にPC内部を検査して感染しているファイルやデータがないかどうかを調べたりします。 ウイルスの種類は日々増え続けていますので、それに対応する定義ファイルも日々新しいものが作られます。この定義ファイルは、ウイルス対策ソフトメーカーのWebサイトからダウンロードして、自分のウイルス対策ソフトのデータベースを更新します。 ブラウザのセキュリティの設定ブラウザのセキュリティ設定を変更することでセキュリティを強化することができます。Internet Explorer 7.0(以降、IEと表記します。)を例にブラウザセキュリティ設定を具体的に説明します。 各部分を簡単に説明していきましょう。
「レベルのカスタマイズ」で、ActiveXとスクリプトの設定を行います。 ActiveX(ActiveX control、アクティブ・エックス・コントロール)は、以前 OLE コントロール、OCX、OLE カスタムコントロールなどと呼ばれていたアプリケーションの機能を拡張するためのプログラムです。ブラウザの場合、動きのあるWebページの実現や、動画・音声の再生、バナー広告などに広く利用されています。このActiveXの動作を無条件に許可しておくと、悪意あるWebサイトからPCにマルウェアを取り込むのに利用されてしまうことがあります。
注:「安全マーク」とは、ディスク入出力、メモリおよびレジスタへの直接アクセスをしないActiveXコントロールに付けることができるマーク。マークをつけるのは作者自身なので100%信頼できるわけではありません。 上記のように設定して、ActiveXの制限を厳しくすると、実はWindows Updateさえ利用できなくなります。そこで、通常のサイトは設定した制限を保ったままで、特定のサイトだけActiveXの制限を緩和するために、「信頼済みサイト」への登録を行います。逆に絶対に信頼しないサイトには、ActiveXの制限を強化して「制限付きサイト」に登録します。 ブラウザのセキュリティを丁寧に設定するだけで、かなり強力なマルウェア対策となります。ActiveXやスクリプトを無効に設定するとWebサイトの閲覧はかなり制限されてしまいますが、信頼できるサイト、そうでないサイトをこまめに登録していくことで安全を確保しながら、閲覧の自由度を上げていくことができます。 メールソフトのセキュリティの設定メールソフトも設定を変更してセキュリティをより強化することができます。Outlook Express 7.0(以降、OEと表記します。)を例にメールソフトのキュリティに関する設定を説明します。 受信メールの重要な設定は、上記の赤い枠の中です。
OEではさらにお勧めしたいのが、受信したHTMLメールをテキスト形式で表示する設定です。 また不用意にメールの添付ファイルを開かないようにするために、Windowsのエクスプローラで、「ツール」メニューの「フォルダオプション」で、ファイルの拡張子をすべて表示するように設定します。次の画面は「フォルダオプション」の「表示」タブの画面です。 [登録されている拡張子は表示しない]を無効にします。 ネットワーク犯罪からPCを守るWebサイトでボタンをクリックしただけで「会費」を請求されたり、偽装されたWebサイトでパスワードやクレジットカード番号を盗み取られたりする詐欺事件が後を絶ちません。こうしたネットワーク犯罪からPCを守るためのブラウザの機能と、暗号化でセキュリティを確保するSSLの仕組みについてお話しします。 増加するネットワーク犯罪被害が拡大しているワンクリック詐欺は、迷惑メールや掲示板、アダルトサイトのリンクなどで、ユーザーをWebサイトに誘導し、サイト内のボタンやリンクをクリックさせて、「入会手続きが完了いたしました」などと表示して会費を不当に請求する詐欺です。画面には、有料の会員登録が完了した旨、プロバイダ名やIPアドレス、場合によってはメールアドレスも表示し、ユーザーに個人情報を知られたと思いこませて会費を振り込むように要求します。 ブラウザのフィッシング防止機能ネットワーク犯罪の増加に対し、ブラウザも犯罪防止のための機能を搭載し始めました。IEやFirefox 2.0、Operaなど最新のブラウザにはフィッシング詐欺サイト検出機能が装備されています。例えば、IEのフィッシング詐欺検出機能は、Microsoftのフィッシングサイトデータベースと照合して、怪しいサイトかどうかを警告するシステムです。 検出機能を有効にして、フィッシングサイトと思われるサイトにアクセスしようとすると、アドレスバーが赤く表示され、警告が出るようになります。 ユーザーを守る証明書とSSL犯罪から守り、正常なネット上の取引を行うために、安全を確保して通信を行う仕組みがSSL(Secure Socket Layer)です。オンラインショッピングの決済時にクレジットカードの番号を入力するときなど、通常のHTTPプロトコルでの通信では、第三者に傍受される可能性があります。そこで、利用されるのが、ブラウザとWebサーバを暗号化して通信するSSLというプロトコルです。 SSLでの通信中は、ブラウザに鍵のアイコンが表示されます。またアドレス欄には、「http://×××…」の変わりに、「https://×××…」と「s」が付きます。これが、SSLでサーバと通信しているときのURLの表示です。 重要な情報を入力する際には、ブラウザのSSLの鍵アイコンとアドレス欄を確認します。個人情報や決済情報などの入力中に鍵アイコンが表示されない場合は、セキュリティに問題がありますので、入力を中止した方が良いでしょう。また、前述したフィッシング詐欺は、アドレス欄と鍵アイコンを確認すれば見破ることができます。偽サイトでは、ほとんどの場合、通信は暗号化されていません。またよく観察すると、アドレス欄がポップアップなどで偽装されていることが分かる場合があります。 SSLで使われている電子証明書(SSLサーバー証明書)は、Webサイトの運営組織を独自の方法で確認し、その証しとして、確認した第三者機関が発行しています。つまり、SSLで使う電子証明書が発行されているということでWebサイトの運営者を確認できるのです。 SSLでは、ブラウザからの接続要求があると、サーバは「公開鍵」と「秘密鍵」のペアを作り、ブラウザに公開鍵を渡し、この公開鍵でデータを暗号化して送るように要求します。ブラウザは公開鍵を使ってデータを暗号化し、サーバにデータを送ります。 不正アクセスからPCを守るインターネットなどを通じて、不正に他人のPCやWebサイトに侵入することを不正アクセスと言います。最も被害が大きいのが、スパイウェアによるものです。スパイウェアはその名の通り、PCの内部に入り込み、外部にユーザーの個人情報を送信したり、セキュリティのために閉じてあるポートを開放してウイルスを取り込んだりします。 気が付きにくい不正アクセススパイウェアは、ウイルスのように他のPCに感染するということはありません。侵入したPC内でのみ活動します。ユーザーの知らないうちに送り込まれるスパイウェアは、静かにPC内部に潜んでおり、ウイルス対策ソフトでも検出は困難です。しかし、ひとたび活動を開始すると、PC内部の個人情報を外部に送信したり、勝手にポップアップウィンドウを表示したり、お気に入りを書き換えたりします。キー操作を記録するキーロガーなどでIDやパスワードなどを盗み出すこともあります。 スパイウェア侵入の兆候メール
Internet Explorer
OS
不正アクセス対策ソフトスパイウェア対策の基本もスパイウェア対策用のソフトの導入です。ウイルス対策ソフトに簡易なスパイウェア対策機能を持つものもありますが、ウイルスとは性格が異なりますので不十分なことが多いようです。専用のソフトウェアの導入をお勧めします。 OSもアプリケーションも常に最新の状態でPCのセキュリティを確保するためには、OS、ブラウザ、プラグイン、アプリケーションをこまめにアップデートして、常に最新の状態を保つようにしなくてはなりません。これは、ソフトウェアの脆弱性(セキュリティ上の欠点)を突いて、ウイルスやスパイウェアが送り込まれる可能性があるからです。ソフトウェアメーカーは発見された脆弱性を修正したセキュリティパッチと呼ばれるプログラムを公開しています。新しいウイルスに最新の定義ファイルで対応するように、新しく発見された脆弱性は最新のセキュリティパッチで修正され、これがアップデートプログラムとして提供されるのです。
特に、ウイルス対策ソフトの定義ファイルは必ず最新の状態にしておくことが必要です。 PCのセキュリティは、悪意ある攻撃に対して対症療法的に対応しているのが現実です。新しいウイルスに対して新しい定義ファイル、新手の詐欺手法に対して対応策や対応プログラムというように、悪意ある攻撃の方が常に一歩先というのが現状なのです。こうした状況に対処するためには、ユーザー自身のセキュリティに対する意識が重要です。マルウェアの95%以上がメールまたはメールの添付ファイルによって感染しています。不審な添付ファイルをダブルクリックしない、メールの表示はテキスト形式にするというだけで、ほとんどのマルウェアを防ぐことができるのです。この機会に、ブラウザやメールソフトの設定など目の前のPCについて考えてみてください。 おさらい
次回はサーバの仕組みについてお話しします。 参考リンク |
All Rights Reserved, Copyright(C) FUJITSUファミリ会 |