第5回 ブラウザの拡張機能 ブラウザとセキュリティ

インターネットの便利さは、目の前のPCが世界中のコンピュータと結ばれていることで実現しています。外の世界からは便利さとともに脅威も同時に送られてきます。迷惑メール、ウイルス、ボット、フィッシング詐欺、最近では被害にあうだけでなく、いつの間にか自分も加害者になっている場合もあります。こうした脅威から身を守るためブラウザやソフトの機能についてお話します。

【今回登場するキーワード】

• マルウェア
• コンピュータウイルス
• フィッシング詐欺
• ワンクリック詐欺
• SSL
• 不正アクセス
• スパイウェア

インターネットの便利さの裏面には危険もあります。メールやWebサイトから感染してPCやソフトを機能不全に陥れたり、データを消去したり、ネットワークに流出させたりする「マルウェア」、ワンクリック詐欺やフィッシング詐欺などの「ネットワーク犯罪」、知らぬ間にPCに入り込みキー操作を記録して盗み取る「不正アクセス」など、多くの脅威に囲まれています。これらの脅威からPCを守る方策をお話します。

マルウェアからPCを守る

はじめに、ウイルスを含む悪意あるプログラムの総称「マルウェア」（Malware）のお話しです。不正な（悪質な・有害な・悪意ある）ソフトウェアの総称をマルウェアといいます。コンピュータウイルスはそのひとつです。マルウェアに感染したPCは、動作が不安定になる、起動しない、動作が遅い、勝手にメールを送る、異常終了などの障害が起こります。
マルウェアは、メールの添付ファイルとして迷惑メールで送られてきたり、ネットワーク経由で送信されてきたり、Webサイトから感染したファイルを知らずにダウンロードしてしまったり、というように外部からPCに侵入してきます。マルウェアの感染経路として最も危険なのが、インターネットなのです。
マルウェアからPCを守るためには、以下に示すIPA（独立行政法人 情報処理推進機構）の「パソコンユーザのためのウイルス対策 7 箇条」のように、基本的な事柄を地道に行う以外に対策はありません。

これらの対策は、ウイルス対策ソフトの導入、ブラウザやメールソフトのセキュリティの設定とWindowsやアプリケーションを常に最新の状態にしておくことでほとんど実現することができます。

ウイルス対策ソフト

ウイルス対策ソフトの導入は、マルウェア対策の基本中の基本です。ウイルス対策ソフトは、マルウェアが外部から侵入するのを防いだり、定期的にPC内部を検査して感染しているファイルやデータがないかどうかを調べたりします。
ウイルス対策ソフトは、プログラム本体とウイルスのコードのパターンを定義した定義ファイル（パターンファイルともいいます）のデータベースで構成されます。ウイルス対策ソフトはパターンマッチングと呼ばれる方法で、定義ファイルのデータベースを使って、検査対象のファイルにウイルスと同じパターンのコードが含まれていないかどうかをチェックします。

ウイルスの種類は日々増え続けていますので、それに対応する定義ファイルも日々新しいものが作られます。この定義ファイルは、ウイルス対策ソフトメーカーのWebサイトからダウンロードして、自分のウイルス対策ソフトのデータベースを更新します。
ウイルス対策ソフトは、データベースを自動的に更新する機能、データやファイルにウイルスが含まれていないかを常に監視する機能、自動的にPC内部を検査する機能を備えています。
データベースの自動更新機能で、常に定義ファイルを最新の状態にして新しいウイルスを検出できるようにしておくことができます。ウイルスの監視機能を常時起動させておくことで、受信メールやその添付ファイル、ネットワークから送られてくるファイル、メディアに記録されたファイル、ダウンロードしたファイル等にウイルスが含まれていないかどうか監視し、リアルタイムにマルウェアを検出し、駆除することができます。さらに、定期的にPC内部を検査することで、内部に入り込んだウイルスを検出し、駆除することができるようになっています。

ブラウザのセキュリティの設定

ブラウザのセキュリティ設定を変更することでセキュリティを強化することができます。Internet Explorer 7.0（以降、IEと表記します。）を例にブラウザセキュリティ設定を具体的に説明します。
IEのセキュリティ設定は、「ツール」メニューの「インターネットオプション」で行います。
次の画面は「インターネットオプション」で「セキュリティ」タブを選んだ状態です。

各部分を簡単に説明していきましょう。
最初にWebコンテンツのゾーンごとのセキュリティレベルを設定します。

「レベルのカスタマイズ」で、ActiveXとスクリプトの設定を行います。
ボタンをクリックすると次の画面が表示されます。

ActiveX（ActiveX control、アクティブ・エックス・コントロール）は、以前 OLE コントロール、OCX、OLE カスタムコントロールなどと呼ばれていたアプリケーションの機能を拡張するためのプログラムです。ブラウザの場合、動きのあるWebページの実現や、動画・音声の再生、バナー広告などに広く利用されています。このActiveXの動作を無条件に許可しておくと、悪意あるWebサイトからPCにマルウェアを取り込むのに利用されてしまうことがあります。
スクリプトは簡易なプログラムです。WebサイトやメールのHTMLコードの中に埋め込まれることがあります。ブラウザがHTMLの中のスクリプトを見つけると、自動的にそれを解釈して実行します。JavaScriptはその代表的な例で、動きのあるWebページ、計算機能やスムーズな表示を実現するために多くのWebサイトで利用されています。ブラウザが自動的に実行してしまうので、無条件にスクリプトの実行を許可しておくと、Webサイトに埋め込まれた悪意あるスクリプトを実行し、マルウェアをダウンロードしてしまう恐れがあります。
次表のような設定をお勧めします。

注：「安全マーク」とは、ディスク入出力、メモリおよびレジスタへの直接アクセスをしないActiveXコントロールに付けることができるマーク。マークをつけるのは作者自身なので100％信頼できるわけではありません。

上記のように設定して、ActiveXの制限を厳しくすると、実はWindows Updateさえ利用できなくなります。そこで、通常のサイトは設定した制限を保ったままで、特定のサイトだけActiveXの制限を緩和するために、「信頼済みサイト」への登録を行います。逆に絶対に信頼しないサイトには、ActiveXの制限を強化して「制限付きサイト」に登録します。

ブラウザのセキュリティを丁寧に設定するだけで、かなり強力なマルウェア対策となります。ActiveXやスクリプトを無効に設定するとWebサイトの閲覧はかなり制限されてしまいますが、信頼できるサイト、そうでないサイトをこまめに登録していくことで安全を確保しながら、閲覧の自由度を上げていくことができます。

メールソフトのセキュリティの設定

メールソフトも設定を変更してセキュリティをより強化することができます。Outlook Express 7.0（以降、OEと表記します。）を例にメールソフトのキュリティに関する設定を説明します。
OEのセキュリティ設定は、「ツール」メニューの「オプション」で行います。
次の画面は「オプション」の「セキュリティ」タブを選んだ状態です。

受信メールの重要な設定は、上記の赤い枠の中です。

OEではさらにお勧めしたいのが、受信したHTMLメールをテキスト形式で表示する設定です。
HTMLメールがそのまま表示されると、埋め込まれたスクリプトが実行される可能性が高くなります。さらに、後述するフィッシング詐欺サイトへのリンクのように、画面に表示されたリンク先と実際のリンク先が異なっていても気づきにくいなどの問題があります。テキスト形式で表示すれば、スクリプトやリンク先の問題は解決されます。

また不用意にメールの添付ファイルを開かないようにするために、Windowsのエクスプローラで、「ツール」メニューの「フォルダオプション」で、ファイルの拡張子をすべて表示するように設定します。次の画面は「フォルダオプション」の「表示」タブの画面です。

[登録されている拡張子は表示しない］を無効にします。
こうすると、すべてのファイルの拡張子が表示されます。アイコンを偽装したり、拡張子をわかりづらくしたりするために紛らわしいファイル名を付けたマルウェアを誤って実行してしまうのを避けるためです。フォルダアイコンやテキストファイルのアイコンを偽装し、受信者がダブルクリックすると、実は実行ファイル（拡張子が、.exeや.vbsなどのプログラムやスクリプト）で、その瞬間にマルウェアに感染するといったものが少なくありません。変わった形のアイコンや.exeなどの実行ファイルであれば、開く際に注意する人もフォルダやテキストファイルのアイコンになっていると油断しがちです。

ページの先頭へ

ネットワーク犯罪からPCを守る

Webサイトでボタンをクリックしただけで「会費」を請求されたり、偽装されたWebサイトでパスワードやクレジットカード番号を盗み取られたりする詐欺事件が後を絶ちません。こうしたネットワーク犯罪からPCを守るためのブラウザの機能と、暗号化でセキュリティを確保するSSLの仕組みについてお話しします。

増加するネットワーク犯罪

被害が拡大しているワンクリック詐欺は、迷惑メールや掲示板、アダルトサイトのリンクなどで、ユーザーをWebサイトに誘導し、サイト内のボタンやリンクをクリックさせて、「入会手続きが完了いたしました」などと表示して会費を不当に請求する詐欺です。画面には、有料の会員登録が完了した旨、プロバイダ名やIPアドレス、場合によってはメールアドレスも表示し、ユーザーに個人情報を知られたと思いこませて会費を振り込むように要求します。
海外で大きな被害が発生しているフィッシング詐欺は、銀行やショッピングサイトなど実物に似せて作ったサイトに迷惑メールなどで誘導し、登録情報の更新などと偽ってクレジットカード番号、ID、暗証番号などを入力させて、情報を盗み出す詐欺です。盗み出した番号でカードを偽造して預金を引き出したり、ショッピングの決済をしたりして高額な被害を生じます。
この他に、オークションで商品を受け取って代金を払い込まない、または代金を受け取って商品を送らないオークション詐欺、次点落札者を狙う次点詐欺、ほとんど効果のないウイルス対策ソフトを販売するために、突然、本物によく似た警告画面を表示してユーザーをだます偽ソフトなど、数多くのネットワーク犯罪が報告されています。IPAは、2007年10月の「ワンクリック不正請求」に関する相談件数が369件に達し、過去最高であった2007年8月の330件を超えたと報告しており、ネットワーク犯罪は増加傾向にあります。

ブラウザのフィッシング防止機能

ネットワーク犯罪の増加に対し、ブラウザも犯罪防止のための機能を搭載し始めました。IEやFirefox 2.0、Operaなど最新のブラウザにはフィッシング詐欺サイト検出機能が装備されています。例えば、IEのフィッシング詐欺検出機能は、Microsoftのフィッシングサイトデータベースと照合して、怪しいサイトかどうかを警告するシステムです。

検出機能を有効にして、フィッシングサイトと思われるサイトにアクセスしようとすると、アドレスバーが赤く表示され、警告が出るようになります。

ユーザーを守る証明書とSSL

犯罪から守り、正常なネット上の取引を行うために、安全を確保して通信を行う仕組みがSSL（Secure Socket Layer）です。オンラインショッピングの決済時にクレジットカードの番号を入力するときなど、通常のHTTPプロトコルでの通信では、第三者に傍受される可能性があります。そこで、利用されるのが、ブラウザとWebサーバを暗号化して通信するSSLというプロトコルです。 SSLでの通信中は、ブラウザに鍵のアイコンが表示されます。またアドレス欄には、「http://×××…」の変わりに、「https://×××…」と「s」が付きます。これが、SSLでサーバと通信しているときのURLの表示です。

重要な情報を入力する際には、ブラウザのSSLの鍵アイコンとアドレス欄を確認します。個人情報や決済情報などの入力中に鍵アイコンが表示されない場合は、セキュリティに問題がありますので、入力を中止した方が良いでしょう。また、前述したフィッシング詐欺は、アドレス欄と鍵アイコンを確認すれば見破ることができます。偽サイトでは、ほとんどの場合、通信は暗号化されていません。またよく観察すると、アドレス欄がポップアップなどで偽装されていることが分かる場合があります。
さらに、表示されている鍵アイコンをダブルクリックすると、SSLで使われている電子証明書（実態はSSLサーバー証明書）の内容が表示され、今、アクセスしているURLが正しいかどうか確認することができます。

SSLで使われている電子証明書（SSLサーバー証明書）は、Webサイトの運営組織を独自の方法で確認し、その証しとして、確認した第三者機関が発行しています。つまり、SSLで使う電子証明書が発行されているということでWebサイトの運営者を確認できるのです。
SSL通信の仕組みに触れておきましょう。

SSLでは、ブラウザからの接続要求があると、サーバは「公開鍵」と「秘密鍵」のペアを作り、ブラウザに公開鍵を渡し、この公開鍵でデータを暗号化して送るように要求します。ブラウザは公開鍵を使ってデータを暗号化し、サーバにデータを送ります。
自分の公開鍵で暗号化されたデータを受け取ったサーバは、ペアとなっている秘密鍵で暗号を解読（復号）します。このとき、公開鍵で暗号化されたデータはペアになる秘密鍵でしか復号できない仕組みになっているので、公開鍵が漏れても解読されることはなく安心できるわけです。

ページの先頭へ

不正アクセスからPCを守る

インターネットなどを通じて、不正に他人のPCやWebサイトに侵入することを不正アクセスと言います。最も被害が大きいのが、スパイウェアによるものです。スパイウェアはその名の通り、PCの内部に入り込み、外部にユーザーの個人情報を送信したり、セキュリティのために閉じてあるポートを開放してウイルスを取り込んだりします。

気が付きにくい不正アクセス

スパイウェアは、ウイルスのように他のPCに感染するということはありません。侵入したPC内でのみ活動します。ユーザーの知らないうちに送り込まれるスパイウェアは、静かにPC内部に潜んでおり、ウイルス対策ソフトでも検出は困難です。しかし、ひとたび活動を開始すると、PC内部の個人情報を外部に送信したり、勝手にポップアップウィンドウを表示したり、お気に入りを書き換えたりします。キー操作を記録するキーロガーなどでIDやパスワードなどを盗み出すこともあります。
しかし、異常が発生しなければ、ユーザーはほとんど気が付きません。
万一、PCに次のような症状が現れたときには、スパイウェア侵入を疑ってみた方が良いかもしれません。

不正アクセス対策ソフト

スパイウェア対策の基本もスパイウェア対策用のソフトの導入です。ウイルス対策ソフトに簡易なスパイウェア対策機能を持つものもありますが、ウイルスとは性格が異なりますので不十分なことが多いようです。専用のソフトウェアの導入をお勧めします。
代表的なスパイウェア対策ソフトとして、Microsoft社の「Windows Defender」があります。日本語の正式版が公開されており、Windows Vistaには標準で搭載されています。PC内部に侵入したスパイウェアを検出し、削除します。手動での検査やあらかじめ設定したスケジュールによる定期的な検査によるスパイウェア検出のほか、リアルタイム保護機能によりスパイウェアがインストールされる前にブロックすることもできるようになっています。なお、Windows Defenderは無償でダウンロードして使用することができます。

• Windows Defender

ページの先頭へ

OSもアプリケーションも常に最新の状態で

PCのセキュリティを確保するためには、OS、ブラウザ、プラグイン、アプリケーションをこまめにアップデートして、常に最新の状態を保つようにしなくてはなりません。これは、ソフトウェアの脆弱性（セキュリティ上の欠点）を突いて、ウイルスやスパイウェアが送り込まれる可能性があるからです。ソフトウェアメーカーは発見された脆弱性を修正したセキュリティパッチと呼ばれるプログラムを公開しています。新しいウイルスに最新の定義ファイルで対応するように、新しく発見された脆弱性は最新のセキュリティパッチで修正され、これがアップデートプログラムとして提供されるのです。 特に、ウイルス対策ソフトの定義ファイルは必ず最新の状態にしておくことが必要です。
Windowsやウイルス対策ソフトには自動更新機能が装備されており、この機能を有効にしておけば、日常意識することなくPCを最新の状態に保つことができます。積極的に活用したいものです。

PCのセキュリティは、悪意ある攻撃に対して対症療法的に対応しているのが現実です。新しいウイルスに対して新しい定義ファイル、新手の詐欺手法に対して対応策や対応プログラムというように、悪意ある攻撃の方が常に一歩先というのが現状なのです。こうした状況に対処するためには、ユーザー自身のセキュリティに対する意識が重要です。マルウェアの95％以上がメールまたはメールの添付ファイルによって感染しています。不審な添付ファイルをダブルクリックしない、メールの表示はテキスト形式にするというだけで、ほとんどのマルウェアを防ぐことができるのです。この機会に、ブラウザやメールソフトの設定など目の前のPCについて考えてみてください。

ページの先頭へ

おさらい

• ウイルス対策ソフトの定義ファイルは常に最新のものに更新しておく
• ウイルス対策の基本は、ウイルス対策ソフトの導入・ブラウザの設定・ソフトのアップデート
• SSLはオンラインショッピングなど安全な通信のための仕組み。URLの「https://〜」の「s」とブラウザの鍵アイコンを確認する。
• 不正アクセスには、スパイウェア対策ソフトを導入する。
• OSもアプリケーションも常に最新のものにアップデートしておく

次回はサーバの仕組みについてお話しします。

参考リンク

• IPAセキュリティセンター
• インターネットセキュリティナレッジ
• シマンテック
• トレンドマイクロ
• マカフィー

ページの先頭へ

ページの先頭へ