セキュリティ実践講座

インターネットに潜む
リスクとその対策

ネットの脅威は複雑・巧妙・多様化
「人」と「ソフト」の総合的対策が不可欠！


「何の対策もなくパソコンをネットワークに接続すると、わずか数分でリスクにさらされる可能性もある」（セキュリティ対策ソフトメーカー）。それだけ、ネットには多くの危険が潜んでいるのだ。しかも、その脅威はかつての愉快犯的なものに留まらず、犯罪要素の強いリスクが急増しているという。そこでPART1では「ネットにはどんなリスクがあるのか」を検証し、PART2で「その対策」をガイドしよう。

PART１：ネットに潜む具体的なリスク

　80年代後半に初めてコンピューターウイルスが登場して以来、ネット上には様々な脅威が登場してきた。現在のリスクを総括すると、大きくは①ウイルス系、②スパイウエア系、③詐欺系、④不正アクセス系——この4つがあげられる。

　これまでネットの脅威といえば、①のウイルス系がほとんど。ウイルス開発には専門知識を必要とすることから、リスクの意味合いは攻撃者の自己満足的な傾向が強かった。
　実際の被害も、攻撃者がウイルス感染のニュースやパソコンの不具合にユーザーが困る様を見て喜ぶという愉快犯的なもの。セキュリティ対策は、「いかにウイルスを駆除するか」といった視点であり、ソフトメーカーと攻撃者の戦いがメインであった。

　ところが、最近では②のスパイウエア系や③の詐欺系、さらには④の不正アクセス系など犯罪的なリスクが高まっている。被害は悪質な個人情報や金銭のさく取にまで及んでいる。しかも①〜④のリスクが密接に関連し、手口は巧妙化する一方だ。

　特に、③の詐欺系などは、攻撃者がユーザー心理を巧みについた手口であり、その対策としてユーザー側にもセキュリティ知識が求められる。この意味で、前述の4つのリスクを確実に理解しておくことが重要だ。以下、その詳細を見ていこう。

■スパムメールの例

スパム（迷惑）メールは様々なリスクの根源となる。ウイルス系リスクの感染から、スパイウエアの仕込みや不正ホームページへ誘導まで多種多様。とにかく片っ端から捨てていくことが不可欠だ。（写真上）興味本位で添付のURLアドレスをクリックすると感染の可能性も（写真下）不正にお金をだまし取ろうとする詐欺系スパムメール。心あたりがなければ無視すること。

 

件名　：　プロバイダー未納料金の件


以前、お客様の回線接続プロバイダーを通じ、当社ウェブサイト配信プロバイダーをご契約、ご利用され、誠にありがとうございました。しかしながら現在、一部未納料金が残存する事に伴い不本意ながら...
只今、当方よりお客様の回線接続プロバイダーに対し、ご利用履歴の開示を求めると同時に、一部の未納料金に対し間接的通達を現、依頼中ですが、相応の時間が係る事は必至である為、延滞金等が発生する前に大至急解決したく、下記料金センターまでお電話請う。


情報配信プロバイダー　ASK　東京都文京区水道１－５－１０
●●（●●●）●●●●
-----10:00～18:00迄-----


※必ずお電話下さい

 

■ウイルス系リスク

　まず、①のウイルス系とは、パソコンに感染してトラブルを引き起こすことを目的に作られた不正プログラムだ。プログラム自体に害があり感染作用を持つ点で、同じ不正プログラムのスパイウエア系とは異なる。
　感染ルートはスパムメールの添付ファイル開封やあやしいホームページ（以下HP）上の不正プログラム実行、セキュリティホール（パソコンやサーバーなどのシステムでセキュリティ的に脆弱な部分）からの侵入など様々。ファイル交換ソフト（*1）が、ウイルス感染の温床として話題となったことは記憶に新しいだろう。

　その被害はパソコンの不具合、データ／ファイルの破壊や流出、ウイルス付きメールの勝手な送信、個人情報漏えいなど多岐にわたる。スパイウエア系の不正プログラムとの複合タイプも多数登場しており、被害はさらに多様化している。
　ウイルス系には、「ウイルス」「ワーム型ウイルス」「トロイの木馬」といった定番に加え、最近は「BOT（ボット）」や「Antinny（アンティニー）」と呼ばれるタイプが急増中だ。もともと狭義の「ウイルス」は、ファイルなどのプログラムを一部書き換えて潜む寄生（依存性）型プログラムで、感染したファイルを実行することにより被害が発生する。

　これに対し、「ワーム型ウイルス」とは他のプログラムに依存することなく、自己増殖を繰り返しながら破壊活動を行なう不正プログラムだ。作成が簡単なため亜種の登場が早く、その種類が急増しているという。
　例えば、トレンドマイクロがワームの1種類として定義する「ネットワークウイルス」は、ネットにつなぐだけで感染活動を始める。セキュリティホールから侵入し、セキュリティ対策が不十分なパソコンを探して感染活動を行なうだけに、短期間で大規模な被害につながる可能性が高い。感染したパソコンが社内ネットワークに接続されれば被害が広がるため、スパムメールや不正プログラムに加えて、私有パソコンの管理が必要となる。

  「トロイの木馬」（*2）は、名前からイメージできるようにパソコン内部に深く潜み、感染ファイルなどを実行した時点で活動を開始するウイルス。データ消去や外部流出、第三者がパソコンを乗っ取るための手引きをするなど様々な被害の大元だ。ウイルスとスパイウエアの特徴を兼ね備えたやっかいな存在で、正規プログラムに偽装してネットに潜むなど感染ルートも広い。

（*1）ファイル交換ソフト：Winnyなどに代表される個人間で直接ファイル交換を行なうプログラム。ファイル管理用のサーバーを設置することなく、同 ソフトを起動したユーザーを自動検出。目的のファイルを所有するユーザーを探し、求めるユーザーに転送するという仕組みを持つ。
（*2）トロイの木馬：本来は自己増殖しないためスパイウエア系に分類されることもあるが、ワーム複合型など様々な亜種があって、その特徴からウイルス系にもスパイウエア系にも分類される。

悪質なウイルスが増加
　以前、ウイルスの被害といえばパソコンの不具合など個人レベルで完結することが多かった。だが、最近はトロイの木馬のようにパソコンを第三者に操作されてしまうスパイウエア系の脅威を有するウイルスが増えている。代表的なものが05年から急増している「BOT」だ。国内だけで15万台のパソコンが感染（06年度警察白書）しているという。

　BOTは、感染したパソコンをネットワーク経由で遠隔コントロール可能にするウイルス。その被害はスパイウエア的だが、感染作用があるのでウイルスと定義される。感染したパソコンは攻撃者に乗っ取られ、知らぬ間にウイルス／スパムメールの発信源や、個人情報を盗み出す踏み台として悪用されることもある。

  「Antinny」は、少し前に話題となったファイル交換ソフト「Winny（ウィニー）」に蔓延するウイルス。これに感染すると、ファイルや画像が勝手にWinny上の公開フォルダにアップされてしまう。私有パソコンに社内データなどが保存されていた場合、ネット上に漏えいすることになる。また、感染パソコンを社内ネットワークにつないだために、重要データが流出した事件も相次いでいる。

　ファイル交換ソフトは高い匿名性があり、一次配布者の特定が難しいこともあってウイルス添付のファイルをばら撒く攻撃者には絶好の環境である。このためHP上とは比較にならないほど、ウイルスが蔓延しているのだ。多くの企業でWinnyの使用を禁止するなど対策を講じているが、最近は「Share（シェア）」など新たなファイル交換ソフトでも被害報告が増えており、注意が必要である。

 ■ネットに潜む主なリスクの類型と対策               
 ●ウイルス系
[定義]
不正プログラムの1種で、プログラム自身で感染作用を持つもの。プログラム自体に害がある

[主な種類]
ウイルス／ワーム型ウイルス／ネットワークウイルス／BOT／トロイの木馬など

[被害]
パソコンの不具合やデータ破壊、ウイルス付きメールを勝手に送信、個人情報などの漏えい原因に

[ルート]
スパムメール、不正プログラムの実行、セキュリティホール、ファイル交換など

[特に重要な対策]
スパムメール対策／ホームページ対策／セキュリティホール対策に加え、私有パソコンの社内使用禁止などの措置を検討
 

●スパイウエア系
[定義]
不正プログラムの1種で、ユーザーの意図しないプログラムが勝手にインストールされ、意図しない動作を勝手に行なうもの。プログラム自体には害がない

[主な種類]
スパイウエア／アドウエア／ハッキングツール／ジョークプログラムなど

[被害]
不正プログラムの無断インストール、プライバシーの侵害、大量のスパム・広告メールの原因に、パソコン操作の妨害など

[ルート]
スパムメール添付のURL、アダルトサイトや怪しいサイトなど

[特に重要な対策]
スパムメール対策・ホームページ対策。侵入に気づかないことも多く、アンチスパイウエアソフト導入を検討

 

● 詐欺系
[定義]
ネット上の詐欺。不正プログラムではなく、ユーザーの心理的な動揺を喚起したり、偽サイトなどによりお金をだまし取ろうとするもの

[主な種類]
ワンクリック詐欺／ツークリック詐欺／フィッシング詐欺／詐欺的アプリケーションなど

[被害]
詐欺メールによる悪質なサイトへの誘導、お金をだまし取られる、個人情報のさく取、銀行口座から勝手な預金引き出しなど

[ルート]
スパムメール添付のURL、偽ホームページ、偽郵便物など

[特に重要な対策]
スパムメール対策／ホームページ対策／個人情報の入力対策。被害にあったら無視すること。絶対にお金を振り込まないことが重要

●不正アクセス系
[定義]
外部の第3者が無権限で社内ネットワークや個人のパソコンに侵入するもの。ハッキングといい、悪意が強いものはクラッキングともいう

[主な種類]
ハッキング／クラッキング

[被害]
パソコンの不正操作、データ破壊、個人情報のさく取、不正プログラムや詐欺の原因に

[ルート]
セキュリティホール、アクセス権限データの紛失など

[特に重要な対策]
セキュリティホール対策。スパムメール対策や・ホームページ対策により、ハッキングツールの侵入を防ぐことも重要

■スパイウエア系リスク

　②のスパイウエア系は、意図しないプログラムがパソコンにインストールされ、勝手に実行される不正プログラムだ。ただし、プログラム自体に害はなく、悪意的に利用されることで被害が生じる。
　スパイウエア系の不正プログラムは、ネット上で提供されているフリーウエアやシェアウエアをダウンロードした際、あるいはHPにアクセスして勝手にプログラムが実行され、気づかずにインストールしてしまうことが多い。ウイルスに手引きされて侵入するケースもある。

　その被害は、スパイウエアを使って違法収集した個人情報を元に、悪質な勧誘メールを大量に送りつけたり、プログラムを勝手に改ざんするなど軽重様々だ。時に、金銭的な損失につながるケースも報告されている。
　スパイウエア系リスクの主なものに、「スパイウエア」「アドウエア」「ジョークプログラム」「ハッキングツール」などがある。

  「スパイウエア」は、趣味や嗜好などネット上の個人行動を無断で監視するソフト。本来、企業が顧客の嗜好を調査するために同意を得て、パソコン内にインストールするマーケティングツールである。これを悪用して攻撃者が、機密情報などのスパイ活動を行なうのである。
　無断で収集した趣味などの個人情報とメールアドレスなどが出回り、大量の勧誘や広告メールが送りつけられるケースが増えている。また、スパイウエアで特に問題視されているのが「キーロガー」で、キー入力した情報を外部に送信する機能を持つ。パスワードやクレジットカード番号、口座番号などが盗み出されて、預金を引き出されてしまうといった金銭的な被害も報告されている。

  「米国ではパソコン上の行動を監視するモニタリングソフトが多数市販され、これを悪用したスパイウエアの被害が問題となっている。一部、同ソフトの日本語版も出始めており、国内でも同様の被害が増える可能性がある」（ウエブルート）だけに、念頭に置いておきたい。
  「アドウエア」は、強制的にパソコン画面上に広告をポップアップ表示させたり、HPへのアクセス履歴などの情報を収集するプログラム。アフィリエイト（*3）の手段として使われることが多く、悪質なケースでは大量のポップアップ広告による負荷が原因で、業務妨害やパソコン動作の不具合につながる例も増加している。

　スパイウエア系の不正プログラムには、音声や画像、映像などによりユーザーを驚かすことを狙った「ジョークプログラム」といったものもある。その多くは、覚えのない画像が一定間隔で表示されたり、画面上を虫が這いまわるなど、文字通り冗談で済まされる程度のものがほとんど。
　しかし、偽のウイルス感染警告などユーモアの範囲を超えた悪質なケースも見受けられる。ジョークプログラムの仕業と気づかずに業務を停めてしまうなど、ビジネスにも影響を与えかねない。やはり、未然に防ぎたいリスクといえる。

  「ハッキングツール」は、ハッキング技術がなくともパソコンへの不正侵入を可能にするプログラム。もともとはシステム管理者などがシステムの脆弱性をテストするためのツールだ。これが悪用されると、後述する④の不正アクセスを誰もが行なうことができ、データ改ざんや機密情報の流出といった被害につながる。

（*3）アフィリエイト：HP、ブログやメールマガジンなどに企業サイトのアドレスを掲示。ユーザーがそこを経由して商品の購入などをするとHPやブログの管理者に報酬が支払われるシステム。
（*4）トラックバック：ブログ機能の1つで、一般的に別ブログの記事内容を引用・参照した時、あるいは関連性のある話題などの場合に、そのことを通知する仕組み。トラックバックをクリックすることで、引用先などのブログへ移動する

 ■ワンクリック／ツークリック詐欺の例

アンダーグラウンドやアダルトサイトを閲覧していると、年齢を確認するポップアップウインドウが表示されることがある

ツークリック詐欺では、電子消費者契約法に基づいた確認画面が表示される。故意に文字を小さくし、ユーザーの「面倒くさい」という心理に働きかけている。実際、読まないユーザーも少なくない。

 

画面中で「OK」をクリックすると、こうした登録完了の表示が。ワンクリック詐欺の場合、画面上からいきなりこの画面が表示されることも。個人情報をすべて把握したようなニュアンスだが、IPアドレスなどから名前や住所は分からない。スパイウエアなどが仕込まれて個人情報が盗まれるケースもあるが、基本的には無視すること。万一、請求が来ても契約は成立していないので、支払う義務は一切ない。

■詐欺系リスク
　スパイウエア系と共に急増しているのが、③の詐欺系リスクだ。文字通り、ネット上でユーザーを欺いて、金銭をだまし取ることが目的で、実害が及ぶだけに特に注意したい。
　その手口には、スパムメールやあやしいHP上のアドレスから悪質な詐欺的HPに誘導したり、勝手に契約画面を表示して動揺を誘うなど、ユーザー心理を巧みに利用したものが多い。有名ブログのトラックバック（*4）などにリンクされていることもある。BOTウイルスやスパイウエアを巧みに利用するなど、手口は複雑化している。
　詐欺系リスクの主なものに、「ワンクリック詐欺」「ツークリック詐欺」「フィッシング詐欺」「詐欺的アプリケーション」などがある。

  「ワンクリック詐欺」は、認証表示やHPアドレスをワンクリックしただけで、あたかも契約が発生したように見せかける手口だ。アダルトやアンダーグラウンドなどを扱ったHPに多く見られる。
　具体的には、クリックするとプログラムがインストールされているような画面が表示されるが、これはアニメーション技術を利用した偽物。実際には何もインストールされていない。この後、いきなり高額な請求画面が表れて、IPアドレスなど個人情報のさく取や支払いがない場合には法的措置に訴えるといった旨が表示される。
　この契約は「電子消費者契約法」で無効とされており、一切支払う義務はない。だが、知識がないユーザーの中には、思わずお金を振り込んでしまうケースも多いという。お金を払ったり問い合わせをすると実際に個人情報が相手に伝わり、次々と請求がくるなど2次被害につながりかねない。

（*4）トラックバック：ブログ機能の1つで、一般的に別ブログの記事内容を引用・参照した時、あるいは関連性のある話題などの場合に、そのことを通知する仕組み。トラックバックをクリックすることで、引用先などのブログへ移動する

今後、手口はますます巧妙に
　この手口をもう少し巧妙にしたのが「ツークリック詐欺」だ。インストールや請求画面へシフトする前に、契約するかどうかの同意を求める画面を表示する。一見、電子消費者契約法に基づいた請求形態だが、厳密には契約成立要件（*5）を満たしていないため、やはり契約は無効となる。
　同意画面の詳細など読まないユーザーが多いことを巧みに利用した手口で、ワンクリック詐欺以上に心理的に追い詰められることから、だまされる確率が高まるという。

  「フィッシング詐欺」は金融機関や企業、オンラインショッピングの偽メールや偽HPを使い、暗証番号やクレジットカード番号などを入力させて個人情報を盗むもの。カード偽造や預金の無断引き出しの他、偽セールスで商品は送られず、お金だけ取られる被害などが報告されている。
　例えば、有名金融機関などの名をかたった架空のサービスを知らせるメールを送りつけ、安心したユーザーを偽HPに誘導して重要情報を入力させて盗み出すといった具合だ。セキュリティ対策ソフトと偽りスパイウエアを仕込んだCD-ROMを銀行名などで郵送し、インストールしたパソコンの個人情報を外部へ送信させるといった手口も報告されている。

　ここ1年で増加しているのが「詐欺的アプリケーション」だ。代表的な例に、セキュリティ不安を悪用したものがある。詳細はこうだ。
　突然、パソコン画面に「このパソコンはウイルスに感染しています」「重大なシステムエラーが検出されました」といった警告メッセージが、ポップアップ表示。対策ソフトを導入するよう促され、指示通りにダウンロードすると料金を請求される。しかも、セキュリティソフトはまったく効果のない偽物である。

　米国などで先行した被害が国内に流れ込んでおり、「WinAntiVirusPro 2006」「SystemDoctor 2006」「Drive Cleaner 2006」といった詐欺的ソフトが現在までに確認されている。
  「セキュリティ対策ソフトの技術が向上し導入ユーザーが増えていることから、ユーザーを直接攻撃する詐欺的手口が主流になりつつある。パニック状態に陥れ判断力を奪うやり方は振り込め詐欺にも通じ、今後さらに巧妙化し数も増えるだろう」（ソースネクスト）。

（*5）契約成立要件：電子消費者契約法に基づくと、1.購入前に契約が有料であることと具体的な料金の明示、2.契約確認画面でキャンセルできる仕組みの導入、3.契約成立メールの送信の3条件を満たさないと契約は成立しない

 

■詐欺的アプリケーションの例
 

インターネットを閲覧していると、突然（画面上）のようなポップアップウインドウが表示されることがある。 あたかもシステムをスキャンして異常が発見されたように装っているが、ただのアニメーション画面。

 

そして、この後に（画面下）が表示される。エラーに驚い て登録してしまうと、効果のないウイルスソフトを買わされるはめに。そもそも頼みもしていないのに、勝手にパソコンをスキャンすること自体がおかしい。冷 静な判断力を失わないよう、常識と照らし合わせて考えることが重要だろう。

 

■不正アクセス系リスク

　④の不正アクセス系とは、外部の第三者が無権限で社内ネットワークや個人のパソコンに侵入してくるリスクである。
　最も大きな原因は、セキュリティホール。パソコンのOSが持つセキュリティの脆弱性を探し出し、そこから不正に侵入するという手口だ。もともとパソコンマニアなどが、技術や知識力を誇示するために行なっていた愉快犯的なものが主流だった。

　ところが、スパイウエア系で述べたように、「ハッキングツール」などを悪用することで、犯罪者が簡単にパソコンに侵入してしまうことも考えられる。あるいは、物理的にパスワードを書き留めたメモなどの紛失により不正アクセスされるケースもある。
　悪意の第三者による不正アクセスの被害は深刻で、パソコンの不正操作に留まらず、重要なデータを勝手に削除・改ざんされたり、個人情報が盗まれて金銭的な被害を受けるケースも出てくる。

　不正アクセスは「ハッキング」と「クラッキング」と使い分けられることもあるが、基本的には同じだ。厳密にいえば、システム破壊やデータさく取など、より悪質なものをクラッキングと呼んでいる。






■個人情報さく取の手口の例

海外サイトに多いが、ホームページを開くと「おめでとう！あなたが当選しました」といったバナーが表示されることがある。画面は「99万9999人目の訪問者である」とのこと。だが、ここはいつ訪問しても、このバナーが表示されているのだが・・・。

 

上の画面で「CLICK TO CLAME」をクリックすると、表れる画面。個人情報の記入を要求されるが、PART2で詳述しているように暗号化通信に対応しておらず、危険なページの可能性が高い。絶対に情報を書き込んではいけない。
 

 << Part1 | Part2 >>