著作者:storyset/出典:Freepik
脆弱性への対応は早いに越したことはない!
サイバー犯罪の被害は後をたたない。その対策として、「メールの添付ファイルなどをみだりに開かない」「信頼できるセキュリティソリューションをインストールしておく」などは、よく言われていることだ。
しかし、ユーザー側にはどうにもできない問題が存在することもある。たとえば、PCやスマートフォンには、脆弱性(プログラムの不具合や設計上のミスなどが原因となり発生する情報セキュリティ上の欠陥)が発見されることがある。
マルウェア(不正プログラム)の中には、ソフトウェアが予期しない動作をしたり、そもそも動作しなかったりする脆弱性を悪用するものも少なくない。
逆に言えば、脆弱性の対策は、OSやソフトウェアなどを開発・提供するメーカーにとって喫緊の課題となる。脆弱性が発見され次第、セキュリティパッチや改良版へのアップデートなどを提供し、対処することが多い。
たとえばマイクロソフトは、毎月、月例のセキュリティ更新プログラムを公開している(2022 年 11 月のセキュリティ更新プログラム (月例) - Microsoft Security Response Center)。
とくに11月は、悪用が確認された脆弱性も含まれるため、IPA(情報処理推進機構)やJPCERT/CC(JPCERTコーディネーションセンター)なども早急な適用を呼びかけていた(2022年11月マイクロソフトセキュリティ更新プログラムに関する注意喚起)。
PCやスマートフォンのOSのアップデートは、セキュリティ面できわめて大切なものとなる。もっとも、OSのアップデートに関しては、新機能や見た目の変化などが取り沙汰されることが多く、興味がないと後回しにしてしまうかもしれない。
しかし、OSのアップデートを無視することは、さまざまなサイバー犯罪に対して無防備であり続けるようなもの。早めの対応が大切になってくる。
家庭でも企業でもアップデートは重要だ
脆弱性への対策は、PCやスマートフォンの安全を守るだけではない。今日では、それらで操作する機器も多いことに注目しよう。家庭なら、家電や照明など。企業や商店なら、レジやATMなど、多くの機器がインターネットに接続するようになっている。
つまり、インターネットに接続できるものは、サイバー攻撃者にインターネット経由で脆弱性を悪用される危険性もあると認識しよう。
脆弱性への対策を怠ってしまうと、気づかないうちにウイルスに感染させられたり、サイバー攻撃者に乗っ取られたりしてしまう可能性もある。さまざまなものがインターネットにつながる時代、OS、そしてソフトウェアのアップデートはきわめて重要だ。
一方で、ソフトウェアに脆弱性が発見されたとき、インターネット経由ですぐに修正できるメリットもある……と考えることもできる。アップデートしないままデバイスを放置するとサイバー攻撃を受ける可能性があること、ソフトウェアには定期的なアップデートが必要があることを認識する心構えが肝心といえる。
また、脆弱性を悪用されないためにも、よく利用するサービスには、ブラウザのブックマークや、公式のアプリなどからアクセス、ログインするようにする(メールやSMSのリンクから移動しない)、メールに添付されたファイルをよく確認せずに開かないなど、基本的な対策も忘れないようにしたい。
なお、最新情報をチェックしておけば、新しい危機に早く気づくことができるだろう。重要なセキュリティ情報を掲載した情報処理推進機構、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性ポータルサイトの「JVN(Japan Vulnerability Notes)」などをチェックしておくのもよい。
今回は、McAfee Blogの「より安全なオンライン環境を実現するための7つの問いかけ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
より安全なオンライン環境を実現するための7つの問いかけ:McAfee Blog
安全なオンライン環境を実現するためには、インターネットに関する「率直な話し合い」を行う必要があります。
「率直な話し合い」とは、 インターネットにアクセスする場合に、「実際に」どれだけ安全であるかについて率直な意見交換をするということです。どれだけ安全だと「思うか」ということではありません。 この2つには、大きな違いがあります。セキュリティに関するユーザーの意識調査 (2021年) を見ても、それがわかります。
・米国に住む3人に2人 (66%) が、現在のサイバー環境におけるリスクに不安を感じていると回答しています。2010 年から 2019 年にかけて、米国だけで約6,500件のデータ侵害事件が発生し、11億件のデータが流出したにもかかわらず、3人に2人しか危機意識を持っていないというのは驚くべき結果です。
・調査によると、回答者の70%が、2020年に1台以上のネットワーク デバイスを購入しています。ネットワーク デバイスを 3台購入したと答えた人も、約3割います。
・しかし、セキュリティ ソフトウェアを購入したと答えた人は50%しかおらず、セキュリティ ソフトウェアが最新の状態になっているかどうかを確認したと答えた人はわずか25%でした。
・回答者の過半数 (51%) が、オンライン環境で保管されているデータにはどれくらいの価値があるのかについて考えたことはないと答えています。 その一方で、約 90% が、「データを通貨として使用できるのであれば、積極的にデータを保護する」と回答しています。しかし、ブラック マーケット上で個人データを売買するハッカーにとっては、データこそが通貨そのものなのです。
・約3人に1人 (29%) が、サイバー攻撃を防ぐことができるかどうか自信がないと答えています。
これを読んでいるあなたのことについてはわかりませんが、新しいデバイスを購入する人のうち、わずか50%しかセキュリティ ソフトウェアを購入しないというのは驚きです。 あなたもセキュリティ ソフトウェアを購入していないのであれば、安全なインターネット環境について率直な話し合いをする必要があります。
子供や両親など、話し相手がだれであっても、率直な話し合いを行うことにより、パソコン、タブレット、スマートフォンなどのデバイスを適切に保護するための方法を考えるきっかけになります (自問自答でもかまいません)。これが、自分や自分の家族に関する個人情報、財務情報、会社の機密情報などを保護することにつながります。
インターネット セキュリティ
インターネット セキュリティには、話し合いのテーマとなる話題がたくさんあります。 より安全なオンライン環境を実現するための最初のステップとして、以下の質問について考えてみてください。
1) 包括的なセキュリティ ソリューションを使用していますか?
上で紹介したセキュリティ ソフトウェアに関する調査結果を踏まえて、最初はわかりやすい質問から考えてみましょう。包括的なセキュリティ ソリューションを使用すると、ウイルスからデバイスを保護できるだけでなく、さまざまなメリットがあります。 たとえば、不審なダウンロード ファイルやリンクを回避したり、受信ボックスに届く前にフィッシング メールをブロックしたり、個人情報を保護したりすることができます。これらは、ほんの一例です。 また、AndroidデバイスとiOSデバイス (スマートフォンとタブレット) を保護することもできます。 インターネット環境におけるブラウジング操作の約半分が、モバイル デバイスで実行されているという調査結果があります。モバイル デバイスの保護も忘れてはいけません。
2) パスワードの強度は十分ですか?
単純なパスワードを使用していたり、いつも似たようなパスワードを使用している場合は、パスワードについて考え直す必要があります。 データの侵害やハッキングを行う犯罪者は、盗み出したパスワードをブラック マーケットで売買します。こうした被害に遭わないように、強度の高いパスワードを使用する必要があります。 アカウントごとに強度の高いパスワードを個別に作成するというのは、大変なことだと感じるかもしれません。しかし、パスワード マネージャーを使用すれば、パスワードの作成と保管を安全な方法で行うことができます。
3) ファイアウォールと VPN を使用していますか?
ファイアウォールは、デバイスに対する不正なアクセスをデジタル的な方法でブロックするための機能です。現在では、欠かすことのできない機能になっています。 多くの場合、ファイアウォールは包括的なセキュリティ ソフトウェアに付属しています (これも、単純なウイルス対策ソフトウェアではなく包括的なセキュリティ ソフトウェアをお勧めする理由の1つです)。
仮想プライベート ネットワーク (VPN) は、インターネット上で安全な通信を行うためのソフトウェアです。VPNを使用すれば、どこからでも安全に接続することができます。 オンラインバンキングを利用している場合や、インターネット上で財務情報を入力する必要がある場合は、自宅でVPNを使用して保護環境を強化することをお勧めします。 特に、空港、ホテル、カフェなどで公衆 Wi-Fi に接続する場合は、VPNを使用するようにしてください。無料で利用できるこうしたWi-Fiは保護されていない場合が多いため、公衆Wi-Fi に接続されているデバイスや公衆Wi-Fi経由で送受信されるデータをターゲットとするハッカーの格好の標的になります。
4) ソーシャルメディアで必要以上に個人情報を公開していませんか?
ハッカーは、ソーシャル メディアで公開されている細かな情報をつなぎ合わせ、その情報を使用してさまざまな攻撃を行います。 たとえば、個人情報の盗難、ソーシャル エンジニアリング攻撃(ソーシャル メディアで知人などになりすまして行う攻撃)、パスワードの盗難などを行います。 ソーシャル メディアで個人情報の過度な公開(オーバーシェアリング)を避けるには、住所や学校名など、個人の特定につながるような情報を公開しないようにする必要があります。 また、友人や家族以外に自分のプロフィール情報を公開しないようにすることも重要です。
5) 安全な Web サイトと安全ではない Web サイトを見分けることはできますか?
オンラインショッピングやオンラインバンキングなどで重要な情報を入力する場合は、その Webサイトの URLが「http」ではなく「https」で始まっているかどうかを確認してください。この「s」は、「secure」の「s」を表しています。URLが「https」で始まるWebサイトの場合、多くのブラウザーで、URLの前に鍵アイコンが表示されます。このアイコンは、そのサイト上のデータが暗号化されていることを表しています。データを暗号化することにより、安全度が高くなります。
6) アプリケーションとソフトウェアの更新プログラムを定期的に適用していますか?
更新プログラムを適用すると、アプリケーションとソフトウェアを最新の状態に保つことができるだけでなく、多くの場合、セキュリティ機能を拡張することもできます。 可能であれば、デバイスとソフトウェアが自動的に更新されるように設定することをお勧めします。 更新画面が表示された場合は、必ず更新するようにしてください。 簡単な更新操作を実行するだけで、アプリケーションやソフトウェアが攻撃を受けるリスクを減らすことができます。
7) こまめにデータをバックアップしていますか?
もし、大事な写真やファイル、財務に関する記録、重要なプロジェクト データなどがなくなったらどうなるか想像してみてください。きっと、大変な状況になるはずです。精神的なショックを受けるだけでなく、金銭的な被害を受ける可能性もあります。 こうしたことがないように、データはこまめにバックアップする必要があります。 データをバックアップする場合は、評価の高いクラウド ストレージ サービスと、物理的なローカル デバイス (安全な場所に保管されている外付けハード ドライブなど) を組み合わせて使用することをお勧めします。
非常に重要なデータをバックアップする場合は、暗号化されたストレージを使用するという方法もあります。 たとえば、マカフィーのファイル ロック機能を使用すると、パスワードで保護された暗号化ドライブをパソコン上に作成することができます。このドライブは、ロックを解除しない限り画面には表示されないため、財務データなどの重要な情報が含まれているファイルを保管する場合に適しています。
より安全なオンライン環境を実現するための最初のステップは「率直な話し合い」を行うこと
適切な質問を行うことにより、物事が正しい方向に進んでいく場合があります。「率直な話し合い」を通じて、現在のオンライン環境における問題点とその解決方法を見つけてください。 少しだけ時間をとって、オンライン環境についてだれかと話し合ってみてください (自問自答でもかまいません)。安全なオンライン環境を実現するためのヒントがきっと見つかります。
最新情報について
マカフィーについての最新情報を取得して自宅の安全を守る方法に関する情報を得るには、Twitterで@McAfee_JPをフォローし、ポッドキャストHackable?を聴き、Facebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト