派手なアップデートの前にやるべきこと
新しいスマートフォンが出ると、その機能や外見など、わかりやすい要素が取り沙汰されることが多い。しかし、そのスマートフォンを動かすOSのセキュリティに関しても、注意しなくてはならないだろう。
PCやスマートフォンには、プログラムの不具合や設計上のミスなどが原因となり発生する情報セキュリティ上の欠陥、「脆弱性」が発見されることがある。とくに、多くの人が注目したり、利用したりするデバイスでは、脆弱性を悪用した被害が大きくなりがちになる。
また、マルウェア(不正プログラム)の中には、ソフトウェアが予期しない動作をする、そもそも動作しないという脆弱性を悪用するものも多い。脆弱性を放っておくと、大きな被害を生むかもしれないのだ。
一方、OSやソフトウェアなどを開発・提供するメーカーは、脆弱性を発見、あるいは報告を受け次第、即座に対応することが多い。セキュリティパッチや、改良版へのアップデートなどを提供し、脆弱性に対処する。
たとえばアップルは9月7日、「iOS 16.6.1」をリリースした。本アップデートは重要なセキュリティー修正が含まれ、すべてのユーザーに推奨される(iOS 16.6.1 および iPadOS 16.6.1 のセキュリティコンテンツについて - Apple サポート (日本))。
「iOS 16.6.1」のアップデート画面
このアップデートには、「悪意を持って作成された画像を処理すると、任意のコードが実行される可能性」「悪意を持って作成された添付ファイルにより、任意のコードが実行される可能性」という脆弱性の修正が含まれている。
OSやアプリなどのアップデートは、新機能やUIの変化など、目新しい要素が注目されがちだ。しかし、脆弱性への対策を怠ると、気づかないうちにサイバー攻撃者に乗っ取られたり、意図しない動作が悪用されたりしてしまう可能性もある。
脆弱性を悪用されないためにも、基本的な対策は大切
インターネットに接続するのが当たり前の現代では、OSやソフトをアップデートしないままデバイスを放置すると、サイバー攻撃に遭う可能性は高まってしまう。面倒がらずに、セキュリティ関連のアップデートは必ず適用しておこう。
もちろん、アップデートをしっかり適用していても、不注意でサイバー攻撃の被害に遭う可能性もある。たとえば、メールに添付されたファイルをよく確認せずに開いたり、SNSでよく知らない相手からのDMに付されたリンクにアクセスしたりしないこと。そこから脆弱性を突かれたり、サイバー攻撃の被害に遭うことはめずらしくない。
日頃から利用するサービスには、ブラウザのブックマークや、公式のアプリなどからアクセスし、ログインするように心がけたい。つまり、メールやSMSのリンクから移動しないということだ。
脆弱性を悪用されないためにも、基本的な対策は大切。アップデートなどはもちろんのこと、スマートフォンやPCなどに、信頼できるセキュリティソリューションを導入しておこう。
なお、最新情報をチェックしておくことで、新しい危機にも気付きやすくなる。ソフトウェアなどの脆弱性関連情報とその対策情報を提供する脆弱性ポータルサイトの「JVN(Japan Vulnerability Notes)」や、重要なセキュリティ情報を掲載した「IPA(情報処理推進機構)」などを巡回する習慣をつけておくのもよい。
今回は、McAfee Blogの「より安全なオンライン環境を実現するための7つの問いかけ」を紹介しよう。(せきゅラボ)
※以下はMcAfee Blogからの転載となります。
より安全なオンライン環境を実現するための7つの問いかけ:McAfee Blog
安全なオンライン環境を実現するためには、インターネットに関する「率直な話し合い」を行う必要があります。
「率直な話し合い」とは、 インターネットにアクセスする場合に、「実際に」どれだけ安全であるかについて率直な意見交換をするということです。どれだけ安全だと「思うか」ということではありません。 この2つには、大きな違いがあります。セキュリティに関するユーザーの意識調査 (2021年、英語) を見ても、それがわかります。
・米国に住む3人に2人 (66%) が、現在のサイバー環境におけるリスクに不安を感じていると回答しています。2010 年から 2019 年にかけて、米国だけで約6,500件のデータ侵害事件が発生し、11億件のデータが流出(英語記事)したにもかかわらず、3人に2人しか危機意識を持っていないというのは驚くべき結果です。
・調査によると、回答者の70%が、2020年に1台以上のネットワーク デバイスを購入しています。ネットワーク デバイスを 3台購入したと答えた人も、約3割います。
・しかし、セキュリティ ソフトウェアを購入したと答えた人は50%しかおらず、セキュリティ ソフトウェアが最新の状態になっているかどうかを確認したと答えた人はわずか25%でした。
・回答者の過半数 (51%) が、オンライン環境で保管されているデータにはどれくらいの価値があるのかについて考えたことはないと答えています。 その一方で、約 90% が、「データを通貨として使用できるのであれば、積極的にデータを保護する」と回答しています。しかし、ブラック マーケット上で個人データを売買するハッカーにとっては、データこそが通貨そのものなのです。
・約3人に1人 (29%) が、サイバー攻撃を防ぐことができるかどうか自信がないと答えています。
これを読んでいるあなたのことについてはわかりませんが、新しいデバイスを購入する人のうち、わずか50%しかセキュリティ ソフトウェアを購入しないというのは驚きです。 あなたもセキュリティ ソフトウェアを購入していないのであれば、安全なインターネット環境について率直な話し合いをする必要があります。
子供や両親など、話し相手がだれであっても、率直な話し合いを行うことにより、パソコン、タブレット、スマートフォンなどのデバイスを適切に保護するための方法を考えるきっかけになります (自問自答でもかまいません)。これが、自分や自分の家族に関する個人情報、財務情報、会社の機密情報などを保護することにつながります。
インターネット セキュリティ
インターネット セキュリティには、話し合いのテーマとなる話題がたくさんあります。 より安全なオンライン環境を実現するための最初のステップとして、以下の質問について考えてみてください。
1) 包括的なセキュリティ ソリューションを使用していますか?
上で紹介したセキュリティ ソフトウェアに関する調査結果を踏まえて、最初はわかりやすい質問から考えてみましょう。包括的なセキュリティ ソリューションを使用すると、ウイルスからデバイスを保護できるだけでなく、さまざまなメリットがあります。 たとえば、不審なダウンロード ファイルやリンクを回避したり、受信ボックスに届く前にフィッシング メールをブロックしたり、個人情報を保護したりすることができます。これらは、ほんの一例です。 また、AndroidデバイスとiOSデバイス (スマートフォンとタブレット) を保護することもできます。 インターネット環境におけるブラウジング操作の約半分が、モバイル デバイスで実行されているという調査結果があります。モバイル デバイスの保護も忘れてはいけません。
2) パスワードの強度は十分ですか?
単純なパスワードを使用していたり、いつも似たようなパスワードを使用している場合は、パスワードについて考え直す必要があります。 データの侵害やハッキングを行う犯罪者は、盗み出したパスワードをブラック マーケットで売買します。こうした被害に遭わないように、強度の高いパスワードを使用する必要があります。 アカウントごとに強度の高いパスワードを個別に作成するというのは、大変なことだと感じるかもしれません。しかし、パスワード マネージャーを使用すれば、パスワードの作成と保管を安全な方法で行うことができます。
3) ファイアウォールと VPN を使用していますか?
ファイアウォールは、デバイスに対する不正なアクセスをデジタル的な方法でブロックするための機能です。現在では、欠かすことのできない機能になっています。 多くの場合、ファイアウォールは包括的なセキュリティ ソフトウェアに付属しています (これも、単純なウイルス対策ソフトウェアではなく包括的なセキュリティ ソフトウェアをお勧めする理由の1つです)。
仮想プライベート ネットワーク (VPN) は、インターネット上で安全な通信を行うためのソフトウェアです。VPNを使用すれば、どこからでも安全に接続することができます。 オンラインバンキングを利用している場合や、インターネット上で財務情報を入力する必要がある場合は、自宅でVPNを使用して保護環境を強化することをお勧めします。 特に、空港、ホテル、カフェなどで公衆 Wi-Fi に接続する場合は、VPNを使用するようにしてください。無料で利用できるこうしたWi-Fiは保護されていない場合が多いため、公衆Wi-Fi に接続されているデバイスや公衆Wi-Fi経由で送受信されるデータをターゲットとするハッカーの格好の標的になります。
4) ソーシャルメディアで必要以上に個人情報を公開していませんか?
ハッカーは、ソーシャル メディアで公開されている細かな情報をつなぎ合わせ、その情報を使用してさまざまな攻撃を行います。 たとえば、個人情報の盗難、ソーシャル エンジニアリング攻撃(ソーシャル メディアで知人などになりすまして行う攻撃)、パスワードの盗難などを行います。 ソーシャル メディアで個人情報の過度な公開(オーバーシェアリング)を避けるには、住所や学校名など、個人の特定につながるような情報を公開しないようにする必要があります。 また、友人や家族以外に自分のプロフィール情報を公開しないようにすることも重要です。
5) 安全な Web サイトと安全ではない Web サイトを見分けることはできますか?
オンラインショッピングやオンラインバンキングなどで重要な情報を入力する場合は、その Webサイトの URLが「http」ではなく「https」で始まっているかどうかを確認してください。この「s」は、「secure」の「s」を表しています。URLが「https」で始まるWebサイトの場合、多くのブラウザーで、URLの前に鍵アイコンが表示されます。このアイコンは、そのサイト上のデータが暗号化されていることを表しています。データを暗号化することにより、安全度が高くなります。
6) アプリケーションとソフトウェアの更新プログラムを定期的に適用していますか?
更新プログラムを適用すると、アプリケーションとソフトウェアを最新の状態に保つことができるだけでなく、多くの場合、セキュリティ機能を拡張することもできます。 可能であれば、デバイスとソフトウェアが自動的に更新されるように設定することをお勧めします。 更新画面が表示された場合は、必ず更新するようにしてください。 簡単な更新操作を実行するだけで、アプリケーションやソフトウェアが攻撃を受けるリスクを減らすことができます。
7) こまめにデータをバックアップしていますか?
もし、大事な写真やファイル、財務に関する記録、重要なプロジェクト データなどがなくなったらどうなるか想像してみてください。きっと、大変な状況になるはずです。精神的なショックを受けるだけでなく、金銭的な被害を受ける可能性もあります。 こうしたことがないように、データはこまめにバックアップする必要があります。 データをバックアップする場合は、評価の高いクラウド ストレージ サービスと、物理的なローカル デバイス (安全な場所に保管されている外付けハード ドライブなど) を組み合わせて使用することをお勧めします。
非常に重要なデータをバックアップする場合は、暗号化されたストレージを使用するという方法もあります。 たとえば、マカフィーのファイル ロック機能を使用すると、パスワードで保護された暗号化ドライブをパソコン上に作成することができます。このドライブは、ロックを解除しない限り画面には表示されないため、財務データなどの重要な情報が含まれているファイルを保管する場合に適しています。
より安全なオンライン環境を実現するための最初のステップは「率直な話し合い」を行うこと
適切な質問を行うことにより、物事が正しい方向に進んでいく場合があります。「率直な話し合い」を通じて、現在のオンライン環境における問題点とその解決方法を見つけてください。 少しだけ時間をとって、オンライン環境についてだれかと話し合ってみてください (自問自答でもかまいません)。安全なオンライン環境を実現するためのヒントがきっと見つかります。
最新情報について
マカフィーについての最新情報を取得して自宅の安全を守る方法に関する情報を得るには、Twitterで@McAfee_JPをフォローし、ポッドキャストHackable?を聴き、Facebookで「いいね」を押してください。
※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。
■関連サイト
