あなたは大丈夫?ホントに怖い『不正アクセス』と『ウイルス感染』その理由と対策を教えます!
「不正アクセスの被害にあい、クレジットカードを不正利用されていました…」
なーんて世にも恐ろしい体験談をみなさんも一度は目にしたことがあるのではないでしょうか。実は私もつい最近、不正アクセスをされてしまったんです。
いつものようにyahooメールにログインすると見慣れない画面にとび、内容を読んでみると…
なんだこれ!?なんで中国からログインしてるんだ!いつ中国に旅行いったっけ!?
とまぁ、冗談を言えるくらいにはこのときも落ち着いてはいましたが、やはり気持ちが悪いことに変わりはありません。
Oh…これはひどい…。
今までログイン履歴を気にしていなかった私が悪いのですが、遊んだこともないゲームに自身のyahooIDを不正利用されていたり、メールアプリへのアクセスに関してはやられたい放題…(苦笑)
こういう体験談はなんとなく心のどこかで他人事のように思ってしまいがちで、実際にこうして被害にあわないと危機意識も生まれにくいんですよね。幸いにも今のところ金銭面での被害は確認できていませんが、さすがにこのまま放置しておくわけにはいかないのでIDとPWの変更、およびワンタイムパスワードの設定をしました。
ところでみなさんはどうでしょうか?こうして実際に被害にあった例を見ると自身のセキュリティ体制は万全なのか…!?と心配になってきたのではないでしょうか?
しかし実際のところ不安ではあるけど、「じゃあ何からすればいいの…?」と頭を悩ませてしまうのではないでしょうか。
ということで、今回はそんな悪意のある攻撃に対する理解を深めてもらうと共に、適切な対策を講じることで被害を最小限に抑える方法をご紹介します。
なぜ『不正アクセス』や『ウイルス感染』の被害にあってしまうの?
そもそも、一切ノーガードで全くの無防備のままPCやスマホを使っている人は少ないとは思います。PCはもちろん、スマホにだって最低限のセキュリティ対策の機能は備わっていますからね。
このうえでさらに万全を期すという意味で別途、ウイルス対策ソフトの導入などをしている人も多いかと思います。私もウイルス対策ソフトのインストールはしており、常に監視をしている状態でした。にも関わらず、なぜこうした被害は後を絶たないのでしょうか?
その理由を以下にいくつかまとめてみました。
ウイルス対策ソフトは無敵ではない
まず勘違いされがちなのは、『ウイルス対策ソフトをインストールしてるから問題ない!』ということです。
もちろん、ソフトが入っていないよりは入っているほうが断然良いことには違いないのですが、残念ながらアンチウイルスソフトだけでは攻撃から身を守り切ることはできません。
しかしそうなると、「でもパッケージにはウイルスの90%以上をブロックできるって書いてあるけど?」という疑問が生まれますよね。
ここが勘違いを生み出す原因と言っても過言ではないのですが、この宣伝に使われる「ウイルスの〇〇%を撃退!」という表現は、実は「(今までに発見された)ウイルスの〇〇%を撃退!」という意味なんです。決して『これから生まれ出される未知のウイルスにも対応できます!』という意味ではないんですね。
ちなみに、その未知のウイルスはどのくらい生まれているのかと言うと、元あるウイルスの派生型なども含めるとなんと1日に100万個が生み出されていると言われています。1日に新種が100万ですよ。これは対応しきれなくても不思議ではないですよね…。
法人組織におけるセキュリティ対策 実態調査 2016年版を発表 | トレンドマイクロ
また、こちらでは超大手のセキュリティベンダーであるトレンドマイクロが毎年、企業を対象に調査した結果が記載されています。内容を見るだけだと「セキュリティ対策が上手くできていない企業は対策したほうがいいんじゃないの?」と言っているだけのようにも見えますが、この調査のには自社の製品を使ってもらっている企業も多く対象になっているはずです。
そうしたなかでHPでこうした情報を提供しているということは、『セキュリティ対策ソフトだけでは完全なものではない』と遠回しに警告をしているという風にも取れます。実際、トレンドマイクロ社では複数の対策を講じることを推奨していますし、過去には『セキュリティ対策を講じていると答えた企業の9割は何かしらのウイルスに感染していた』というデータも発表しています。
(参考ページ:企業の9割が気づかなかったサイバー攻撃 その脅威動向と企業が取るべき次の一手(1))
となるとですよ。私たち個人が行う対策の何十倍も手間と費用をかけているはずの企業もあっという間に被害にあってしまうわけですから、これは一個人の対策ではたかが知れているということの証明になってしまうデータとも言えるわけですね。
自分は特に盗まれて困るようなものはないし…と余裕を見せがち
「別に不正アクセスされようが、ウイルスに感染しようが何も盗まれるものないし大丈夫っしょ!」
って言う人、結構いますよね。いったい何が大丈夫なんでしょう?いつも疑問に思います。
ちょっと想像してみてほしいのですが、例えばあなたが財布を落としたとしますよね。財布の中には大したお金が入っていなかったとして、「別に大金が入っていたわけでもないし、まぁいっか」とケロッとしていられる人はそうそういませんよね。
そのうえ、免許証やポイントカードもろもろも一緒に財布に入っていたらどうですか?『免許証の悪用により身に覚えのないサービスに申し込まれていたら』『個人情報が漏れてしまったことで二次被害的に金銭面へのダメージがあったら』『せっかくポイントも勝手に使われてしまったら』などなど…。さらにクレジットカードやキャッシュカードなんて一緒に落としていようものなら、それこそ大慌てするのではないでしょうか。
ここで話を戻してPCやスマホの不正アクセスについて考えてみると、今やPCやスマホ1台で身の回りのことはすべて済ませてしまえるほど、多種多様なサービスを利用することができますよね。つまりそのぶん、悪用されるとマズい情報もたっぷり詰まっているということです。
これをお財布での例えで言うなればPCやスマホの中身なんて『よくばりフルコース』じゃないですか。それがご自由にお取りくださいってな状態だったらハッカーからすれば悪用するなって言うほうが無理があります。
そのうえ、さらに怖いのは『被害にあうのが自分だけならまだマシである』ということです。PCやスマホの中身が自由に見られるということは、当然ながら連絡先なども筒抜けであるということです。LINEの乗っ取り被害なども一時期大きな話題となりましたが、こうした自分の身の回りの人にも被害が拡大していく原因に紛れもない自分自身が加担してしまうというのは本当に怖いと思いませんか?
気付いたときにはすでに手遅れであることが多い
ウイルス対策ソフトなどを普段からこまめにチェックしているから危機意識は高く持っている!という人でも被害にあってしまうケースは後を絶ちません。
実は最近のウイルスは時限爆弾のように悪さをし始めるタイミングを設定できたり、異物として検知されない程度に動きを抑えることができたりと、かなり高度なものとなっているんです。
そのため我々の目には止まりにくく、実際の侵入から人力で発見されるまでには180日以上かかるとも言われています。半年も居座られたらそりゃ、やられたい放題ですよね。
いわゆるクラッカーと呼ばれる愉快犯が仕掛けてくるような、ただ驚かせて楽しむだけのウイルス(ブラクラなどをイメージしてもらえれば分かりやすい)とは違い、これを生業としているプロのハッカーが使うものはビジネスとして本気で攻撃を仕掛けてくるものであるため、そう簡単に撃退されないように巧妙に作られています。最近では情報を人質にとって実際にWEBマネーを請求してくるランサムウェアなどが有名でしょうか。「いついつまでにお金を振り込まなければ人質のデータは削除するぞ」というえげつない攻撃方法です。
私たちができる対策はどんなものがあるの?
では、ここまであげた例に対して万全の対策を取るにはどうすればいいのかということになるのですが、これは結論から言ってしまうと『セキュリティ対策に万全というものはない』というのが答えです。
いきなり身も蓋もないことを言って拍子抜けさせてしまったかもしれませんが、前述にもある通りマルウェア(悪さをするウイルスの総称)は今やブラックマーケットで一般人でも買えるくらいポピュラーなビジネスとして流通してしまっています。
そのため、このビジネスが成立している限りは新種のウイルスの誕生は収まりませんし、それらを見越して絶対に侵入されないセキュリティ対策ソフトを開発できた企業はノーベルなんとか賞がもらえてしまうくらい、完全に対策をすることは難しいんです。
セキュリティ対策はしっかりと!
「じゃあセキュリティ対策なんてしても無意味なんじゃ…?」と思いたくもなりますが、もちろんそういうわけではありません。ここで重要なキーワードになってくるのは、『いかに攻撃者にめんどくさいと思わせるか』ということです。
どういうことかと言うと、マルウェアや不正アクセスの侵入を防ぎきることは確かに無理かもしれません。しかし、侵入したあとに情報を盗み出す作業に入るわけですが、その作業に対する手間があればあるほどハッカーはどう思うでしょうか?
例えば、鍵をあけたその先にはすぐに金銀財宝がザックザク入っているのが分かっている宝箱と、同じく金銀財宝は入っているけれど、マトリョーシカのように開けても開けてもキリがない宝箱…という2択があったとしたら、当然手間が少ないほうに狙いを定めますよね。
その一撃で何億もの利益になるような大企業に対して攻撃するということであれば話は別ですが、一個人が持っている情報量はたかが知れています。それにターゲットは全世界に何億といるわけです。ともなれば、当然1人あたりにかける時間と手間は最小限に抑えようとしますよね。そのなかで何重にも対策がされている宝箱を空けるというのは、ハッカーからすれば面倒でしかないわけです。1秒でも多く時間をかけるのであればさっさと次のターゲットを探しに行くほうが効率が良いので、結果としてスルーされやすくなるというわけですね。
ではそのためには、どのような対策をすれば良いのでしょうか。
PCのファイアウォール機能はしっかりONに
これはPCに標準装備されているセキュリティ対策機能でもありますが、ファイアウォールはしっかりとONになっていることを確認しましょう。
もちろん、壁を越えようとすればあっという間に越えられてしまいますが、壁を越えるというひと手間を面倒だと思わせるだけでも無防備であるよりは何倍も効果的です。
ちなみにスマホには各メーカー側でファイアウォール(に似た対策)を標準で搭載してくれているため個人でONにする必要はありません。(※海外からの輸入品などはこの類ではありません。)
アンチウイルスソフトを導入する
今は様々な有名メーカーがサービスを提供していますが、メーカーごとの優劣はあまり無いと言われているのでネットでの評判などを参考にしながら自分の好きな対策ソフトを導入すれば問題はありません。ちなみに私は昔からずっと更新し続けているトレンドマイクロのウイルスバスターを使っています。
もちろん何度か例にも取り上げましたが、これ単体で全てをカバーできるわけではありません。しかしそれでも攻撃者側からしてみれば邪魔者であることに違いはありません。
各メーカーも毎年、更新のたびに内容のアップデートをしてくれていて常に最新の状態で防御をする体制を整えることができます。今やウイルス対策ソフトは使っていて当たり前といっても過言ではありません。
無料版のウイルス対策ソフトを良かれと思ってダウンロードしたばかりに、実はそれ自体が罠でウイルスを自分で取り込んでしまったなんてオチもよくある話です。
そういえば更新をし忘れて機能がストップしてしまっているなぁ…とか、無料版は使ってはいるけど…という人はこれを機に是非とも安全で信頼できるメーカーの有償の製品版の導入をしましょう。
IDやPWを複数用意し、複雑なものにしておく
実はウイルス対策ソフトを導入するなどの対策よりも、何よりも効果があるのがログインのための情報を複雑にすることであると言われています。これも正解を特定されないようにするための対策というより、『特定するまでの手間をかけさせることによって諦めさせやすくする』という意味で効果があります。
ただ私自身、これが最大のネックで『複数のIDやパスワードは覚えられないんだよなぁ…』という悩みがありました。同じIDやPWを使いまわすことは危険であると分かってはいても、ついつい覚えやすいものを使ってしまうんですよね。みなさんはどうでしょうか?
しかしこれが冒頭の不正アクセスを実際にされたことによって、考えを改めるキッカケになりました。ログインされたということは、同じものを使いまわしているその他のサイトにもログインできる権利を握られてしまったということですからね。
そこでこれを機にこんな製品の購入をしてみました。
山本美月かわいいなぁ。
…じゃなくて、そんな悩みを解消してくれる『パスワードマネージャー』という優れものをトレンドマイクロが発売しています。
これはその名の通り、自分に代わってパスワードマネージャーがIDとPWを管理して、それを暗号化してくれるので複雑なIDとPWにしても覚える必要がないうえに自動ログインまでしてくれるという、今までのID、PW管理の悩みをまとめて解決してくれるアイテムです。素晴らしい…。
ということで、今の私にとってこれ以上にない素敵アイテムだったのでさっそく購入しました。
HPにアクセスするとさっそく、胸にグサグサ刺さる注意喚起の画像が…。ですよねー(苦笑)
そのうえでパスワードマネージャーの利便性を簡単にまとめた内容も発見。
お上手!売り方がとってもお上手!こんなんついつい手が出ちゃう!
値段も年契約のものと月額契約のものと選べるようなので、月額で利用して気に入れば年契約をするという方法も取れますね。1日あたりジュース1本の値段で安心が買えると思えば安いものだと思います。
今回はまず様子見として1年契約のものを購入しました。画像の『今すぐ購入する』から進むと、まずは登録情報の入力画面が出てきます。ここで自身の情報を登録します。
その後、支払方法の選択があり『クレジットカード決済』『コンビニ決済』『振込用紙での支払い』の3つから選べるようになっていました。ここは継続支払いをすることになった場合にも便利なクレジットカードでの支払いをすることにします。
すると、情報登録時に設定したメールアドレス宛に登録完了のメールがまず届きます。そのうえで、入金の確認が出来次第、製品版のアクティベーションコードが記載されたメールが届きますが、クレジットカードを使用した場合はものの数分ですぐに送られてきました。
そのうえでパスワードマネージャーのアプリケーションをインストールします。
アプリのインストールさえ始まってしまえばあとは基本的には画面の指示に従って情報を入力していくので何も難しいことはありません。
そしてこれが最も重要ですが、このパスワードマネージャーそのものを管理するためのマスターパスワードの設定をします。私はここでかなり悩みましたw
できるだけ他のサイトで使用していない、かつ特定されにくいパスワードを設定するようにと書いてありますが、いざ考え始めるとこれがなかなか思いつかない。けれど簡単なパスワードにしてパスワードマネージャーごと乗っ取られてしまっては元も子もないのでしっかり、自身も忘れにくいPWを作成して登録しました。
ここまでの情報の登録が済めば、あとはインストールしたパスワードマネージャーにマスターパスワードを入力してログインするだけ。これでもう使えるようになりました。
ブラウザに拡張機能として常駐させておくことでいつでもパスワードマネージャー経由で各サイトにログインできるようになりました。IDとPWは暗号化によってセキュアに管理されているので、自動ログインされるとはいえ、ただブラウザに自動記憶させてログイン情報を引っ張り出すような危なっかしい使い方とは異なります。
ちなみに1アカウントでPCとスマホ、タブレットが兼用できるマルチデバイス対応なのでなかなかコスパにも優れています。管理画面はスマホでも同様なので使いやすいですね。
それにしても…。全52個のパスワードのうち42個が安全性が低いとは。いかに今までの管理がずさんだったかというのを改めて思い知らされましたね…w
各サイトの安全度は色別で表示してくれているのでとても分かりやすいです。途中、真っ赤なゾーンとかあって戦慄しました。
そのうえ、万が一のために各サイトのIDやPWをメモする場合にも『セキュアメモ』と言う暗号化されたメモ欄が用意されているので、ここにメモをしておくことで安全に情報の管理ができるということのようです。少なくとも付箋に手描きしてPC周りにペタペタ貼ったり、メモ帳アプリに入力してデスクトップに置いておくよりはよっぽど安全かもしれませんね。
まとめ:何重にも対策することで被害を最小限に抑えよう
さて、いかがでしたでしょうか。
「そんなん言われなくても分かってるわ!」というような方法ばかりだったかもしれません。しかし、その『当たり前の対策』がしっかりできているかどうかが結局のところ、被害をいかに抑えるかということについて重要になってくるんです。
実際に私も頭で分かってはいても、ついつい面倒で対策を講じることを先延ばしにしていました。その結果、今回の不正アクセスに気付くのも遅れてしまったわけです。何なら、しっかり対策をしておくことで未然に防げていたかもしれません。
これを教訓に、個人でもこれからはセキュリティ対策にもう少し関心を持っていこうと思います。
この記事がみなさんの環境を見直すきっかけになってくれれば幸いです。
それでは、しっかりとセキュリティ対策をして素敵なインターネットライフを。