セキュリティニュース
6月には、幅広いニュースをお伝えしました。Google Chromeの新たな拡張機能、GameOver Zeusボットネットの話題…。Kaspersky Dailyの6月の記事を見逃した人は、このまとめ記事を読んで追いつきましょう。
Chromeブラウザーから送信される全データを暗号化する拡張機能
Googleは先日、同社発信の「透明性レポート」に、「配信中のメールの暗号化」という項目を追加しました。このレポートによれば、メール送信者と受信者の間を通るGmailトラフィック(世界規模)の30%ほどが暗号化されていないことがわかりました。この事態を修正すべく開発されたのが、Chromeブラウザーから送信されるデータをすべて暗号化する、End-to-Endという拡張機能です。ご記憶の人もあるかと思いますが、Googleは数か月前まで自社データセンター内のサーバー間を暗号化していませんでした。今では、Gmailで送ったメールは、コンピューターからブラウザーを通ってGoogleのサーバーに到達するまでの間、さらに同社のサーバー間、さらにそこから外に出て行くまでの間、暗号化されるようになっています。データがGoogleの管理下を離れた後に暗号化されるかどうかは、データを処理するプロバイダー次第です。新ツール「End-to-End」の目的は、暗号化ツールを誰でも簡単に利用できるようにすることです。これによって、ユーザーは送信中のデータを確実に暗号化することができます。
コンピューターもスマートフォンもランサムウェアの標的に
いまやランサムウェアは、サイバー犯罪者にとって手軽な商売道具となりました。そして、「CryptoLocker」というランサムウェアに似た手口がスマートフォンにも波及しつつあります。iOSデバイスはAppleの「iPhoneを探す」を利用してロックされ、AndroidデバイスについてはCryptoLockerのモバイル版「Pletor.a」が現れました。ただし、こうした手口からコンピューターやスマートフォンを保護するためにできることは数多く存在します。コンピューターの場合は、強力なインターネットセキュリティ製品をインストールし、オンラインにデータのバックアップを取っておくことも忘れないようにしましょう。スマートフォンを守るには、強力なセキュリティアプリをインストールします。Google Playやベンダーの公式サイトから購入するようにしてください。また、サードパーティアプリのインストールを無効にして、信用のおけるところからしかアプリをダウンロードしないようにします。さらに、アプリをインストールするときは、アプリが要求してくる権限を確認します。最後に、Google DriveやDropboxのようなクラウドストレージをうまく使って、写真やその他ファイルのバックアップを作成します。
GameOver Zeusボットネット「閉鎖」–いま成すべきこと
GameOver Zeus(FBIの言う「これまでになく精緻で害をなすボットネット」)の発見と閉鎖を受け、シニアセキュリティリサーチャーであるデイヴィッド・エム(David Emm)はGameOver Zeus攻撃の背後にいる攻撃者が2つのマルウェアを使っていたことを説明しました。そのマルウェアとはZeusとCryptoLockerで、何十万もの変種が存在します。本件がこれまでの事例と異なるのは、このボットネットを指揮統制する指令サーバーのコントロールを警察が握り、無効化できたことです。この攻撃に対抗するため、データを定期的にバックアップして、CryptoLockerに感染してしまったときでも身代金を支払わずに済ませられるようにしておくことをエムは勧めています。金融情報を(金銭を盗むために設計されたZeusなどのマルウェアから)守るには、いくつかの対策を採ることが重要です。知らない人から届いたメールやSNSメッセージにあるリンクはクリックしないようにしましょう。よくわからないファイルはダウンロードせず、開かず、コンピューター上に置いておかないようにします。また、保護のかかっていない(公共の)Wi-Fiネットワークでは金融取引をしないこと。ログイン情報や重要情報を入力する前には、自分が入力しようとしているWebサイトが本物かどうか常に確認してください。ブラウザーのアドレスバーを見て、URLが「https」で始まっているかどうかも確認します。最後に、最新のITセキュリティソフトウェアをインストールします。そして、金融取引に使うスマートフォンやタブレットにも同様のセキュリティソフトウェアをインストールしましょう。
アプリストア利用の3つの黄金律
アプリストアにはゲームやツールが数限りなく揃っていますが、危険も多く潜んでいます。低品質のアプリや、高額課金や、悪質アプリ…Androidデバイスの場合は特に注意が必要です。
どのOSを使っている人も、ここで紹介する3つの黄金律を守って、アプリストアを安全に利用しましょう。
- コミュニティの情報を活用してアプリの信頼性を評価しましょう。リリースされたばかりのアプリはダウンロードしないでください。レビューが1件もないアプリや、ネガティブな内容のレビューをいくつも書かれているアプリ、また、今まで一度もダウンロードされていないアプリも避けましょう。
- アプリの購入にはパスワードを設定するか、生体認証による保護を設定しましょう。AppleもGoogleも、自社アプリストアでの購入やアプリ内課金をパスワードで保護する機能を提供しています。また、両社ともに何らかの形で生体認証による保護機能を利用できるようにしています(OSに組み込まれている場合と、アプリで提供される場合があります)。
- デバイス内に持つアプリの数を絞ることはとても重要です。アプリの数が多いほどスマートフォンの動作効率が下がりますし、数が多いほど個々のアプリを使う頻度は落ちます。
Androidに関しては、ヒントをもう1つ。Androidプラットフォームを狙う悪意あるアプリが大量に存在するため、Androidユーザーにはさらなる対策が必要です。各アプリが求めてくる権限をしっかり確認し、明らかに必要以上の情報を要求してくるアプリは利用しないでください。また、モバイル向けのセキュリティ製品を利用して、新しいアプリの安全性をチェックし、デバイスを最新のモバイルマルウェアの脅威から守りましょう。Kaspersky Labにはそのための製品があります。
2段階認証とは何か?どんなアカウントで使うべきか?
2段階認証は、さまざまなオンラインサービスで使われています。ユーザーに2種類の認証情報を要求することにより、アカウントへログインする際のセキュリティを強化するのが目的です。1段階目で要求される認証情報は、パスワードであることが一般的です。2段階目で要求される認証情報はさまざまですが、最も一般的なのは、SMSかメールで送られてくるコードです。2段階認証はアカウント乗っ取り防止の万能薬ではありませんが、強固な障壁にはなり得ます。では、どのアカウントで2段階認証を使うべきでしょうか。2段階認証をいつ、どこで有効にするかの判断基準はシンプルです。検討対象のサービスが2段階認証に対応していて、そのアカウントが重要だと思う場合は有効にしてください。
ヒント