長期の休暇に入る前に― STOP、THINK、CONNECT

2013年12月25日

2013年も残すところわずかとなりました。年末年始のお休みを楽しみにされている方も多いと思います。

長期休暇の前には、多くのセキュリティ企業や政府系機関がセキュリティについての注意喚起を出します。これは休暇で社内の人員が少なくなるため事故の発生に気づかないこと、また企業のセキュリティポリシーに守られた環境から、家庭や公衆Wi-Fiなどといった、組織に比べて強固に守られているとは言い難い場所からのインターネットアクセスの機会が増加することで、ユーザーが危険にさらされる確率が上がるからです。

そして、ユーザーに訴えたいメッセージの根幹は、OSの更新、ソフトウェアのぜい弱性の解消、慎重なパスワード管理に集約されます。この三つが重要であることは、すでに多くの方が知っている一方、こういった記事を見るたびに「またか」と思ってしまい、実際に我が身に置き換えてご自身の環境をチェックされる方というのは、もしかしたらあまりいらっしゃらないのではないかと思います。セキュリティとユーザーの利便性は相反することが多く、大抵の場合面倒だからです。

OSやソフトウェアの更新とパスワードの管理が大切であるというメッセージは、この記事でも変わることはないのですが、サイバー犯罪に巻き込まれないためにという視点から、フィッシング対策協議会のセミナーで紹介された「STOP・THINK・CONNECT」という活動についてお知らせします。

stop-think-connect

「STOP・THINK・CONNECT」とは、Anti-Phishing Working Group (APWG)National Cyber Security Alliance (NCSA)が行っている安全にWebサイトへアクセスするためのキャンペーンです。

STOP(一時停止)ネットを使う前に、潜在しているかもしれない問題やリスクについて理解する。

THINK(危険予測)ネットの何のサービスにアクセスするか確認する。もし何か警告を確認したら、そのWebサイトへのアクセスやキーの入力などの行動が、自分や家族に危険を及ぼさないかを考える。

CONNECT(アクセスする)危険を理解し備えたうえで、インターネットを使用する。

「STOP・THINK・CONNECT」の思想は、交差点で一時停止をする、見通しの悪い場所では徐行するなどといった、自動車を運転するときの考え方とよく似ています。これはインターネットで行われるあらゆることにあてはまります。具体的な例を挙げましょう。

1. スマートフォンにアプリケーションをインストールする

ゲームやSNS、バッテリー節約など、さまざまなものがあります。多くの人はインストール時の説明や警告メッセージはあまり確認しません。しかし、つい先日Androidのアプリについて興味深い記事が出ました。Androidの懐中電灯アプリが、GPSを介してユーザーの位置データを収集しており、その情報を転売していたという内容です。

ここではこういったデータが収集されることをEULA(使用許諾書)で明確にしていなかったことが問題になっています。たとえ使用許諾書に「位置データを収集しますよ」と書いてあったとしても、ライトを点灯させるためのアプリがユーザーの位置情報まで取得するのは疑問です。無料で便利なアプリを使用できたものの、それはプライバシーの一部との引き換えだったようです。

使用許諾書に並び、プライバシーポリシーにどういった情報が収集されるか記載するという問題と、集められた情報がどのように運用されるかという問題は、もちろん海外だけではなく、日本においても総務省などが中心となり議論が行われています。

総務省から出された『スマートフォン・プライバシーガイド』では、利用者自身で注意しなくてはならない事柄が簡潔にまとめられており、スマートフォンのサービスの構造を知る、アプリケーションが信頼できるものか知る、利用者情報の許諾(プライバシーに係る情報が何のために集められるか)画面の確認の3点がポイントとして挙げられています。

Kaspersky Labのマルウェアのデータベースに登録されるレコード数は、この1年で104,421件にのぼり、その多くがAndroidを狙っていることがわかっています。

インストールしようとしているアプリケーションが、何の権限を要求しているのか、使用許諾書やプライバシーポリシーの内容を確認してください。

知らない間に自分の情報が勝手に使われていた、マルウェアに感染したということのないよう、アプリケーションをインストールする前に「立ち止まって」考える必要があります。

2.インターネットバンキングの不正送金被害

今年日本で起きたサイバー犯罪の中で、被害の規模が非常に大きかったのは、バンキングマルウェアに感染しIDとパスワードが盗まれ、銀行口座からお金を勝手に送金されるという事件です。こういったマルウェアに感染しないためには、やはりOSの更新とソフトウェアの修正プログラムの適用、セキュリティソフトを導入し最新のシグネチャに更新する、この3点が必須です。さらに、各銀行は独自のセキュリティソフトウェアをユーザーに無償で配布していることも多いので、ぜひ利用を検討してください。

すべての対策を行ったとしても、残念ながらセキュリティに「完全」はありません。しかし、そういった対策を行わなかった場合の危険を予測し備えることは、とても重要です。

 

その他にも、SNSを利用するとき、投稿内容が人目に触れて問題がないものか、インターネットショッピングの際、今見ているのは本物のWebサイトであるかなど、インターネットを利用する上で注意しなくてはいけないことは、枚挙に暇がないほどです。

しかし、総じて言えるのは、フィッシングサイトへの対策だけではなく、すべてのインターネット上の活動において、「STOP・THINK・CONNECT」という行動は有効だということです。そのささやかな慎重さは、危険に満ちたインターネットを楽しいものにしてくれます。

それでは、長期休暇をお楽しみください。