巷では、オンラインセキュリティの問題がたびたびニュースとなっています。サイバー犯罪者が次々と新手を繰り出してくる中、皆さんはどんな対策をとっていますか？

皆さんが日常的に使っているパスワードは、メール用でもSNS用でもオンラインバンキング用でも、サイバー犯罪者にとって価値あるものです。なぜかと言えば、盗んだアカウントはどんなタイプのものであれ、不正行為を働くのに利用できるからです。サイバー世界の泥棒たちは、パスワードを大手企業のサーバーから直接盗むこともあれば、エンドユーザーのコンピューターから盗むこともあります。セキュリティの調査研究者たちは最近、200万件ものパスワードを含むデータベースを発見しました。Ponyボットネットが収集したパスワードのデータベースです。このボットネットに関係するマルウェアがコンピューターに感染し、手に入る限りの（保存された）パスワードをWebブラウザーやメールクライアントやFTPクライアントからかき集め、サイバー犯罪者へ送っていたのです。最終の宛先がわからないようにプロキシサーバーを使って。 このハッキングでは、よく使われているサービスのパスワードが集められていました – Facebook、Yahoo!、Gmail、Twitter、LinkedIn、そしてロシアの国内SNSであるOdnoklassniki とVkontakteも。 本件の規模が大きいことを考えると、上記サービスを利用している人は、自分のパスワードが大丈夫かどうか考えたほうがよさそうです。 GmailやFacebookのアカウントが盗まれるのは、マルウェアの攻撃を受けた場合に限りません。たとえば友達のコンピューターや、空港やホテルに設置された共有のコンピューターから、ちょっとメールチェックしたことはありませんか？使ったコンピューターが感染していたとしたら、パスワードのどれかがハッカーの手に落ちている可能性が大です。それだけでもいやな話ですが、いくつかのオンラインサービスで同じパスワードを使っていたならば、もっと問題は大きくなります。ちょっと賢い人なら、Gmailのログイン情報（たとえばメールアドレス「alex@gmail-com 」パスワード「123456」）をFacebookやTwitterへのログインに試してみようとすぐに思いつくでしょう。残念なことに、これがうまくはまることがとても多いのです。B2B Internationalがこの夏に行った調査では、自分の持っているアカウントに対して使うパスワードの数が片手で足りる程度だという人が39%もいました。つまり、同じパスワードを複数のサービスで使っているということです。 B2B Internationalがこの夏に行った調査では、自分の持っているアカウントに対して使うパスワードの数が片手で足りる程度だという人が39%もいました。つまり、同じパスワードを複数のサービスで使っているということです パスワード盗難の頻度が上がっていることから見て、パスワード使いまわしの習慣がもたらすリスクは高まる一方です。特に、通常のオンラインバンキングから、Gmailの添付ファイルを使った振替手続きに至るまで 、日常的に金融取引をオンラインで行っているのであれば、改めて言うまでもないでしょう。こうして、さほど実害のなさそうなTwitterパスワードの流出が、最終的には実際の金銭的被害につながっていくのです。 この問題に対処するため、私たち皆がやらなければならないことは？まず、古いパスワードを変更すること。オンラインサービスのアカウントごとに、別々のパスワードを設定すること。全部のパスワードを覚えるのが大変であれば、特別なツールの力を借りること。同じパスワードを何回も使うという贅沢は、もはや「古き良きインターネット時代」のものです。これから起こり得るパスワード盗難の被害者とならないために、Kaspersky Labのチーフセキュリティエキスパートであるアレックス・ゴスチェフのアドバイスを、ぜひ実践してください： しっかりとしたアンチウイルス製品を使う。 ソフトウェアを定期的にアップデートする。特に、次のものについてはこまめなアップデートを：Windows、Webブラウザー、PDFの表示に使う一般的なアプリケーション、Flash、Javaアプレット。 常にセキュリティを念頭に置く。普段連絡してこない友人から何かのリンクが送られて来たり、送ってきそうもないものが友人から届いたりしたら、怪しいと思った方がよいでしょう。本当に送ったのか本人に聞いてみれば、友人のアカウントがハッキングされていないかどうかの確認になります。 リンクには慎重になる。よく知られたWebサイトのドメイン名に変な記号が混ざっていたり、スペルが違っていたりしたら要注意。悪意あるフィッシングサイトへリダイレクトされる可能性を示すサインです。知らない人からの友達申請は受けないようにして、怪しいと思われるリンクはクリックしないように心がけましょう。 複雑なパスワードを設定する。また、アカウントごとに別のパスワードを作るようにしてください。どういうパスワードが十分に強力なものなのか、カスペルスキーのオンラインサービスで確認できますのでご参考にどうぞ！

オンラインショップは、すべてが信頼できるものとは限りません。もっともらしく作られた偽サイトや偽物を販売するサイトに引っかからないよう、見分けるポイントを知っておきましょう。

銀行カードのPINコードを盗むさまざまな方法については、ご存じの方も多いはず。ATMでお金をおろすときは、入力キーパッドに仕掛けがないか、こっそりカメラが仕掛けられていないか、気を配るようにしていることでしょう。なのに、同じことをインターネット上でやるときは、なぜそうした注意深さを忘れてしまうのでしょう？ 個人データ（オンラインバンキングのアカウントにログインするときのIDやパスワードなど）を普通のキーボードから入力することには、スパイウェアによって入力データが盗み取られる危険性がつきまといます。こうしたスパイウェアは、どのキーが押されたかを記録し（つまり、キーボードから入力されたデータを捕捉し）、悪い奴らに送るのです。 カスペルスキー 2014 マルチプラットフォーム セキュリティには、キー入力を仮想のキーボードから入力することで入力情報を盗られないようにする「セキュリティキーボード」という機能があります。   セキュリティキーボードから情報を入力するには： メインウィンドウ右下隅にある矢印をクリックし、表示された画面から［セキュリティキーボード］をクリックします。セキュリティキーボードが起動します。 データ入力フィールドにカーソルを置きます。 セキュリティキーボード上のキーをマウスでクリックして、データを入力します。 ファンクションキー（Shift、Alt、 Ctrl）をクリックすると、特殊な入力モードに切り替わります（Shift をクリックすると入力文字がすべて大文字になる、など）。モードを元に戻すには、同じファンクションキーをもう一度クリックしてください。   セキュリティキーボードの言語を切り替えるには： 通常のキーボードでCtrlキーを押し、セキュリティキーボードのShiftキーをクリックします または 通常のキーボードでShiftキーを押し、セキュリティキーボードのAltキーを右クリックします   キーの組み合わせを使用するには： 組み合わせの最初のキーをクリックします（例：Alt＋F4を使う場合はAlt） 次のキーをクリックします（例：Alt＋F4を使う場合はF4） 最初のキーをもう一度クリックします（例：Alt＋F4を使う場合はAlt） セキュリティキーボード上で行う2回目のクリックは、通常のキーボードでいえば、押下していたキーを放すアクションにあたります 拡張版のセキュリティキーボードを開くには、キーボードの右上隅にある矢印をクリックしてください。 注記： データ入力先のWebサイトがハッキングされていると、セキュリティキーボードでもデータを守ることができません。直接、サイバー犯罪者へデータが送られてしまいます。 セキュリティキーボードの機能を利用できるのは、次のブラウザーを利用している場合です：Microsoft Internet

Neverquestは銀行を狙う（バンキング型）トロイの木馬の新種です。ソーシャルメディア、メール、FTPによって拡散し、オンラインバンキングなど数多くの金融サイトを認識する能力を持っています。感染したユーザーが金融サイトにログインしようとすると、Neverquestがそれに反応し、自動的に起動して認証情報を盗みます。 Neverquestは、盗んだ認証情報を指令サーバーに送信します。認証情報を受け取った攻撃者は、その情報を使ってVirtual Network Computing（VNC）から該当口座にログインできるようになります。VNCは共有デスクトップシステムであるため、犯罪者は被害者のコンピューターを使って被害者のオンラインバンクにログインし、盗みを働くことになります。そのため、銀行側で正規ユーザーと犯罪者を見分けることはできません。 Kaspersky Labは先日、このトロイの木馬がすでに何千台ものコンピューターに感染していることを発表しました。しかし、マルウェアエキスパートのセルゲイ・ゴロバーノフ（Sergey Golovanov）が説明するように、効率的で汎用的な自己複製機能があるため、年末年始にかけてさらに多くの被害が出る恐れがあります。実際のところ、2009年にBredolabというマルウェアが今のNeverquestと同じ拡散の手法を使っていました。Bredolabはその後、インターネット上で3番目に拡散したマルウェアとなっています。 ゴロバーノフはSecurelistの分析記事で次のように説明しました。「（Neverquestが内蔵している、Webサイトの）リストに載っているサイトへ、感染したコンピューターからアクセスすると、ブラウザーとサーバーとの接続が乗っ取られます。」「攻撃者は、ユーザーが入力したユーザー名とパスワードを手に入れることができるだけでなく、Webページのコンテンツを改ざんすることも可能です。ユーザーが入力したデータは、改ざんされたWebページに入力されることとなり、攻撃者へと送られます。」 口座を掌握した攻撃者は、その口座の残高を、攻撃者が管理する口座へそっくり移すことが可能です。しかし多くの場合、盗んだお金は複数被害者の口座を経由して移される、とゴロバーノフは指摘します。このように、ある被害者の口座から別の被害者の口座にお金を移すというプロセスを何度か繰り返し、最終的に自分たちの口座に移動させることで、活動を追跡されにくくしているのです。 ある被害者の口座から別の被害者の口座にお金を移すというプロセスを何度か繰り返し、最終的に自分たちの口座に移動させることで、活動を追跡されにくくしているのです Neverquestは少なくとも1つの闇フォーラムで販売されています。影響を受けるのはInternet ExplorerとMozilla Firefoxを使っているユーザーだけのようですが、Neverquestの作成者は「どんな国のどんな銀行でも」攻撃できるように変更可能だと豪語しています。 このマルウェアには、感染したユーザーがネットサーフィンしているときに、銀行に関する特定のキーワードを検索する機能もあります。このようなキーワードが含まれるサイトにアクセスすると、Neverquestが自動的に起動してユーザーの通信内容を傍受し始め、攻撃者にその情報を送信します。訪問したサイトが銀行だった場合、そのサイトはNeverquest のWebサイトリストに加えられます（このリストにあるサイトにアクセスするとNeverquestが自動的に起動）。リストの更新情報は、Neverquestの指揮統制インフラストラクチャから、感染したすべてのコンピューターに送られます。 今回のレポートによると、世界最大級の投資信託会社のWebサイトであるFidelity.comが、Neverquestの最大の標的の1つのようです。 ゴロバーノフはSecurelistで次のように書いています。「Fidelity.comでは、金融資産をオンラインで管理する方法が数多く提供されています。そのために、現金資金が攻撃者の口座に送られるだけでなく、被害者の口座とお金を使って株式取引をされてしまう恐れがあります。」 Neverquestは、感染したユーザーがGoogle、Yahoo、Amazon AWS、Facebook、Twitter、Skypeなど、金融関係以外のサイトを訪問したときにもデータ収集を開始するように設計されています。 「例年、クリスマスや年末年始の休みの前は、悪意あるユーザーの活動が活発になる時期です。銀行口座にアクセスするためのデータベースや、盗んだお金の送金先となる口座の開設や管理に使う文書の売買について、早くも11月からハッカーフォーラムに書き込みがあったのを観測しています。年末にかけてNeverquestによる大規模な攻撃があると私たちは見ており、さらに多くのユーザーがオンラインでの窃盗被害に遭う恐れがあります。」（ゴロバーノフ） さらにゴロバーノフは次のように続けます。 「Neverquestのような脅威を防ぐためには、標準的なアンチウイルス製品だけでは十分ではありません。オンライン取引を保護する専用のソリューションが必要です。特に、動作中のブラウザーのプロセスを制御し、他のアプリケーションによる操作を防ぐ機能が重要になります」。幸いなことに、Kaspersky Labにはその技術があります。カスペルスキー インターネット セキュリティ（カスペルスキー 2014マルチプラットフォーム セキュリティのWindows向けプログラム）に搭載のネット決済保護機能は、暗号化された接続の安全性に注意を払い、第三者にWebブラウザーをコントロールされないように監視することで、金融サイトとのやり取りを保護します。

モバイル決済は現在、おかしな状況に置かれています。数年前の予測では、今頃は一部の地域でNFCによる決済がほぼ定着しているだろうと見られていました。人々が「近距離無線通信」（NFC）技術を使い、出先でコーヒーを買ったり、銀行口座からの直接引き落としをスマートフォンに内蔵の小さなチップに指示したりしていたはずでした。 間もなく2014年が訪れようとしていますが、新型iPhoneにNFCが搭載されるという噂は一度たりとも的中することがなく、そのたびに批評家たちは悲報を報じてきました。 最近の連邦準備制度の調査では、スマートフォンユーザーの22%がスマートフォンをバンキングに使用した経験があるとされています。 しかし、PayPal、Square、LevelUpなどのモバイル決済アプリが広く使われるようになったにもかかわらず、スマートフォンで定期的に商品やサービスを購入するユーザーはわずか15%です。とてもモバイル決済が定着したとは言えません。 その理由を探るため、先日数社の最高経営責任者（CEO）やモバイルバンキング担当ディレクターが、ITの聖地サンフランシスコに集結し、モバイルをテーマにしたパネルディスカッションで討論しました。11月15日のMEF Global Forumのディスカッションでは、パネリストらは自分たちが直面している課題を説明し、電子マネーの安全性について議論し、今後の業界の方向性について質問を交わしました。 Barclaysのモバイルバンキング担当ディレクターであるダレン・フォウルズ（Darren Foulds）氏は、パネルディスカッションの開始早々、テキストメッセージを例にとり、モバイル決済がどれだけ普及したかを指摘しました。 世界最大級の銀行Barclaysは昨年、Pingitというモバイルバンキングアプリを発表して大きな注目を集めました。Pingitには同様の目標があり、テキストメッセージを送受信するのと同じくらい簡単に、スマートフォン間で送金できるようにすることを目指しています。 しかし、技術の採用は順調に進む時期もあれば停滞する時期もあり、英国でも一進一退の状況が続いています。一方、米国では、スマートフォンを使った商品の購入や送金は英国ほど受け入れられていません。 意外なことではありませんが、セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています。 PCやラップトップと同様に、いまやモバイルデバイスもマルウェアやサイバー犯罪者の標的となりました。クレジットカード番号を狙う悪意あるアプリは、AppleのApp StoreやGoogleのGoogle Playの片隅に今でも潜んでいます。モバイルマルウェアはこの2年間で爆発的に増加しており、Kaspersky Labの研究者は今夏、極めて高度なAndroidマルウェアをいくつか発見しました。 セキュリティに対する懸念が、モバイル取引の本格普及を妨げる障壁の1つになっています スマートフォンを紛失したり置き忘れたりするとどうなるかは、言うまでもありません。スマートフォンには、友人のメールアドレス、会話、写真といった重要な情報が保存されています。銀行の情報まで保存したら、スマートフォンをなくすのは財布をなくすのと同じことになるのではないでしょうか？ 最近PriceWaterhouseCoopersは、モバイル決済に対する抵抗について調査を行いました。これによると、回答者の85%がスマートフォンの盗難を心配しており、79%が支払い情報を無線接続で送信するときに情報を盗まれるのを恐れ、74%が一箇所に情報を集めすぎることに不安を感じていることがわかりました。 シリコンバレーで決済プラットフォームを手がけるBraintreeのモバイル担当ジェネラルマネージャー、アンクール・アーリア（Aunkur Arya）氏は、こうした懸念の大半は必要以上に深刻に捉えられていると考えています。 アーリア氏はパネルディスカッションで、「これは一般のメディアが考えているより、ずっとずっと小さな問題だと思う」と述べ、「磁気ストライプの付いたプラスチック製カードの方が、2段階認証を採用したデバイスより安全だという考え、…その考え自体が不合理なもの」だとしました。 2段階認証とは、Webサイトやメールへアクセスするときに、いつものパスワードだけでなくランダムな数字コードの入力を求める付加的なセキュリティ対策です。近年ではFacebook、Google、Twitterなどのサイトで導入されました。 アーリア氏は、電子マネーの普及に伴ってある程度の問題が発生するのは避けられないものの、現在進行中であるデジタル化への移行は「発想の転換」と捉えるべきだと指摘します。 VISA MobileのCEOを務めるハンネス・バン・レンズバーグ（Hannes Van Rensburg）氏は、モバイル決済の導入によるセキュリティの問題は、教育の問題ほど深刻ではないと主張します。 バン・レンズバーグ氏は、「消費者は自分が理解できないものに対して不安を抱くもの」と述べ、セキュリティ侵害など何か問題が起きたときにどうなるかを企業がもっとうまく説明できれば、状況は改善されると付け加えました。 安全な決済のために電話番号を使用する決済システムを擁するBoku。同社でモバイル決済部門を率いるケビン・グラント（Kevin

スパム。メールを使っている人なら誰でも、この言葉に特別な感情を持っているのではないでしょうか。イライラする気分だったり、げんなりする感覚だったり。Kaspersky Dailyで紹介したヒントを活用していても、対策をすり抜けてくるスパムメールがあるかもしれません。特定のメールアドレスから繰り返しスパムを受け取るようだったら、このメールアドレスを「スパム」フォルダー送りにしてしまいましょう。 カスペルスキー インターネット セキュリティ 2014（カスペルスキー 2014 マルチプラットフォーム セキュリティのWindows向けプログラム）には、アンチスパムのコンポーネントがあります。受信メールをスキャンし、要らないメールを設定に従って振り分ける機能です。 ［スパム］フォルダーに振り分けるメール送信元アドレスのリストを作成しましょう： カスペルスキー インターネット セキュリティ 2014のメインウィンドウの下部にある［設定］リンクをクリックします。 次の画面で左側のリストから［プロテクション］を選択し、ウィンドウ右側の［アンチスパム］を選択します。 ［アンチスパム］ウィンドウで、［詳細設定］をクリックします。  [スパムと判定するメール]セクションで、[ブロックするメールアドレスからのメール]チェックボックスをオンにします。同じ行にあるリンク[設定]をクリックし、次に開くウィンドウで[追加]ボタンをクリックします： ブロックするメールアドレスを指定します。ステータスを「有効」に変更して［追加］をクリックします。 必要に応じて、送信元のステータスを「無効」にすることもできますし、送信元をリストから削除することもできます。ブロックされた送信元のリストは、ファイルにエクスポートできるので、カスペルスキー インターネット セキュリティ 2014がインストールされている別のコンピューターに設定をインポートするのも簡単です（［ブロックするメールアドレス］画面上部にあるリンク［インポート］および［エクスポート］を使用してください）。

Webサービスの安全とプライバシーを守る暗号化。電子フロンティア財団（EFF）は、IT大手を対象に暗号化がどの程度導入されているかを調べたレポートを発表しました。

Web上でマルウェアに感染するのは、いかがわしいサイトや、「職場閲覧注意」の記事ばかり掲載しているサイトを見たから――これは非常によくある誤解です。コンピューターがマルウェアに感染したことを友達に話すと、誰か1人くらいは必ず、このようなサイトやポルトサイトを長時間見ていたのだろうと冗談を言います。 しかし実際には、アダルトサイトにアクセスしたからマルウェアに感染するという時代は終わったと言っていいでしょう。他のWebサイトと違って、アダルトサイトは有料である場合がほとんどです。したがって、サイト運営者はマルウェアの感染を何としても防がなければなりません。それに、マルウェアに関しては明らかに評判が悪いので、汚名を返上しようとセキュリティに力を入れ過ぎているサイトもあるかもしれません。 私の経験上、マルウェアに感染したWebサイトの大半は、誰も感染するとは思わないようなサイトです どんなマルウェア感染も、「トローリング」と「スピアフィッシング」という2つの戦略を基本としています。トローリングをたとえて言うなら、できるだけ大きな網を張って、できるだけ多くの魚を捕まえようとすることです。これがボットネットの運営者や、銀行を狙う（バンキング型）トロイの木馬の開発者が採用する戦略です。スピアフィッシングは、特定の魚を選んでその生息地へ行き、その魚が好きそうな餌を釣り針にしかけて捕まえるというもの。これと同じように、攻撃者は人気サイトのぜい弱性を発見してマルウェアに感染させ、できるだけ多くの感染を引き起こそうとします。あるいは、標的にしたいユーザーが訪れそうなサイトのぜい弱性を見つけるというやり方もあります。この2番目の手口はWater-Holing（水飲み場型攻撃）と呼ばれています。攻撃名の由来は大自然の現実。水辺に身を潜め、水を飲みに来る獲物を待ち伏せる肉食動物になぞらえています。こうした肉食動物は、獲物が頭を下げて水を飲み始めるまでじっと待ち、それから襲いかかるのです。同様に、サイバー犯罪者は標的がどのサイトに訪問するかを予測し、そのサイトのぜい弱性を探します。 広範囲を狙うタイプの攻撃が起きた最近の例としては、人気のユーモアサイトcracked.comのマルウェア感染があります。Barracuda Labsの研究者は、この攻撃によって極めて多くの感染が発生した可能性があると懸念しており、その理由の1つに、Web情報企業Alexaが同サイトを米国で289位、世界で654位にランクしていることを挙げています。また、SpiderLabsの調査によれば、Web開発者リソースサイトPHP.netも最近感染し、ごく一部のロシアの銀行サイト（リンク先の記事はかなり難解なロシア語です）も感染したそうです。 さらに洗練された攻撃、つまり標的を絞ったタイプの攻撃の例として最適なのは、今年相次いで発生した米労働省への水飲み場型攻撃でしょう。この攻撃は、米政府の機密ネットワークにアクセスできる職員を狙ったものと見られています。より最近では、米国内外の政策指針を掲載する匿名の米国NGOのWebサイトに水飲み場型攻撃があったことを、セキュリティ企業FireEyeの研究者が報告しています。 要するに、労働省のWebサイトがマルウェアをホストしているとは誰も考えていません。しかし、訪問者が警戒を緩める感染しそうにないサイトに感染するということこそが、重要な点なのです。 完ぺきなセキュリティというものは存在しません。マルウェアがどこに潜んでいるかは決してわからないでしょう。攻撃者は、利用できるぜい弱性を抱えたサイトを自動ツールによって発見します。したがって、ユーザーの安全はWebサイトの管理者が更新をインストールすることにかかっていますが、その更新を開発する各ソフトウェアベンダー次第であるとも言えます。管理者が一般のインターネットユーザーと大して変わらないような人なら、ちゃんとパッチを適用してくれないでしょう。確かにベンダーは以前よりもずっと適切にパッチを開発するようになりましたが、この分野では今でも驚くほど多くの企業が、パッチのスケジュールを管理していないのです。 以上を総合すると、マルウェアを含んだWebサイトへの対策として最も簡単なのは、アンチウイルスプログラムを実行すること、ブラウザーの警告に注意を払うこと、セキュリティ関連のニュースを読むことです。これらの対策は、ネットサーフィンをしているのがPCでも、Macでも、タブレットでも、スマートフォンでも有効です。