まだウイルス対策ソフトに頼ってるの?

まだウイルス対策ソフトに頼ってるの?

20XX年──。ネット上でも「実名」が当たり前となり、SNSが名刺代わりでセルフブランディングな世の中。

そんなネットワーク社会のさなか、世間のセキュリティ意識は相変わらずめっちゃ低い。その意識の差は、OSを書ける某国のIT大臣と、「スマホでSNSできます!」とアピールする某国のIT担当大臣くらいの違いがある。TOPが有能である必要は、縦社会において必ずしも重要ではない。が、無能すぎるの施策が進まないため問題である。

最近は「ショートメール詐欺」が話題のようだし、ここらでひとつネットセキュリティについて語りたい。

スポンサーリンク

ノートン先生神話の崩壊

私のネット歴はかれこれ20年近くになる。

アングラサイトでクッキーがやばい時代を串で生き抜き、ネトゲにハマって電脳世界に転生したとか、P2Pファイル共有で逮捕者が出たりとか、ネット通販の黎明期にクレカ情報がズッポシだとか、ワームやトロイ付のメールしか来ないとか、SNSで出会いリアルで物理攻撃など──。過去から現在まで、ネットセキュリティの自己防衛方法に関しては、実技を通して経験と対策方法を学んできた。全部経験しているわけじゃないよ?(震え声)

コンピューターウイルスは昔から悪いハッカーが起因になっている。

これの侵入を完全に排除するのはぶっちゃけ不可能で、限りなくゼロにできるものの、最後は個人の意識しだいで感染しちゃうのが実情。例えば職場にインフル患っている人がいる状態で、マスクをせずノーガード戦法を取れば、後日発症するリスクは高い。でもマスクをして対策をちゃんとすれば、その可能性は限りなく低くなるでしょう?

ウイルス対策なんてのは、風邪が流行っている時にマスクをするかしないかの意識の違いです。

で、デバイスをウイルス(病原菌)から守るマスクの役目をするのが「ウイルス対策ソフト」と呼ばれる物。Symantecのノートン先生といえば、ネット老人会で触れなかった者はいないと思う。私も先生に見守られていた1人。そして卒業もした。

そう……ノートン先生を代表とするウイルス対策ソフトには、致命的な弱点があるんだ。とにかく他アプリとの相性がすこぶる悪かった。職場ブレイカーのキャリア採用かな?

背景を少し語ると──。ネトゲが流行った当時、PCスペックが現在の半分以下だったし、マルチタスクも「何それ?」な時代だった。ネトゲをやりつつ、他のアプリも動かしておけるリソースが絶対的に足りない。その状態で先生を常駐されると、残り少ないメモリを更に食うし、ネットワークの監視もするため通信速度も落ちる。だからネットゲーマーからウイルス対策ソフトは毛嫌いされていたし、公式サイトのFAQにも「もしかして……ウイルス対策をしていらっしゃる?」と盛り込まれるレベルだった。

というわけで、ウイルス対策ソフトが必須の時代から、「もしかして要らないんじゃね?」と気づいた人が増えていき、現在の”OSとアプリ自体が対策をしている”時代になっていく。

そうなったのは、アプリ自身がネットワークに繋ぐことが増えて、その脆弱性をついてファイルを奪う方法が増えたせいもある。でもこれからのIoT普及にとって、アプリ側で対策をするのは必要不可欠になってくる。

情弱ほど損をするのは昔も今も同じ

10年ちょい前までは、ネット上のウェブサイトは今より地雷原が多かった。ノーガード戦法で過ごすと、Cドライブのどこかに木馬が「コンニチワ!」しているような世界だった。……まあ無垢であるほど被害を受けるのは、昔も今も大して変わりはない。

「必ずOSアップデートはすること!」「ウイルス対策ソフトを入れよう!」「キケンなサイトは見ない!」

これらはセキュリティの基本で、周知もされているけれど、これだけしていれば絶対に感染することがない! そう思い込んでいる人のなんと多いことか。

今はウェブサイトに罠を仕掛けるよりも、不特定多数の個人にリスト攻撃をして、100人に1人でも当たればラッキー程度の攻撃が主流。それは人々にとって「1人1台のデバイス」がスマートフォンなどのモバイル機器になっているからである。

これが流行しているキッカケは、そもそも実行データなどあやしいファイルは、OS側で検知してくれるようになったし、各メールアプリでも注意をしてくれるなど、かなり情弱に優しい仕様が当たり前になっている。なので近年はウイルス検疫も必要なくなってはきている。

ただしスマホを狙った攻撃は、電話番号を利用したショートメール(SMS)でアプローチしてくる。SMSは2段階認証など、重要な通知に使われることが多いし、それにはURLが必ず表記されるため、完全に悪を排除するのが難しい問題がある。URLが表記されていれば排除、という設定が出来ないこともないが、友人や取引先に認証まで排除されてしまう。そういうスキを縫って襲ってくるわけ。

私のもとにも結構来るんですよ。

本物のヤマトと偽物の佐川のコラボ
本物のヤマトと偽物の佐川のコラボ

最近はよくSAGAWAのニセ荷物通知が来るんですけど、頼んでねんだよなぁ……。本物のヤマトと紛れてくる時もあるけど、それはアプリやLINEで登録しておくと判断がつきやすくはなる。たとえ本当に荷物があったとしても、自分でサイトから調べればよくね?

ウイルス対策アプリの存在意義は?

私のように対策知識を一通り知っている立場からすると、WindowsならDefenderがあれば防疫・検疫できるし、Macも内蔵されたブロック機能で外部からはほぼシャットアウトできる。あとは危ないファイルとURLに触れなければいいだけ──。

そのカットされない”危ないファイルとURL”を判断できるかどうかが、個人のセキュリティ意識の境界線になる。

これに関してはテンプレこそあるものの、テンプレが出てきてからはもう手遅れの段階。そうなっているなら蔓延して解析が済んだくらいだし、各アプリもその対策をしはじめている頃。今流行っているネットバンクを標的にしたショートメール詐欺も、時すでに手遅れなわけ。

ようするに”最新の防衛”に関しては、ウイルス対策などセキュリティの基礎知識を備えているほうが、発見しやすいし対処しやすいのである。

ウイルス対策ソフトは、未知の攻撃があった場合、その感染事例がないと更新しようもない。だから対処はどうしても後手になる。プログラムに対しては「ゼロデイ攻撃」と呼ばれており、これを防ぐために「OSやアプリを最新状態に!」する必要がある。ショートメール詐欺も同じことで、報道が取りあげない限り周知が進まないため、水面下で被害は拡大しやすい。

SMSは電話番号が基準だし、数字を1つ変えれば誰かに掛かる可能性があるため、業者からすればたまたま情弱を釣れればラッキーなのである。

スポンサーリンク

危ない道を安全に通るにはそこを避ければいい

世界には歩くだけで命がヤバイ「危険地帯」と呼ばれる地域が数多くある。

そこをどうしても通らないといけない、むしろそこに行きたいんだ──ともなれば、政府や警察に助けを求めるか、攻撃されても死なない装備を整えるか、外堀から埋めてなじむか等の方法が考えられる。しかし、最も簡単な方法は”行かないこと”に尽きる。セキュリティの話も同じことで、何も知らず罠にハマってさあ大変──! で騒いでいるのがメディアの放送。

政府の許可なしに紛争地帯に入って捕まり、身代金を要求され、対応をどうするかで議論となった事例を思い出す方もいるだろう。

ウイルスに対する対策は、それを知っているか知らないかで随分変わってくる。ランサムウェアやマルウェアにフィッシングサイト……、手法はいろいろあるけれど、共通するのは「明らかに怪しい」ところである。危険地帯らしいけどマジで危ないのかわからない状態なら、突入する人もいるだろう。政府が渡航中止にしている状態で侵入するのは、ただの無謀といえる。

ノートン先生が「これ触ると危ないよ?」と告げるファイルを触って感染したら、それは自己責任でしょうよ。

PCにスマホは操作しているのが本人であるし、決定権が自意識にあるため、フィッシング詐欺の訴訟先は送信者を特定するしかないんだよね。ウイルスなら製造者、ウェブサイトなら故意に埋め込んだか改ざんされたかでも変わってくる。ネットワークをたどれば発信先こそ突き止めるものの、それが当該人であるかを断定するのは難しい。間借りしたり端末を捨てられれば、あとは映像しかないからどうしようもないしね。

この辺は最新に対応できるよう法律が施策されていないせいもある。

監視カメラが多くなると生き辛いとか言われるけど、サイバー犯罪の特定をするためにも必要なんですよ。むしろカメラを意識して外歩けない人って、どんだけ普段からあやしい動きをしているんだろう、興味ある。

セキュリティの基礎を学ぶには「IPA」がオススメ

IPAは「情報処理推進機構」のこと。主にIT技術の周知啓蒙活動と、それ系の国家資格を扱っています。

IPA 独立行政法人 情報処理推進機構
複雑・膨大化する情報社会システムの安全性・信頼性の確保による“頼れるIT社会”の実現に向け、IT施策の一端を担う政策実施機関として、情報セキュリティ、ソフトウェア高信頼化、IT人材育成等の施策を展開します。

中でもセキュリティに関しては資料が(無駄に)多い。それは誰でも閲覧できるし、個人に企業相手のセミナーも毎月のように各地で行われています。参加費無料が目立つし、ちょろっと知識を入れたい時や、対策が進まない企業の上司を放り込むなどして参加してみては?

知識としては難しい部類じゃないんだけどね。包丁の正しい持ち方を学ぶような感じだし。

セキュリティ関連の資格もあります。年2回ある「情報セキュリティマネジメント試験」に合格すれば、会社相手にセミナー開けるレベルにはなりますよ。その上位には「情報処理安全確保支援士」がありますが、これは企業相手にセキュリティのコンサルで大金貰えるレベルの資格です。

とはいえ、その資格の存在自体が弱いのが難点だ……。

情報セキュリティマネジメント試験
国家試験、情報セキュリティマネジメント試験をご紹介

コメント