安全にインターネットを利用するために注意したいこと。 | ライフワーク

Webで第二の人生

安全にインターネットを利用するために注意したいこと。

パソコンの画像

こんにちは。スマフォやパソコンを触っていて心配になる事はありますか?

本当の意味でセキュリティーを語れるのは、高度な技術と専門的な知識のある方なのだろうけど…でも

年齢層も多様化しているし、ここを押すかどうか?を迷う母に伝えるような気持ちで書いてみようと思います。

安全にインターネットを利用するために注意したいことを書いてみようと思ったきっかけ

  • 某携帯会社で、スマフォの操作案内の仕事をしていた時に迷惑メールを大量に受信したり、迷惑なアプリをインストールしていたり、金銭被害にあったりしている方がかなり多いと感じた。
  • 趣味で作ったレシピサイトを公開するにあたってプログラムのセキュリティーを勉強した。

上記の理由から、真面目にセキュリティーの難しい本とかなりの時間にらめっこしました。

結論です

注意すること!重大なポイントは2つです。

絶対してはいけないこと(なんらかの被害につながる可能性が大)

  • ホームページを見ている途中など誘導されて、アプリやファイルをインストールしない(これはAndroidを使っている方に多いのですが、ウィルスに感染したので除去するためにインストールして下さい、と誘導される)
  • それらしい有名企業(例えばAmazonとかYahooとか配送業者など)のメール、ショートメールは心当たりがなければ、添付されたURLをクリックしない(URLとは 豆知識1 を参照して下さい)。 もしクリックしてしも情報を入力しない。例外は自分が会員登録するときに送信した直後に来たメールのURLです(これは会員登録したいのなら必須ですから…会員登録するサイトは選んだほうが良いかもですが(理由は 豆知識2 で)

豆知識1 URLとは https://   と http://  から始まるサイトの住所です。s が付いていると暗号化された通信になります。以前はほとんどのサイトはhttp:// だったので、http:// だから怪しいとか、https:// だから安全と決めつけることはできないですが、http:// になっているサイトでは個人情報を入力して送信しないでください

次は、危険性が潜んでいる行為

運が悪ければ被害に遭うかも

  • フリーwifi(コンビニなどでパスワードを入力しなくてもつながるwifi)につないでいる時に、個人情報を送信する。暗号化キーを入力する場合でもWEPは脆弱です。(情報を盗むのが容易)
  • パスワードを使い回す
  • プロバイダーのメールを使っている(Gmailのほうがフィッシングメール対策がしっかりしている)
  • 古いブラウザを使っている(Windows10以前(クッキーモンスターバグという脆弱性があります)の方でインターネットエクスプローラーで検索しているのなら、Chromeのインストールがおすすめです
  • アップデートをしない
  • ネットの情報を鵜呑みにする。ネットの情報は発信源の信用性が重要、何を信じたらって難しいですね

参考までにWindowsの場合

Windows で Chrome ブラウザを使用するための要件は次のとおりです

Windows 7、Windows 8、Windows 8.1、Windows 10 以降

Intel Pentium 4 以降のプロセッサ(SSE2 対応)

注: サーバーには、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 のいずれかが搭載されている必要があります。

GoogleChromeEnterpriseヘルプ引用

種類について

攻撃の対象が個人の場合に焦点をあてます。

フィッシング

フィッシングとは著名なウェブサイトなどを装ったサイトに利用者を誘導して個人情報等を入力させる手口です(不正送金、クレジットカード不正利用など)。

マルウェア(感染)

  • ウイルスは他のプログラムに感染する
  • ワームはそれ自身がプログラムで増殖する
  • ランサムウェアはシステムを使えなくし解除するための身代金を要求 

など、迷惑行為をするものです。

そしてこれらを感染させるための手法が様々で、いたちごっこを繰り返しています。

被害について(追記)

金銭的な被害はすぐにわかりますが、実は攻撃者の目的の1つは、あなたの携帯やパソコンを媒体にしてターゲットに一斉に攻撃をする場合があります。

ボット(指令が組み込まれていたり、指示で動く)を埋め込み一斉にターゲットを攻撃するというDDoS攻撃というものがあります。知らない間に加担させられている危険が…

感染しないように、最初にお伝えした重大なポイントは2つ どうかご注意ください。  

ということで…

感染させるために使われる手法

  • それらしいメールを送ってくる (要注意)
  • ファイルやアプリをダウンロードさせる (要注意)
  • トロイの木馬 これは、もともとは無害なプログラムにマルウェアを埋め込んでいる(誤認識させる)

攻撃者は システムの脆弱性をついたり、情報集取をしています。情報収集方法の一部は 豆知識2

ちょっと深掘りした手口の話(システム側の話)

どうして、パスワードが盗まれたり、突然大量の迷惑メールがきたり、不思議ですよね。

バリデーションとエスケープ

バリデーションとは、検証とか認可というような意味ですが、システム開発の場合は、ユーザーの入力した内容をきっちり検証できているか、エラー表示は適切かなど エラー表示については豆知識2参照して下さい

エスケープは、プログラムに関わる特別な文字を無効にすることで、攻撃側のプログラムを埋め込まれないようにする。

豆知識2 例えば、新規会員登録する時にユーザー名とPWを登録しますよね。ユーザー名が使用されていますと表示されたら、IDが存在することがわかります(この場合は仕方ないのですが)…ではログインする時にPWが間違っていますなんて表示が出たり、ユーザー名が違っている時とPWが違っている時とでエラー表示が異なったら、攻撃者に有益になる情報(ユーザIDの存在など)を渡すことになります。だからシステムを作る方はエラーの表示にも注意が必要です。言い換えると、例えばPWが間違えています!なんて表示が出るサイトは狙われやすいかもです。

そもそもブラウザには記憶力がありません

サービスを提供するには情報を保存したり、次の処理にわたさないと機能しないのですが、この情報のやり取りをシステムのバグを付いて取得されたり、利用されます。

例として、本物サイトでログイン中に、罠サイトに誘導せて、ログイン中の状態を攻撃者が操作できたり、本物のサイトの上に偽物ののサイトをかせねて偽物サイトのボタンを押させたりします。HTMLのiframeタグ(他のサイトを埋め込めるタグ)を使いCSSで隠すために透明にできます。そしてあなたが正規のサイトのボタンを押したつもりが、実は上に重ねられた攻撃者が設置したボタンを押して情報を送信してしまうなんでことが….偽物サイトのURLの話を 豆知識3

豆知識3 URLついて 例えばわたしのサイトのURLはhttps://www.koro-koro.com (wwwは省略できます)です。サイトの運営者で最後の.comが ne.jpとか co.jp  とか使えるものが違うのですが、なんとなくみたことあると思います。この直後のわたしの場合だとkoro-koroはわたしが作ったサイトで共通です。この前の部分に . をつけて例えばamazon.koro-koro.comのようにしてサイトを作ることができます(サブドメイン)。もちろんAmazonとは全く関係のない、私のサイトです。騙されないでくださいね。

まとめ

見覚えのないメールのURLは決してクリックしない。突然出てきた画面でアプリやファイルをインストールしない。この2つぜひぜひお気をつけ下さい。

私の考えですが、100パーセント安全なんて、どんな分野でもないと思います。わからないと怖いこともありますが、インターネットの便利さを十分に活用して、快適に楽しく過ごしたいです。

最後まで読んでいただきありがとうございました。