IT器機というか、PCやスマフォも含めて、ネットワークを使う上でのセキュリティ意識も含めて。
「
PC 自宅サーバにSSHの不正ログインがあった」でクラックされた奴が言うなって言われたら何も言えませんが。
最近、仕事関連もそうだけど、ちょっと「え、それは無いだろ」ってのがいっぱいありすぎて。
特にここのところTwitterでレイバンサングラスのスパムがあって、色々と考えさせられたので。
とりあえず、基本的な考え方として。
・サポートが切れたOSやソフトは使用しない
・セキュリティパッチは必ず適用する
・どうしても必要になってもネットワークには(Firewall越しでも)接続しない
・ウィルス対策ソフトは必ず入れる(無償でもいいけど出来る限り店頭で販売しているのを推奨)
・各ネットワークサービスではIDとパスワードの組合せを別々にする
こんな感じですか。
で、1つずつ説明をば。
・サポートが切れたOSやソフトは使用しない
単純に、サポートが切れた後だとセキュリティ対策のソフトが(例えばウィルス対策ソフトなど)新しいウィルスに対応していない、というのもありますが。
サポートが切れていると、そのOSやソフトの脆弱性のチェックが全くされないので、未知の脆弱性が発見されても、何も対応ができなくなるという問題があります。
つい一年ほど前にサポートが切れたWindowsXPですが、未だに利用している企業や個人が多いと聞いています。
今すぐに利用を停止することを強く言いたい。
なお、WindowsVistaおよぼWindows7ですがそれぞれ2017年4月11日、2020年1月14日に延長サポートが終了します。
今後一年、四年を目処に、今利用しているOSを新しいものに変える事を推奨します。
※とはいえ、サポートが切れてもスマートフォンとか利用したいですよね・・・
でも二年ごとに新しいのにするのを考慮した方がいいでしょうね。
・セキュリティパッチは必ず適用する
Windowsだと毎月、その他ソフトなどはその都度、ミドルウェア(この場合データベースなど)でも四半期に一回ぐらいはパッチが出ています。
これらのパッチを適用しましょう。
これは、実際に攻撃を受けたため発覚した脆弱性だったり、善意あるユーザからの指摘で対処した脆弱性だったりするのですが、パッチが出るときにどのような脆弱性だったかも発表されますので、(分かる人が見れば)その脆弱性を突くウィルスを簡単に作れてしまいます。
パッチが発表された時点で、ウィルスに対する脅威がまた増えたと思ったほうがいいです。
なので、速やかにパッチを適用しましょう。
※Windowsの場合、毎月のセキュリティパッチで不具合が出たりするのもあるので中々適用は躊躇しますが、せめて毎月第三金曜日には適用をした方がいいと思います。
WindowsではServicePackを適用しないと新しいパッチが適用できないなどもあるので、そこも気にしましょう(VistaはSP2、7はSP1が最新SPです)
そういえば、SPをあげる事で今まで利用していたソフトが利用できなくなるというのがあるのですが、ソフトウェア開発の立場からするとこれは怠慢ではないかと思います。
OSが変わったならともかく、同じOSでのSPによるものは使えるよう対応するべきだと考えます。
・どうしても必要になってもネットワークには(Firewall越しでも)接続しない
企業なんかでよく「Firewall内で利用して、外部との通信は実施していないので、問題ない」という考えがありますが、残念ながら最近の攻撃は、Firewall内にある他の脆弱なマシンを攻撃して(あるいは乗っ取って)、他のマシンを攻撃するという事もあります。
簡単な例として、Firewallで外部からの接続を全く出来なくしているWindows2003Server(こちらは2015年7月に期限がきれます)と、そのマシンを利用しているWindowsXP/Vista/7のマシンの構成を考えます。
2003はファイルサーバやデータベースサーバとして顧客の情報のファイルやデータが有り、パッチの適用は起動ができなくなったりすると問題だからと半年に一回ぐらいしかしていないパターンを考えます。
一方、XP/Vista/7は毎月セキュリティパッチを適用しています。
見た目、外部からの攻撃は全くされませんが、実はXP/Vista/7のマシンは、外部のメールサーバとウェブにアクセスしております。
この時、XP/Vista/7が「未知の」もしくは「既知の」脆弱性を突かれてウィルスに感染して、2003のマシンの情報を取得され、メール送信されたりしたら・・・
Firewallは意味がなくなります。
これはひとつの例ですが、セキュリティを一定に保つためにはFirwall内のネットワークで一律のセキュリティ設定をしないと、一番低いセキュリティから攻撃を受ける羽目になるわけです。
※今でもspamメールが減らない理由の一つとして、ここにあげたようなパターンがまだ残ってるのではないかと思います。
放置されたホストは「ゾンビ」と言われるらしいです。
・ウィルス対策ソフトは必ず入れる(無償でもいいけど出来る限り店頭で販売しているのを推奨)
ウィルス対策ソフトを入れない人が多くて、その人達曰く「遅くなるから」だそうです。
ウィルスに感染したらどうするの?って聞くと「OS再インストールするから別にいい」等と言われます。
これ、どちらもわからなくもないです。
でも敢えて、特に後者に関しては「お前だけの問題じゃなくなる」ということも理解して欲しいです。
あなたのマシンがウィルスに感染することによって、貴方自身の個人情報等だけではなく、あなたの友達等の情報(メールアドレスなど)が攻撃者(ウィルス作成者)に渡る可能性もあることを覚えておいて欲しいです。
で、なぜ店頭販売と書いたかですが、ネットだけ見てるとホントに使えるかわからない無償のウィルス対策ソフトがいっぱい見つかりますが、それのうち何%かはウィルス対策ソフトに見せかけたニセモノであるようです。
そういうのに引っかかるよりかは、店頭販売されているモノのほうが信頼があるということです。
※「ウィルスを作ってるのはウィルス対策ソフトを作成している人だ」って思ってる頑固な方たちも居るので困りますねぇ・・・
・各ネットワークサービスではIDとパスワードの組合せを別々にする
最近Twitterで実際にあったこともそうですが、もっと大きな被害だとAというサイトのID/パスワードの組合せをBというショッピングサイトでも利用しているというのが多いために、Aで取得した情報でBのショッピングサイトで買い物をされた(この場合クレジットカード情報が登録されているので勝手に利用できる)というのがあります。
パスワードを覚えられないため、大抵は同じものにするとか。
利用しているサービスが増えれば増えるほど、パスワードの管理は大変になります。
個人的にはやはり「パスワードはサイト毎に」と言いたいです。(残念ながら私も完全に別々には出来ていません)
そこで先日テレビでやってた方法をここに記載します。
まず、「共通の」ワードを作ります。
ここでは例として「abc123」というワードにします。
そして「abc」と「123」の間に、そのサービス固有のパスワードを2,3文字設定します。
例えばameba blogならば「amb」、Twitterなら「Twi」、Facebookなら「Fbk」などです。
実際にログインするときは「abcamb123」「abcTwi123」「abcFbk123」でログインすればいいのです。
で、共通パスワード「abc123」とそれ以外に各サービスの固有パスワード「amb」などをメモとして別々に保管するわけです。
(できれば共通パスワードも固有も覚えているだけにしましょう)
こうすれば、ほかのサイトで利用していたパスワードが漏れても、他には影響が出ません。
今後、何十個も使うことになっても、なんとかなりそうじゃないですか?
如何でしょうか。
ちょっと難しい内容も書いてますが、少し頑張ればなんとかなるようなものばかりではないでしょうか。
4月には新生活が始まって色々と環境が変わるのに合わせて心機一転して何かをしようという考えの人も、ついでにこの内容を思い出して対策してみては如何でしょうか。
少しでも皆さんに有益な情報となっていただければ、幸いであると思います。
