2014年9月25日木曜日

緊急地震速報を装った迷惑メール発生中!! メールの中のURLはクリックしない!!

気象庁の発表によると、緊急地震速報を装った迷惑メールが出回っています!! メールの中のURLをクリックすると出会い系サイトなどの危険なサイトに誘導されますので、注意下さい。

 平成26年9月24日
 緊急地震速報を装った迷惑メールにご注意下さい   気象庁|報道発表資料
 http://www.jma.go.jp/jma/press/1409/24a/eewmail_20140924.html

この中で、緊急地震速報を装ったメールや、緊急地震速報を装ったSNSの投稿などについて、URLをクリックしないよう、注意されています。

また、気象庁の発表によると、これまでに寄せられた迷惑メールの一例は以下のような内容です。なお、メールには、危険なサイトに誘導するためのURLがあります。決して、このURLをクリックしないで下さい!!


■迷惑メールの例:


[緊急地震速報が発表されました。これから強い揺れが来ますので十分警戒してください
。(気象庁発表)]

「地震の影響により津波が発生する恐れがあります。今後の情報に注意して行動してください。」

なお、迷惑メールには次のようなリンクが示されていますが、このURL(リンク)をクリックしないでください。もし、このリンクをクリックすると出会い系サイトや危険なサイトに誘導されます!!

「※詳細はコチラよりご確認頂けます
 ※http://○○○○○       」



■迷惑メールとは

迷惑メールは、「スパムメール」や「ジャンクメール」とも呼ばれています。簡単に言えば、”一方的に送られてくる、不正なメール”です。

この迷惑メール、実は、ウイルス、スパイウェア、フィッシング詐欺、振り込み詐欺などの危険がつまった”悪の温床”です。十分注意しなければなりません。

迷惑メールは、地震や有名人に関する世界的な事件が発生したり、クリスマス、年末・年始のイベントの際には、これらを利用した迷惑メールが増えるので、更に注意が必要です。

迷惑メール、以前は、”迷惑メール=外国語のメール”だったのですが、最近は違います! 日本語でも、バンバン迷惑メールがきます。


■迷惑メールは「悪の温床」、その対策とは?

迷惑メールは年々巧妙になっており、数年前までは、あきらかに迷惑メールと分ったものが、最近では判断が難しくなっています。

「エッ! なんでこんなメールがくるの?」と思ったら、それは迷惑メールと考えたほうがよいです。

なお、どうしても気になるなら、ブラウザで必要なサイトを確認したほうが良いですね。決して、メールの中のURLをクリックしてはいけません。


  迷惑メールの基本は、 ”無視し、何もせず、そのまま削除する” こと
  
  迷惑メールのURLをクリックするのは× 絶対にダメです
   (不正なサイトに誘導されます)

  迷惑メールに返信するのは× 絶対にダメです
   (メールアドレスがばれます)

  迷惑メールの添付ファイルを実行するのは× 絶対にダメです
   (ウイルスに感染します)



例えば、迷惑メールに腹を立て、「こんなメールは送信しないで欲しい」と抗議のメールを返信したら、悪徳業者のメールリストに記録され、迷惑メールの餌食になります。

2014年9月23日火曜日

他人が写った写真を勝手に公開していませんか? これは肖像権侵害です!

インターネットで。他人の文章や画像を使ったり、他の人が写った写真を公開すると、最悪の場合、法律違反で罰せられたり、他の人から訴えられるので、注意ください。

最近は、Facebook、twitterなどで写真を公開している人が多いと思いますが、友人含め他人が写った写真を勝手に公開していませんか?

実は、これは、「肖像権(しょうぞうけん)」または「パブリシティ権」という権利を侵害することになり、最悪は訴えられるので、注意が必要です。


なお、他の人の文章や画像などを勝手に使うと「著作権法」違反になりますが、この「著作権法」に関連して、他人が写った写真を勝手に公開してはいけないという「肖像権」があります。今回は、この肖像権について紹介したいと思います。

また、有名人の写真を勝手に公開すると、「パブリシティ権」という権利も侵害することになります。

有名人は、写真だけでも経済的な効果があり、それを侵害するというものです。この「パブリシティ権」についても紹介します。




■ まずは著作権から


作成した画像、文章、音楽データ等(著作物)は作成者(著作権者)のもので、法律「著作権法」で守られている著作物です。

その為、他人が作成したものを、自分のホームページ・ブログ・SNS等に、勝手に利用してはいけません。勝手に利用することは、”複製権(コピーして利用する権利)”などの著作権で規定された権利を侵害し、著作権に違反したことになります。

著作権法に違反した場合、以下のように重い罰則が科せられますので、十分注意しなければなりません。


(1) 著作権・出版権・著作隣接権の侵害
   ・・・10年以下の懲役又は1,000万円以下の罰金

(2) 著作者人格権・実演家人格権の侵害
   ・・・5年以下の懲役又は500万円以下の罰金

なお、従業員が著作権法に規定する犯罪を行った場合には、行為者本人だけでなく、その使用者である法人も共に罰せられます。法人に対する罰金は引き上げられ、3億円以下の罰金と巨額です。

なお、インターネット上に公開してある画像等で、”フリー(自由に使って下さい)”と表示されている場合は利用が可能です。

但し、画像利用が”フリー”の場合でも、画像サイズを小さくしたり色を変えたり等の編集を禁じている場合がありますので、”フリー”の場合でも"画像の利用時の注意事項"を充分確認下さい。



■ 肖像権(しょうぞうけん)とは


「肖像権」というのは誰でも持っている権利で、むやみに自分の写真や名前などを公表されて、嫌な思いをしないための権利です。

各個人は、人格的権利の一貫として、自分の顔写真や肖像画(似顔絵も含む)は、自分の知らないところで勝手に使われないようにする権利を持っています。

従って、他人を映した写真、肖像画の類をWebページ等に掲載する場合には、映っている本人の許諾が必要です。

街を歩いている人を撮影した場合も、その人の許可なく勝手に写真を掲載できません。

親しい友人であっても、本人の了解をとるのがエチケットです。この肖像権は、どこの法律にも出てきませんが、著作権法上の問題として良く議論されます。


なお、写真などに誰かが写ってしまった場合、プライバシーを侵害していないかどうか考え、バランス感覚で柔軟に判断したら良いと思います。詳しくは、下記のホームページを参照下さい。

 肖像権とパブリシティー権 プライバシーとタレントの権利
 http://cozylaw.com/copy/wadai/publicity.htm



■ パブリシティ権とは


さらに、タレント等の有名人の場合、顔写真や名前を使って利益を得ることができるので、肖像権以外に、パブリシティ権というものがあります。

パブリシティ権は、有名人の氏名・肖像は、コマーシャル等に利用することで経済的な利益を上げることができるので、それを保護しようというものです。

そのため、有名人の写真を無断でホームページ・ブログ・SNS等に使用することは、パブリシティ権の侵害となるので、基本的に有名人の写真は載せてはいけません。


有名人の写真を利用する場合には、写真の著作権者のみならず、写真の被写体である有名人の承諾も得なければなりません。



■ 肖像権(しょうぞうけん)(補足)


肖像権(しょうぞうけん)~自分の肖像を他人に使わせない人格的権利のこと

肖像権について、以下のホームページに分かりやすい解説がありましたので、以下に紹介します。

 肖像権とパブリシティー権 プライバシーとタレントの権利
 http://cozylaw.com/copy/wadai/publicity.htm

人には自分の肖像を他人に使わせないで独占する権利があり、これが肖像権と呼ばれています。なお、関連する法律は、民法第709条です。

  民法第709条 
   『故意又は過失によって他人の権利又は法律上保護される利益を侵害した者は、これに
    よって生じた損害を賠償する責任を負う。』

民法第709条は不法行為による損害賠償についての定めです。プライバシーは「法律上保護される利益」にあたり、肖像も同じように保護されるべきであると考えられています。

なお、上記のホームページには、以下の説明があります。写真などに誰かが写ってしまった場合、プライバシーを侵害していないかどうか考え、バランス感覚で柔軟に判断したら良いと思います。

『被写体が風景の一部として溶け込んでいたり、画像がボケていて誰なのかがわからない場合など、被写体になった人物に迷惑がかからないようなときには肖像権の問題にならないでしょう。』



■ パブリシティー権 (補足)


パブリシティー権~顧客吸引力がある肖像や名前の利用を専有する権利のこと

パブリシティ権は、芸能人の写真を勝手に撮影されたり、その写真を本人の承諾も無く勝手に販売されるようなことを妨げる権利です。

肖像権と比較して言うと、一般人と比べ有名人の名前や肖像には経済的価値があるため、この経済的利益を排他的に支配する財産的側面を認めたものです。

なお、「女性自身」の記事が、歌手のピンク・レディーの写真を無断で使い、「パブリシティー権」を侵害されたとして訴訟された事件の最高裁判決(2012-02-02)が以下に説明されていましたので、紹介します。

 パブリシティー権、最高裁で認められる [法務コラム]|企業法務ナビ
 http://www.corporate-legal.jp/houmu_news607/
 
今回の判決は、パブリシティー権が法的権利であると最高裁判所が初めて認めた重要なものです。

最高裁判所小法廷は判決理由で、パブリシティー権を「(著名人などの)商業的価値に基づく人格権のひとつで、顧客吸引力を排他的に利用する権利」と初めて定義。

そして、パブリシティー権侵害になる具体的ケースとして、

 (1)肖像それ自体を鑑賞対象とする商品に使う
 (2)商品の差別化に使う
 (3)商品の広告として使う

――など「専ら顧客吸引力の利用を目的とする場合」と説明。

一方、著名人は社会の耳目を集めやすく、報道や創作物など正当な表現行為で氏名や肖像を使われるのは一定程度、受忍すべきだとも指摘。

その上で、今回の記事は、ピンク・レディーそのものを紹介する内容ではなく、ダイエット法などを紹介する程度にとどまっているとして「顧客吸引力の利用が目的ではない」と結論付け、原告側(ピンク・レディー)の敗訴が確定しました。


2014年9月20日土曜日

メールを利用し、オンラインバンキングの個人情報を盗み出す詐欺に注意!!

これまでも何度なく発生している、ウソのメールで、不正なホームページのURLをクリックさせ、個人情報を盗む「(メールでの)フィッシング詐欺」が、またしても発生しました。

 三菱東京UFJ銀行をかたるフィッシングがまた発生、個人情報は入力しないで
  -INTERNET Watch

 http://internet.watch.impress.co.jp/docs/news/20140919_667682.html


なお、このウソのメールは、「銀行のシステムがアップグレード(更新)されたので、直ちに、ご登録してください」というものです。

  「システムが変わったから再登録してください」
  というようなメールが、銀行などから来ることはありません!!

  このようなメールは無視してください!!


また、銀行からのメールだからと言って安心してはいけません。

銀行からのメールの場合、まずは、落ち着いて、このメールが本当に正しいのか、ダマそうとしていないか、じっくり確認してください。

  もともと銀行などからのメールは、お知らせメールだけです。
  「再登録してください」「返信ください」などといった、
  行動を要求するメールはありません。

「何か、行動をしてください」というようなメールは、ウソのメールだと考えても間違いはありません。


なお、今回の個人情報を盗む「フィッシング詐欺」、下記に詳しい説明があります。

 フィッシング対策協議会 Council of Anti-Phishing Japan |
 三菱東京UFJ銀行をかたるフィッシング(2014/09/19)
 https://www.antiphishing.jp/news/alert/ufj20140919.html

このサイトによると、以下のウソのメールが来て、メールの中のURLをクリックすると、ウソのホームページに誘い出され、個人情報を盗まれます。
『こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「*****銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

以下のページより登録を続けてください。

https://・・・・・・・・・・・・・・・・・・・・・・・・・』



■フィッシング詐欺とは

よく話題になる、「フィッシング詐欺」とは、だまして偽りのホームページに誘い、個人情報を盗む詐欺行為です。

   フィッシング詐欺は、インターネット版の「振り込め詐欺」

と呼ばれています。

フィッシング詐欺の多くは、

  正規の銀行などからのメールを装い、
  メールに書かれたURLをクリックさせることにより、
  ウソの金融機関やショッピングサイトなどにユーザを誘導し、
  クレジットカード番号やパスワードなどをだまし取ります。

年々その手口は巧妙化しています。


なお、フィッシング詐欺は"phishing"と書き、"fishing"と同じ発音ですが、魚釣り(fishing)ではありません。

ユーザーを「釣る(fishing)」と、その手法が「洗練されている(sophisticated)」の造語です。フィッシング詐欺は「甘い餌で人を釣る」ことですから、イメージ的には魚釣り(fishing)と合いますね。

以下の3点は、ウィルス対策全般に基本的なことですが、「フィッシング詐欺」対策でも大事なことですね。


 1.メールを完全に信用しない、あやしいメールは無視して即削除する

 2.少しでも怪しいリンクはクリックしない

 3.個人情報を安易に入力しない


2014年9月19日金曜日

「LastPass」などのパスワード管理ツールに潜む危険性、研究者が指摘! パスワードの管理方法とは?

「LastPass」などのWeb版のパスワード管理ツール、人気があり、以前から使いたいと思っていました。しかし、登録したパスワードが自分の知らないところに保存されるので、何か不安で利用するのをためらっていました。

なお、2014年07月17日発表の記事によると、米カリフォルニア大学バークレー校の研究チームが、「LastPass」などの代表的なWeb版のパスワード管理ツールにも欠陥があると報告しています。

また、2016年01月19日発表の記事によると、米セキュリティ研究者が、「LastPass」の欠陥を発見し、フィッシング詐欺攻撃で、LastPassに保存された全パスワードが盗まれる危険があるとのこと。


やはり、Web版のパスワード管理ツールにも問題があるようです。どんなシステムにも、「100%安全なシステムは無い」という前提で、活用方法を考えたら良いですね。


なお、パスワードが増え管理が大変だから、それを一カ所で管理し、いつでも簡単に使えるようにしよう・・・というのがWeb版のパスワード管理ツールです。

では、一カ所に管理・保管されたパスワード、本当に悪用されたり、盗まれたりしないの?と疑問になります。このような不安や疑問を持っていたら、2014/07/17記載の下記の記事に、『Web版のパスワード管理ツールに潜む危険性、研究者が指摘』とありました。

 Web版のパスワード管理ツールに潜む危険性、研究者が指摘 - CIOニュース:CIO Magazine
 http://itpro.nikkeibp.co.jp/atcl/idg/14/481709/071700003/


米カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘しています。今回調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれも人気のあるサービスです。

研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったそうです。全体として、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えているようです。



追記:2016年01月19日

 パスワード管理のLastPass、フィッシング攻撃でパスワード流出の恐れ - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1601/19/news053.html


パスワード一元管理サービス「LastPass」のユーザーにフィッシング詐欺攻撃を仕掛けて、LastPassに保存された全パスワードなどの情報にアクセスできる手段が発見されたと、米セキュリティ研究者のショーン・カシディ氏が発表。

LastPassは1月18日、この発表を受けてフィッシング詐欺防止のための対策を講じたことを明らかにしたが、カシディ氏はこの対策について、「これでLostPass問題の大部分は緩和されるものの、完全に排除できるわけではない」と評しているそうです。


追記:2015年06月16日

 パスワード一元管理のLastPassにハッキング、情報流出も - ITmedia エンタープライズ
 http://www.itmedia.co.jp/enterprise/articles/1506/16/news050.html


米LastPassは6月15日、LastPassアカウントの電子メールアドレスや認証ハッシュなどがハッキングされたと発表。流出したのはアカウントの電子メールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュなど。

一方、暗号化されたユーザー保管庫のデータが盗まれたり、ユーザーのアカウントに不正アクセスされたりした痕跡は見つかっていないと強調。保管庫に保存された他のWebサイトのパスワードも無事だったということです。

でも、やはり、不安ですよね。パスワードは、やはり自分自身で保管するのが良いかもしれません。



■ 100%安全なシステムを構築することは不可能、Web版のパスワード管理ツールは不安


以前聞いた話に、「100%完全なソフトを作ることは不可能」というのがありました。人間がソフトを作り管理している以上、「100%安全なシステムを構築することは不可能」だと思います。

「LastPass」「RoboForm」など、確かに便利なパスワード管理サービスですが、このようなシステムも100%完全ではなく、不備や欠陥は存在すると考えたら良いと思います。


なお、パスワード管理サービス以外のクラウドサービスも同じで、必ず不備や欠陥は存在し、100%安全なシステムはないと思います。

しかし、Webサービスなどのクラウドサービスは、便利な面もたくさんあります。

「100%安全ではない」という前提で、例えば、インターネットには暗号化して保存するとか、2段階認証を設定するなど、活用方法を考えたら良いですね。



■ パスワードをどうやって管理するか?


長年、どうやってパスワードを管理するか考えてきて、今、私が実施している方法を以下に紹介します。なお、これでも100%安全とは言えませんが、少しでも参考になれば幸いです。


(1) 各種ログインID・パスワード一覧を、自分が普段使っているソフトで作成する。
   *この時、ファイル自体にパスワードをかける

(2) (1)で作成したログインID・パスワード一覧を暗号化Zipで圧縮&暗号化する。
   *データの紛失を考え必ず暗号化する

(3) (2)の暗号化Zipファイルを(2段階認証を実施した)オンラインストレージ「Dropbox」に保管する。
   *オンラインストレージ保管なので(1)、(2)で暗号化し、不正ログインを防止するため、

     2段階認証にすることが大事です。


(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに書込み手元に置いておく。
   *小型ノートの紛失を考え、サービス名・ログインID・パスワードが類推されないよう

    注意する。例えば、パスワードは逆に記載するとか。




(1) 各種ログインID・パスワード一覧作成

私は簡易的なデータベースソフトを使用していますが、例えば、Microsoftの表計算ソフト(Excel)や無料のオフィスソフト「LibreOffice」の表計算ソフトでも良いですね。

なお、表計算ソフトを使う場合には、万が一のことを考え、作成したファイルに読み込み時のパスワードを設定することをお勧めします。


(2) 一覧ファイルを暗号化Zipで圧縮&暗号化
私は次の方法で実施しています。暗号化Zip作成は、Windows7以降はOSで対応していないので、次のソフト活用をお勧めします。

  暗号化圧縮形式Zip対応のフリーソフト「7-Zip」を活用  *詳しくは補足参照
  

(3) 暗号化Zipファイルをオンラインストレージ「Dropbox」に保管

私は、Dropboxを長年愛用しているので、Dropboxに保管していますが、セキュリティ上、不安な方は「暗号化機能付きのUSBメモリ」でも良いですし、この方が安全かもしれません。

なお、オンラインストレージ「Dropbox」でも、大事なパスワードをインターネットに保管するので、100%安全とはいえませんが、2段階認証しファイルを暗号化すれば、不正アクセスを防ぎ、万が一情報漏洩しても安心できると考えています。

100%安全・安心を実行するには大変な労力と不便さを伴いますね。安全と利便性、どこで折り合いをつけるかを考えることが大事です。



(4) 万が一を考え、大事なログインID・パスワードのみを特別な小型ノートに記録

オンラインストレージ、いつでも安心して使えるとは限りません。そのため、万が一を考え、大事な一部のログインID・パスワードを小型のノート(電話帳みたいなもの)に記載して、手帳と共に常時、持っています。




■ ≪補足≫暗号化圧縮形式Zip対応 フリーソフト「7-Zip」の使い方



このソフトは、圧縮・解凍ソフトでは代表的な人気のあるソフトです。専用の形式「7zフォーマット」に対応するほか、各種の圧縮・解凍形式をサポートしています。また、強力な「256AES 暗号化機能」、自己解凍形式、ファイルの分割・結合、テストの実施、お気に入り機能などをサポートしています。

 ダウンロード : http://sevenzip.sourceforge.jp/

7-zipのダウンロードは、32ビット版と64ビット版が用意されているので、環境に合わせてダウンロードしましょう。ちなみに、「32ビットか64ビットか?」は、OSの違いで判断します。

スタートメニューの「プログラム」に「7-Zip File Manager」の項目が追加されますので、これを実行します。または、7zFM(7zFM.exe)をダブルクリックして起動します。7-Zipは”2画面分割”で使うと操作が便利になります。

なお、USBでも使えるポータブルタイプの「7-Zip Portable」もあります。私は、このポータブルタイプをDropboxのフォルダーに保管して利用しています。

 7-Zip Portable: http://portableapps.com/apps/utilities/7-zip_portable


2014年9月18日木曜日

インターネットバンキング、ログインしただけで不正送金! あなたは大丈夫ですか?

インターネットバンキング、私も利用していますが、今、非常に危険な状態です。今回は、インターネットバンキングの危険が今どんな状態にあるのか、また、その対策について考えてみたいと思います。

下記の記事によると、インターネットバンキングの正規サイトにログインするだけで、犯罪者の口座に不正送金されるウイルスが5月以降、日本で2万件以上も検出されています。

 ネット不正送金、新種ウイルス2万件超 世界の8割が日本標的- ITmedia ニュース
 http://www.itmedia.co.jp/news/articles/1409/17/news054.html

さらに4~6月には、日本での不正送金ウイルスの検出件数が世界の24%に上り、米国(14%)を抜きトップとなりました。ウイルスもますます巧妙になっており、本当に危険な状態です。



なお、インターネットバンキングは、自宅のパソコン・スマホに銀行のATMがあるような感じです。この自宅ATMは、インターネットから常に狙われていると思ったほうが良さそうです。

このオンラインバンキング、つまり自宅ATMは、パソコン・スマホから使いますが、何も対策をしないと、「パスワードを貼ったカード」をATMの近くに置くようなものです。だれでも、お金を引き落とすことができます。

なお、パソコン・スマホをインターネットの危険から守るのが「セキュリティ対策ソフト」です。オンラインバンキングを使う人は、必ずこのソフトを使うことが必要ですね。

様々なソフトがありますが、昔から使われている、大手の「ウイルスバスター」、「マカフィー(McAfee)」、「ノートン(Norton)」のセキュリティ対策ソフトをお勧めします。

ちなみに、私は、Windows7パソコンでは「ウイルスバスター」、Windows8.1パソコンでは「マカフィー(McAfee)」のセキュリティ対策ソフトを使っています。



なお、下記の記事では、インターネットバンキングで自分の口座にログインすると、自動的に他の口座に不正送金される新型ウイルスが今年5月以降、国内の2万台以上のパソコンで検出されたことが、わかったそうです。
えっ! 国内の2万台以上のパソコンで新型ウィルス検出! 本当に驚きです。

 ログインしただけで不正送金 新型ウイルス国内で検出:朝日新聞デジタル
 http://www.asahi.com/articles/ASG9J3Q7VG9JULFA00F.html



また、セキュリティ対策ソフト大手、トレンドマイクロのブログによると、7月31日には、計 37社の銀行、クレジットカード会社が標的になっていることを確認したそうです。

 国内の銀行・クレジットカード会社37社を狙う自動不正送金ツールを徹底解析|トレンドマイクロ ブログ
 http://blog.trendmicro.co.jp/archives/9884


■インターネットバンキングを安全に使うためには


上記の、トレンドマイクロのブログを参考にしながら、対策を考えてみたいと思います。


(1) 総合的なセキュリティ対策ソフトを利用すること

昔から使われ有名な「ウイルスバスター」、「マカフィー(McAfee)」、「ノートン(Norton)」のセキュリティ対策ソフトをお勧めします。なお、フリーのセキュリティ対策ソフトがありますが、機能が限定され不安です。

なお、「総合的なセキュリティ対策ソフト」以外に、ウイルス・スパイウェア対策に限定したソフトもあるので、ソフト購入時には注意しましょう。

また、スマホもパソコン同様、危険です。必ず、セキュリティ対策ソフトを導入しましょう。


(2) 「ウイルス定義ファイル(ウイルスパターンファイル)」を定期的に更新。

セキュリティ対策ソフトの定義ファイルには、ウイルス・スパイウェアのパターンを持っています。定期的に最新版に更新しましょう! もし、更新しないと、新しいウイルス・スパイウェアを検出できません。


(3) パソコン・スマホのプログラム・アプリには修正プログラムを導入する。

ソフトウェアの不具合を狙ってウイルスが侵入します。そのため、ソフトウェアの不具合は修正しておく必要があります。修正プログラムというのは、メーカー各社が発表する、ソフトウェア製品の不具合を修正するプログラムのことです。

Windowsのパソコンで言うならば、①マイクロソフト製品、②Flash Player、③Adobe Reader/Adobe Acrobat、④Oracle Java(JRE)が、主に対象になります。定期的に修正プログラムを適用することが大事です。


(4) 「Web レピュテーション」機能の活用

「Web レピュテーション」は、感染源となる不正サイトへのアクセスを防ぐ機能です。レピュテーション(Reputation)とは「評価」や「評判」という意味です。

近年増加しているのが、不正サイトによるウイルス感染です。こういった不正サイトをブロックする機能が、Webレピュテーションという機能で、最近ではほとんどのセキュリティ対策ソフトに搭載されています。

Webレピュテーションは、インターネット上のWeb サーバーを危険度により評価付けし、危険性の高い Web サイトへの接続を制御・抑制することにより、Webからの脅威に効果的に対抗します。


《参考》セキュリティ対策ソフトが持つべき基本機能です。自分が使っている対策ソフトが次の機能を持っているか確認しましょう。

 機能1: ウイルス/スパイウェア対策
 機能2: フィッシング詐欺対策(詐欺サイト対策)
 機能3: 迷惑メール対策
 機能4: パーソナル・ファイアウォール機能(不正侵入対策)
 機能5: Webアクセス保護(サイトの安全性チェック、Web レピュテーション)

2014年9月13日土曜日

Googleサービスへの不正アクセスを防ぐ、2段階認証を設定しよう!!


(注)誤解を招く内容があったため、一部修正しました。

2014年9月11日のニュースで、500万件におよぶGoogleのアカウント情報(ユーザ名およびパスワード)が流出したとありました。原因はGoogleのシステムではなく、他のサービスのアカウント情報を活用した不正アクセスと見られています。

なお、自分のGoogleサービスに不正アクセスされないよう、この機会に、パスワード変更か2段階認証を設定したほうが良さそうです。

私も、このニュースを聞いて、以前から設定しようと思っていたGoogle「2段階認証」を、ようやく設定しました。今回は、セキュリティ強度を大幅にアップする「2段階認証」について、簡単に紹介します。



実は、以前、Googleを「2段階認証」にしようとして、操作が面倒だった為、中止したことがありました。今回は、意外とスムーズにできたので、何か改善されたかもしれません。

今回の原因は、Googleのシステムに対する不正侵入によって流出したものではなく、Googleとは関係のない活動で収集されたアカウント情報を活用して、Googleのアカウント情報が流出したものとみられています。

 参考情報:アカウント500万件流出疑惑にGoogleが実態を説明 | マイナビニュース
 http://news.mynavi.jp/news/2014/09/11/498/

 参考情報:約500万件のGmailアドレスとパスワードが流出 -BIGLOBEニュース
 http://news.biglobe.ne.jp/it/0911/mnn_140911_5047700405.html


《補足》アカウント情報を使い回ししない!!
Google含め様々なサービスで、同じアカウント情報(ユーザ名およびパスワード)を使っていると、他のサービスのアカウント情報が盗まれた場合、その情報でGoogleサービスも不正侵入されるので大変危険です。

アカウント情報を使い回ししないこと、特に、様々な情報を記録しているGoogleサービスのような場合には、専用のアカウント情報にしたらよいですね。


■2段階認証方式とは

2段階認証方式にした場合、ユーザー名とパスワードに加えて、事前に登録した電話やスマホのメールで受け取る確認コードを入力しなければログインできません。

結果として不正アクセスを行われる危険を大幅に軽減することができます。

2段階認証プロセスを有効にすると、ユーザーのパスワードが盗まれた場合も、ユーザーのアカウントを不正アクセスから保護することができます。


パスワードが解読、類推、盗用されたとしても、攻撃者は確認コードにアクセスできなければ、アカウントにログインできないので、安全ですね。

なお、Googleサービスにも Apple、Amazon (AWS)、Dropbox、Evernote、Facebook、GitHub、Microsoft、Twitter、Yahoo! 等でもこの2段階認証は使用できます。


■Googleサービスの2段階認証の方法

2段階認証プロセスを導入すると、ログイン時にユーザー名やパスワードの他に確認コードの入力が求められるので、Googleアカウントを安心して利用できます。

なお、2段階認証を設定する場合、確認コードを取得するのに、携帯またはスマホが必要になります。さらに、パソコン、スマホ、Googleドライブ・クライアント、それぞれで、確認コードの入力が必要なので注意ください。


まずは、Googleのアカウント情報の「セキュリティ」を開いて、2 段階認証プロセスを有効にして下さい。






その後、確認コードを受け取る、携帯またはスマホの電話番号かメールアドレスを入力します。私の場合は、スマホのメールアドレスを入力しました。

そうすると、スマホに確認コードのメールが届くので、その番号を入力すれば完了です。








なお、この時に、「このパソコンでは今後、コード入力ウィンドウを表示しない」にチェックすることが大事です。こうすれば、次回からは、確認コードを入力しなくて済みます。

(注1)確認コードは時間制限があり、一定時間を過ぎると無効になりますが、再度、確認コードが送信されてくるので、それを入力します。

(注2)二段階認証にした場合、スマホでも再度ログインし、確認コードを入力する必要があります!! この場合も、「次回以降は確認コードを入力しない(正確な文章は忘れました)」というような箇所があるので、そこにチェックを入れてから、確認コードを入力して下さい。

(注3)Googleドライブ・クライアントを使っている場合、再ログインして確認コードを入力する必要があります。Googleドライブをいったん終了し、再度ログイン後、確認コードを入力して下さい。


《参考》スマホ変更時の認証アプリの移行方法

以下のサイトで、iPhoneからAndroidに機種変更した時を例に、認証アプリの移行方法が詳しく紹介されています。

【機種変更時は忘れずに!】Googleアカウントの認証アプリを新しいスマホに移行する方法
 | できるネット
 https://dekiru.net/article/15134/

2014年9月6日土曜日

「パーソナルファイアーウォール」とは?インターネットの不正アクセスを防ぐ

最近のウイルス対策ソフトは、”セキュリティソフト”と呼ばれるようになり、ウイルス/スパイウェア対策に加え、フィッシング詐欺対策、迷惑メール対策、そして、パーソナル・ファイアウォール機能も持っています。

これらの機能の中で、分かりづらいのが「パーソナル・ファイアウォール機能」ですね。この機能、簡単に言えば、インターネットからの不正侵入を防ぐ機能です。

  パーソナル・ファイアウォール

   パーソナル   : 個人のコンピュータ
   ファイアウォール: 攻撃を防ぐ防火壁


個人のパソコンがインターネットにつながっている場合、極端に言うと、パソコンは「インターネットから丸見え」の状態になっています。

この「丸見え」の状態からパソコンを守り、インターネットからの不正な攻撃や、パソコンからの情報流出を防ぐのが「パーソナルファイヤーウォール」です。

最近は、ADSL、光ファイバーで、パソコンはインターネットに常時接続する時代になり、パソコンはインターネットから常に「丸見え」の状態になっています。

インターネットに常時接続されている場合、この「パーソナルファイヤーウォール」は大事な機能になります。

なお、”パーソナル”という言葉があるように、パーソナルファイアウォールは、主に個人利用のパーソナルコンピュータを対象とし、インターネットからの侵入、パソコン内部からインターネットへの通信を検知、不正なアクセスを防ぐことを目的としています。

なお、「パーソナルファイヤーウォール」があればウイルスやスパイウェア対策のソフトは不要、との話を聞く事がありますが、やはり、ウイルスやスパイウェア対策のソフトは必須です。

「パーソナルファイヤーウォール」では、メールの中のウイルスやスパイウェアは防ぐことができないからです。


 パーソナルファイヤーウォールは”ガードマン”、不審者を見つけます

 しかし、”ガードマン”の目をごまかし、不正侵入する不正ソフトがいます

 この不正ソフトを検出し駆除するのがウイルス対策・スパイ対策になります。



■パーソナルファイヤーウォールの使い方
最近のセキュリティソフトには、ほとんど、パーソナルファイアウォールの機能が付いています。

セキュリティソフトをインストールすると、大体のソフトの場合、ファイヤーウォールが有効になります。その場合は、そのまま使用したほうが、設定に混乱することなく使用できると思います

なお、Windowsにも、簡易的な「パーソナルファイヤーウォール機能」が付いていますので、これを活用するのも一つの方法です。

また、「パーソナルファイヤーウォール」を実現するフリーソフトもあり、使用してみましたが、パソコンに詳しい人でないと使い方が面倒で、あまりお勧めしません。


■ブロードバンドルーターも簡単なパーソナルファイヤーウォール
ブロードバンドルータとは、ADSL、光ファイバーなどのブロードバンド回線利用環境で、複数台のパソコンをインターネットに接続するものです。

ブロードバンドルータを使用すると、パソコンはブロードバンドルータを通じてインターネットに接続しているので、直接、パソコンがインターネットから不正攻撃を受けることはありません。

しかし、パソコンがインターネットの情報をみたとき、その応答で、不正攻撃を受けることがあります。

変な例えですが、出前を注文した時に、不審者が出前を持って来る人になることが考えられます。

 「ブロードバンドルータ」は家を守る簡易的なガードマン
 「パーソナルファイヤーウォール」は優秀なガードマン

と考えると良いと思います。

「パーソナルファイヤーウォール」は、出前を持ってくる人になりすました不審者も検出します。


■パーソナルファイヤーウォールとは

・インターネットからの不正な攻撃(侵入)を防ぐ
・パソコンのソフトによるインターネットへの勝手な通信を防ぐ


パーソナルファイヤーウォールとは、インターネットと個人のパソコン間の「通信を監視するソフトウェア」です。

インターネットから個人のパソコンに不正な通信があった場合、それを止めたり、また、パソコンからインターネットへの通信も監視して、インターネットへの不正な通信を止めてくれます。

個人のパソコンのインターネットとの通信を監視し、外からの攻撃を防ぎ、またパソコンのソフトウェアがインターネットに情報を流出させるのを止めてくれるソフトウェアが「パーソナルファイヤーウォール」です。

”ガードマン”にも、優秀なガードマンと普通のガードマンがあるように、「パーソナルファイヤーウォール」にも、厳重なものと簡易的なものがあります。

最近のセキュリティソフトは、ほとんどが、この「パーソナルファイヤーウォール機能」を持っています。一番、機能的に優れ使いやすいのは、このセキュリティソフトの「パーソナルファイヤーウォール機能」です。ぜひ、この機能を活用しましょう。


なお、ADSLや光ファイバーでインターネットに接続している場合、ブロードバンドルータを導入している場合があり、これも外部からの攻撃をある程度防いでくれますが、万全とはいえません、この「パーソナルファイヤーウォール機能」も利用したほうが安全です。


《補足》

パーソナルファイヤーウォールは、"個人で使うファイヤーウォール"ですが、このファイアーウォール (Fire Wall) は "防火壁" の意味で、ネットワークの外側からの攻撃や侵入を防ぐための仕組みです。以下の機能があります。

 ・内部、外部からの通信を選択的に透過、遮断する
 ・ログに攻撃などの記録を残す

パーソナルファイアーウォールは、「パソコン用のソフト」としてパソコンにインストールして使うソフトです。

企業などがインターネットに接続するところに置くファイアーウォール専用装置は、専用装置がネットワーク全体を守るのに対し,パーソナルファイアーウォールは1台のパソコンを守るという点にあります。