YouTubeで動画を見ていたらいきなり警告の表示が出現!どう対処すればいいの?
ダメなものはやっぱりダメ
●先日、パソコンに何か変な表示が出てくるということでサポートにお伺いしました。驚くことにそのパソコンはいまだにWindows XPで、普通にネットをしているということでした。
●診断してみるとウイルスに感染していていわゆるランサムウェアというもの・・のモドキでした。モドキですので今回は暗号化の被害はなかったものの、ディレクトリというディレクトリにウイルス関連ファイルが約1000個近くも放流されていて、個数だけでいうならば私のサポートで今年のウイルス診断サポートのレコード1位となりました。
●ウイルスソフトは導入されていたものの、Adobe関連やその他のアップデートが適用されていない上、サポート期間が終了して1年以上も経過しているWindows XPですから感染は当然といえば当然です。
●XPのディレクトリ構造とアクセス管理、アクセス権限では、脆弱性を突かれた場合にフルアクセスが可能になり一気通貫状態となってそこら中のフォルダにアクセスされてしまうのです。
●サポートが終了したXPであるが故にこのような事態を招いていることははっきりとしています。少なくともWindows7や8.1では、ここまでには至らないでしょう。
●しかし、実際にこういうサポート先での現実を前にすると納得というか、"ダメなものはやっぱりダメ"というITの不文律は鉄壁だということが分かります。
●近頃、「Windows XPが危ないとあれほど言われていたけれど何にも起きていないよね、あれはやっぱり買い替え需要のステマだったんじゃないの?」といわれる方がいます。それは単にこれまで運が良かったか、それなりの使い方しかしていないからであって、自分の物差しで物事を計ってはいけませんね。
Windows XPは3匹のこぶたの「藁の家」
●しかし、安全対策としてOSの種類や新しさへの依存だけというのも的外れです。「3匹のこぶた」という有名な物語で例えた場合、Windows XPは「藁の家」であり、Windows7、8.1は「木の家」です。ということは7、8.1ですら強力なヤツが現れた場合、吹き飛ばされるということ。
●では、吹き飛ばされなかった「レンガの家」に相当するものは何でしょうか?まさかWindows10?・・・ それはないですね。Windows10でも強固なレンガとまではいかないでしょう。それでも軽量鉄骨くらいには相当するかも。
●ではレンガの家はどんな環境かというと、LinuxといいたいところですがWindowsでどうかといわれたら以下の3つが「レンガの家」の材料となります。
○Windows10を使いアプリケーションとOSの日常的な更新適用
(ドライブバイダウンロードの防止)
○マルウェア相当のフリーソフト類はインストールしていない
(オープンソースソフトウェアの利用が中心)
○ユーザーの高いスキル、情報リテラシー
(誘導されやすい罠や手法に引っかからない知識、適切な処理)
●これらのひとつでも欠けた時点で「レンガの家」は完成しないと言っていいでしょう。では、この材料はどうすれば手に入れることが出来るのでしょうか?
レンガの家の材料、重要な3つ目の「ユーザーのスキル、情報リテラシー」
●セキュリティー対策は外部からの攻撃に耐えるようにと鍵を頑丈なものにするとか、壁を厚くするとか、警備を厳重にする・・という物量作戦、要するにセキュリティーソフトやUTMなどのネットワーク機器によるサービスなどに向けられがちです。しかし、それらではどうしようもない「標的型」「水呑場型」という、内部から崩していく攻撃が登場してきていますのでそうした物量作戦には既に限界があります。
●やはり、内部からしっかりと弱い部分の補強をしたり、攻撃を招かない行動や狙われない方策、感染したとしても適切な処理が必要です。
●最近では、外部からの攻撃というものについてはかなり対応や対策が進んでいて、そう簡単に不正アクセスされることはなくなってきています。ところが、内部からの「信用誤爆」については脆く、要するにユーザーの「ミス」「理解不足」「意識の低さ」が脅威そのものになってしまっています。
●例えば、フィッシングメールへの迂闊なアクセスや偽セキュリティーアラートに連絡して偽リモートサポートなどを受けてしまったということが実際にサポート相談依頼のユーザーに起きています。
●そうした実情への打開策も実は「3匹のこぶた」にヒントが隠されています。
●レンガの家はオオカミに吹き飛ばされませんでしたが、オオカミは煙突を見つけてしまいます。要するに煙突はレンガの家の「脆弱性」です。しかし、一番下の弟ぶたくんは賢いため、とっさに暖炉に火を付けるという作戦に出て侵入を試みようとしたオオカミを撃退、兄弟は皆助かりました。これは「スキル、リテラシー」に相当します。これがレンガの家の材料の3つ目、「ユーザーのスキル、リテラシー」ということです。
●しかしながら私の住んでいる地域や行政では、このようなスキル向上へ向けての講習や勉強会がなぜか全く行われていません。もちろんワープロ教室やタブレット教室も必要かもしれませんが、IT環境やデータという「財産」を守るためにもITに関する講習会や勉強会をもっと行う必要があると思います。
九州インターワークス
NetProve ネットプローブ「情報管理サービス」
http://www.kumin.ne.jp/kiw/security.html