untitled

2006 年度

企業・個人の情報セキュリティ対策事業

小規模企業のための情報セキュリティ対策

平成

19 年 4 月

独立行政法人 情報処理推進機構 セキュリティセンター

（制作：アイティメディア株式会社）

はじめに

ADSL や光ケーブルなどのブロードバンド回線の普及と共に、インターネットを利用する際のセキュ リティ対策を求める声が多くなってきました。 しかし残念なことに、どのような脅威があり、その脅威から守るためにどのような方法があるのかと いったことは広く知れわたっていません。 そこで本書では、家庭、SOHO、小規模の企業・組織で、インターネットに接続してコンピュータを 利用されている一般ユーザ、そして小規模のネットワークを構築している管理者向けに、セキュリティ 対策のポイントを解説しています。 また、セキュリティ対策のポイントごとに、具体的な設定方法も記述し、コンピュータに関する知識 があまり詳しく無い方でも実践出来るように配慮して編集しています。 本書が、小規模の企業・組織や家庭ユーザのセキュリティ対策向上に役立つことを期待します。 （編集の前提とするOS とバージョンについて）

本書の内容は、家庭向けとして、Windows XP SP2、Windows Vista、Mac OS 10.4 のクライアント OS をお使いの方、そして事業者向けとして、Windows 2000 Server、Windows Server 2003、Mac OS 10.2 Server、Vine Linux 4.0、Fedora Core 6 のサーバ OS をご利用の方を対象にしています。

目次

第

1 章 セキュリティの対策の重要性と現状

1.1 セキュリティとは何か...12 1.2 セキュリティ対策の必要性...14 1.3 さまざまな脅威とその対策...15 1.3.1. おもな脅威 ... 15 1.3.2. 具体的な攻撃手法とその対策方法 ... 16

第

2 章 一般ユーザ向け コンピュータのセキュリティ対策

2.1 セキュリティ対策のポイント ...31 2.1.1. ウイルス対策... 31 2.1.2. スパイウェア対策 ... 32 2.1.3. OS やソフトウェアのアップデート ... 32 2.1.4. パーソナルファイアウォールの導入... 33 2.1.5. 無線 LAN の安全な利用... 34 2.1.6. パスワードの設定 ... 34 2.2 Windows XP の設定方法 ...36 2.2.1. Windows XP のインストール ... 36 2.2.2. セキュリティパッチの適用 ... 37 2.2.3. セキュリティセンターの設定... 39 2.2.4. アカウントのセキュリティ設定 ... 40 2.2.5. パスワードのセキュリティ設定 ... 47

2.2.6. リモートからのアクセス制限... 50 2.3 Windows Vista の設定方法 ...54 2.3.1. Windows Vista のインストール... 54 2.3.2. セキュリティパッチの適用 ... 56 2.3.3. セキュリティセンターの設定... 56 2.3.4. アカウントのセキュリティ設定 ... 60 2.3.5. パスワードのセキュリティ設定 ... 64 2.3.6. リモートからのアクセス制限... 67 2.4 Mac OS X の設定方法 ...69 2.4.1. 基本設定（環境設定の見直し） ... 69 2.4.2. ソフトウェア・アップデートの利用... 81 2.5 ブラウザとメーラの設定方法 ...85 2.5.1. Internet Explorer 6.0 の設定 ... 85 2.5.2. Internet Explorer 7 の設定 ... 90 2.5.3. Outlook Express 6.0 の設定 ... 99 2.5.4. Windows メールの設定...104 2.5.5. Outlook 2003/2007 の設定 ...111 2.5.6. Safari の設定 ...120 2.5.7. Mail（Mac OS X） の設定 ...123 2.5.8. Netscape 7.1 の設定 ...124 2.5.9. Firefox 2.0 の設定...127 2.5.10. Thunderbird 1.5 の設定 ...129

第

3 章 ネットワーク管理者向け コンピュータのセキュリティ対策

3.1 セキュリティ対策のポイント ...132 3.1.1. サーバのウイルス対策 ...132 3.1.2. OS やソフトウェアのアップデート ...133 3.1.3. ログのチェック ...133 3.1.4. ファイアウォールの導入...134 3.1.5. 定期的なバックアップの実行...134 3.1.6. コンピュータやメディアの廃棄 ...135

3.2 Windows 2000 Server/Windows Server 2003 の設定方法 ...135

3.2.1. インストール...136 3.2.2. セキュリティパッチの適用 ...136 3.2.3. アカウントのセキュリティ設定 ...137 3.2.4. パスワードのセキュリティ設定 ...139 3.2.5. リモートからのアクセス制限...143 3.2.6. ログの確認 ...149 3.3 Mac OS X Server の設定方法 ...151 3.3.1. 基本設定（環境設定の見直し） ...151 3.3.2. ソフトウェア・アップデートの利用...153 3.3.3. 「ワークグループマネージャ」によるアカウント管理 ....154 3.3.4. 基本サービスの設定...156 3.3.5. Mac OS X Server で利用可能なセキュリティ機能...162 3.4 Linux のサーバ OS の設定方法...167

3.4.1. Vine Linux の設定方法 ...167 3.4.2. Fedora Core の設定方法 ...172 3.5 各種サービスの設定方法 ...175 3.5.1. DNS ...175 3.5.2. SMTP...177 3.5.3. POP3 ...178 3.5.4. HTTP...179 3.5.5. SSH...181 3.5.6. FTP...181 3.5.7. SSL ...182

第

4 章 ネットワーク機器の設定方法

4.1 安全なネットワークの構成...184 4.1.1. 家庭内のネットワーク ...184 4.1.2. SOHO、小規模な企業・組織のネットワーク...184 4.2 ルータ、無線ルータ、ハブの設定方法...187 4.2.1. ルータの設定方法 ...187 4.2.2. 無線ルータ（無線 LAN）の設定方法 ...189 4.2.3. ハブの設定方法 ...190

第

5 章 セキュリティ被害を受けた場合の対策

5.1 セキュリティ被害の事例と対策...191 5.1.1. DoS 攻撃 ...191 5.1.2. 侵入...193

5.1.3. Web サイトの改ざん ...197 5.1.4. パスワード ...199 5.1.5. その他 ...200 5.2 セキュリティ被害を受けたときの対応手順...202 5.2.1. 資料の保存 ...202 5.2.2. 公表情報を検索する...204 5.2.3. 暫定的対応と本格的対応...204 5.2.4. 報告する...205 5.3 セキュリティ対策への取り込みについて ...207 5.3.1. コンプライアンス ...207 5.3.2. 個人情報保護法 ...207 5.3.3. 情報セキュリティポリシー ...208

第

6 章 FAQ

6.1 セキュリティ全般 ...211 6.2 ウイルス関連 ...213 6.2.1. ウイルスの基本知識...213 6.2.2. メール、Web サイト関連...214 6.2.3. ウイルス対策...216 6.2.4. 情報漏洩関連（Winny など）...217 6.3 不正アクセス関連 ...220 6.3.1. 不正アクセス全般 ...220 6.3.2. 侵入...221

6.3.3. 改ざん ...222 6.3.4. 攻撃...222 6.3.5. ログ...223 6.3.6. セキュリティホール...224 6.3.7. パスワード ...225 6.3.8. ファイアウォール ...226 6.3.9. SPAM メール ...226

第

7 章 セキュリティ対策のまとめ

7.1 一般ユーザのセキュリティ対策...228 7.1.1. ウイルス対策...228 7.1.2. スパイウェア対策 ...229 7.1.3. 悪意のある Web サイトの対策...229 7.1.4. フィッシング詐欺対策 ...229 7.1.5. OS やソフトウェアを最新に状態に保つ...230 7.1.6. ファイル共有ソフトの利用とその危険性...230 7.1.7. 常時接続の危険性への対策 ...230 7.2 ネットワーク管理者のセキュリティ対策 ...232 7.2.1. サーバへのウイルス対策...232 7.2.2. OS やソフトウェアを最新に状態に保つ...232 7.2.3. ファイアウォールの導入...232 7.2.4. ログの設定 ...233 7.2.5. アカウントとパスワードの見直し ...233

凡例

・・・ 主にネットワーク管理者向けのセキュリティ対策情報を示す

逆引き目次

ネットワーク管理者を対象とした情報、または、一般ユーザを対象とした情報を、それぞれの対象者 ごとに逆引きで参照いただけます。

ネットワーク管理者向け セキュリティ対策情報

○ 情報セキュリティについての概説と現状を知りたい…… 第1 章 セキュリティの対策の重要性と現状 1.1 セキュリティとは何か...12 1.2 セキュリティ対策の必要性 ...14 1.3 さまざまな脅威とその対策 ...15 ○ セキュリティ対策について具体的なコンピュータの設定方法を知りたい…… 第3 章 ネットワーク管理者向け コンピュータのセキュリティ対策 3.1 セキュリティ対策のポイント...132 3.2 Windows 2000 Server/Windows Server 2003 の設定方法135 3.3 Mac OS X Server の設定方法 ...151 3.4 Linux のサーバ OS の設定方法...167 3.5 各種サービスの設定方法 ...175 ○ 安全性の高いネットワークの構築方法を知りたい…… 第4 章 ネットワーク機器の設定方法 4.1 安全なネットワークの構成 ...184 4.2 ルータ、無線ルータ、ハブの設定方法...187 ○ 悪意のある攻撃を受けた際の緊急対策方法を知りたい…… 第5 章 セキュリティ被害を受けた場合の対策 5.1 セキュリティ被害の事例と対策 ...191 5.2 セキュリティ被害を受けたときの対応手順 ...202 5.3 セキュリティ対策への取り込みについて ...207 ○ 主なセキュリティ対策について問題の問題を知りたい…… 第6 章 FAQ 6.1 セキュリティ全般...211 6.2 ウイルス関連...213

○ 今後、気を付けるべき問題について知りたい…… 第7 章 セキュリティ対策のまとめ 7.2 ネットワーク管理者のセキュリティ対策 ...232

一般ユーザ向け セキュリティ対策情報

○ 情報セキュリティについての概説と現状を知りたい…… 第1 章 セキュリティの対策の重要性と現状 1.1 セキュリティとは何か...12 1.2 セキュリティ対策の必要性 ...14 1.3 さまざまな脅威とその対策 ...15 ○ セキュリティ対策について具体的なコンピュータの設定方法を知りたい…… 第2 章 一般ユーザ向け コンピュータのセキュリティ対策 2.1 セキュリティ対策のポイント...31 2.2 Windows XP の設定方法...36 2.3 Windows Vista の設定方法 ...54 2.4 Mac OS X の設定方法 ...69 2.5 ブラウザとメーラの設定方法...85 ○ 安全性の高いネットワークの構築方法を知りたい…… 第4 章 ネットワーク機器の設定方法 4.1 安全なネットワークの構成 ...184 4.2 ルータ、無線ルータ、ハブの設定方法...187 ○ 主なセキュリティ対策について問題の問題を知りたい…… 第6 章 FAQ 6.1 セキュリティ全般...211 6.2 ウイルス関連...213 ○ 今後、気を付けるべき問題について知りたい…… 第7 章 セキュリティ対策のまとめ 7.1 一般ユーザのセキュリティ対策 ...228

第

1 章 セキュリティの対策の重要性と現状

常時接続や高速回線の環境が当たり前となった現在、コンピュータはウイルス感染だけではなく、ス パイウェア・不正侵入・フィッシングなどの新たな脅威も増え、セキュリティ対策がますます重要にな っています。 また、Web サイトもその規模や、個人・企業・組織といった形態に限らず、さまざまな脅威にさらさ れています。 ここでは、セキュリティ対策の重要性を解説するとともに、実際にどのような被害を受けており、そ の脅威はどのようなものであるかを解説します。

1.1 セキュリティとは何か

インターネットの普及に伴って、コンピュータは生活に欠かせないものになっています。 インターネットに接続できる環境さえあれば、日本はもちろん、世界中から情報を手に入れることが できます。最近は、光ファイバーに代表される高速インターネット接続環境の普及によって、映像や音 楽などの大容量データ配信などもスムーズにできるようになりました。 インターネットの普及とともに、子どもからお年寄りまで、あらゆる世代の人たちが日常生活の中で コンピュータを使うようになっています。数年前まで高価な機器だったコンピュータが、今ではごく当 たり前の家電製品と同じ存在にまでなっています。 また、企業・組織においてもメールのやりとりだけでなく、電子商取引やサイトの開設など、あらゆ るシーンでインターネットが利用されるようになりました。 一方、このようなインターネットユーザの増加、コンピュータの普及に伴って、インターネットにお けるトラブルも急増の一途をたどっています。その一番の問題が「セキュリティ」なのです。 実社会において、暴力行為や泥棒といった犯罪があるのと同じように、IT 社会にも情報の盗難やコン ピュータやシステムの破壊といった犯罪があります。 また、火事や地震、雷のような災害から機器や情報を守ることも大切なセキュリティ対策です。これ らのセキュリティ対策は、IT への依存度が高まるにしたがって、ますます重要になってきています。 とくに問題になっているのが、インターネット関連のトラブルです。インターネットの普及によって、 遠く離れた場所にいてもさまざまな情報をやり取りすることができるようになりましたが、そのため悪 意のある者が社内システムへ侵入したり、情報を盗難したり、またデータの改ざんをするといった危険 性が高まってきています。 最近では、企業・組織等が Web サイトで収集した個人情報などのデータを、ファイル交換ソフトの 使用によって外部へ漏洩してしまうというトラブルも数多く発生しています。 インターネット関連では、ほかにもたくさんあります。たとえば、ウイルス対策をしていなかった場 合は、感染したコンピュータが他のコンピュータにウイルスをばらまいてしまいます。そのため、被害 者となった自分が、今度は自分以外の人にも大きな迷惑をかけて加害者になってしまうことになります。 また、掲示板や Web サイト、オンラインショップなどにおいて個人情報を扱う場合は、世界中のコ ンピュータが接続しているというインターネットの特性をよく理解して、細心の注意を払わなければな りません。

そうした事態から身を守るために必要なのが、情報のセキュリティです。ネットワークの仕組みやそ こに存在する脅威を知って適切な対処を行い、ルールを守りながら使用することで、なにも恐れること なく、コンピュータやインターネットはますます楽しく、便利なものになるのです。

1.2 セキュリティ対策の必要性

今日では、私たちの生活にコンピュータは不可欠であり、私たち一人ひとりはコンピュータのユーザ という立場です。また、コンピュータの1 台 1 台は、サーバや周辺機器と複雑につながりながらネット ワークを形成しています。そして、さらにそれらネットワーク同士がつながってインターネットという 形態になっているわけです。 このネットワークで互いにつながっている世界のことを「サイバーワールド」「仮想社会」などと呼 び、ふだん生活している現実の社会以外にもう1 つの非現実な社会が存在し、私たちは両方の世界の住 人になっているというわけです。 サイバーワールドには、残念ながら悪意を持つ者も存在します。そうした者たちは、ネットワーク社 会の特徴を巧みに悪用しながら、さまざまな攻撃や罠を仕掛けてきます。ですからコンピュータを使う 以上は、インターネットの中の社会の一員であるという自覚をもって、モラルやルールを守ることはも ちろんのこと、それらの攻撃を防ぐ対策をきちんととらなければなりません。 セキュリティを意識しない軽率な行動は、自身だけではなく、同じネットワークを共有する人すべて に多大な迷惑をかけ、取り返しのつかない事態になってしまうこともあるのです

1.3 さまざまな脅威とその対策

ウイルスやスパイウェアなどは、一般にコンピュータを利用する人にとって大きな脅威ですが、さら に大きな被害をもたらすのが「侵入」「踏み台」「盗聴」「なりすまし」「改ざん」、そして「破壊」の行 為です。 悪意を持って、システムに不正侵入したり、データの改ざんや破壊などを行ったりする者（クラッカ ー）の多くは、Web サーバやデータベースサーバなどを独自に構築し、インターネットに接続している ネットワークシステムを狙ってきます。 そこで、ここでは小規模のネットワーク管理者向けに、さまざまな脅威とその対策について解説しま す。

1.3.1. おもな脅威

コンピュータにとっての脅威はさまざまなものがありますが、とくに注意すべき脅威は以下の通りで す。 1) 侵入 アクセス権のない第三者が、企業・組織等のネットワークに不正に入り込む行為をいいます。通常、 ネットワークの入口には認証システム等によるアクセス制限がかかっていますが、これを突破してネッ トワークへ侵入します。 ID（アカウント）とパスワードを不正に入手して認証システムを通過する場合や、サーバの OS の脆 弱性を利用した侵入等があります。 2) 踏み台 攻撃のための中継基地のことをいいます。クラッカーは自分の身元を隠すために、直に自分の器材や 回線から攻撃をせず、一度他人のサーバを乗っ取り、そこからリモートでクラッキングしたい対象へ身 分を詐称しながら攻撃をしかけます。 3) 盗聴 インターネットやネットワークでの盗聴は、電話等の音声盗聴とは違い、主にネットワークを流れて いるパケットを収集、解析による方法と、ID とパスワード盗用による方法があります。 4) なりすまし 他人の ID とパスワードを利用して、文字通りその人物になりすまし、ネットワークの権限を勝手に 使用する行為をいいます。他人名義でのメール送受信や、データの閲覧と改ざん、ショッピングサイト やオークションサイト、ネットバンキングでの取引等がこれにあたります。 5) 改ざん Web サイトやデータの内容を勝手に書き換えてしまったり、システムの設定や内容を不正に変更した りする行為をいいます。「侵入」や「なりすまし」によってデータにアクセスできれば、この改ざんが 用意に可能となります。 サイトの書き換え等はその結果がよく目立つため、すぐに攻撃されたことが判明して対応を進めるこ

とが可能になりますが、データベースのファイルなどを少しずつ改ざんするような、外部から見えない 改ざんは大変に厄介です。管理者は長期間にわたってデータの改ざんに気づかず、誤ったデータを使用 しつづけることで、後で大きな経営・財務上の損害等を引き起こす可能性もあります。 6) 破壊 この行動は通常、クラッカーがどうしても侵入できなかったサイトに対して行われます。 破壊はデータやプログラムを壊す行為で、もっとも被害の大きい脅威です。復旧には労力と時間を要 し、その間、サーバが提供すべきサービスは停止します。復旧できなければ情報資産を失うだけでなく、 本来提供されるはずだったサービスが失われることによる損害（顧客の機会損失、業務の停止等）も大 きな金額になります。 「侵入」や「なりすまし」による内部からの破壊だけでなく、内部に侵入できなかったとしても外部 から「DoS 攻撃」を行う等、対策が難しい問題です。

1.3.2. 具体的な攻撃手法とその対策方法

ここで、具体的にコンピュータがどのような攻撃にさらされているかを見てみましょう。 以下の攻撃方法の具体例と、その対応策を解説します。 ・ポートスキャン ・IP スプーフィング ・パスワード解析 ・盗聴 ・DoS 攻撃 ・リモートアクセス ・リモートコントロール ・Web サイトの改ざん ・SPAM メール 1) ポートスキャン 相手のホストコンピュータにダメージを与える、もしくは侵入する際に、事前の準備として「ポート スキャン」を行う場合があります。 ポートスキャンは、泥棒が家屋に侵入するときに、鍵がかかっていないところを探す行為に近いと考 えることができます。 攻撃する側はこのポートスキャンを行い、不用意に空いている穴を発見するとそこから攻撃を行いま す。つまり、弱い部分を見せると確実に狙われるということです。 ポートスキャンは攻撃のときばかり使用するわけではありません。管理者が攻撃に備えて、自身のサ ーバでどのポートが空いているのか等を確認するときにも使用します。 ここでポートスキャンの結果が問題なくても、決して安心はできません。ポートスキャンは安全性を 確認するものではなく、少しでも安全な環境に近づくためのものに過ぎないからです。

■ポートスキャンの方法 ポートスキャンを行うには、まず相手を絞り込む必要があります。この相手を絞り込む対象としては いくつかありますが、たとえば以下のようなものです。 ・急激に人気の出たWeb サイト ・新規に構築されたWeb サイト ・個人やSOHO などで使用されやすい常時接続サイト ・ダイレクトメールなどの一覧から割り出したWeb サイト ・ドメイン一覧の順 このように、ある程度対象を絞ります。 次に対象となるWeb サイトがどの IP アドレスを使用しているかを調べます。これは、ドメイン情報 が公開されているため簡単に確認することができます。 スキャン対象となるWeb サイトの IP アドレス範囲が割り出せると、実際にどの IP アドレスにホス トが接続されているかを調べる作業に入ります。 たとえば、スキャン対象のWeb サイトに「192.168.0.1」という IP アドレスが使用されているとしま す。このIP アドレス（192.168.0.1）に対して、どのポートが開いているかをポートスキャンによって 確認するのです。 画面01：ポートスキャンの実行例 対象となるホストはポート番号「21、22、23、25、111」が空いていることがわかりました。このポ ートに対して攻撃を行うことになります。 なお、ポートスキャンを実行するツール（ソフトウェア）は、インターネットから無料でダウンロー ドできます。

■ポート番号とは？ サーバのコンピュータ内でアプリケーションを識別するために、サービスごとに割り振られた番号の ことをいいます。サーバ側で当該サービスのポートをオープンにしておけば、クライアントからのリク エストに対して応答でき、対応するアプリケーションを使ってデータのやり取りが可能になります。 標準でよく使われているポート番号として、以下のものがあります。 HTTP（Web サービス）…80、ftp（ファイル送受信サービス）…21、telnet（リモート操作サービス） …23、SMTP（メール送信サービス）…25 なお、ポート番号は、1∼65535 で指定されます。 ■ポートスキャンへの対策 ポートスキャンが行われたからといって、即座に何か問題が発生するとは限りません。重要なことは、 ポートスキャンで何が見つかったかです。危険なポートを開放している場合、そのポートの存在が見つ かったと考えるべきです。もしそうであれば、次は攻撃されると考え、サービスを止めるなど速やかに 対策をとるようにしてください。 2) IP スプーフィング 「IP スプーフィング」とは、「IP アドレス偽装攻撃」とも呼ばれ、自分の IP アドレスを相手の IP ア ドレス等に偽装して攻撃を仕掛けたり、ファイアウォールを突破する方法です。 この攻撃方法は、攻撃元の身分を隠すことができるので、「DoS 攻撃」など他の不正アタックと併用 されるケースがあります。 ルータ上で監視をしていた場合、外部から内側へのパケットで、送信元のIP アドレスと送信先の IP アドレスが一致しているといった不可解なパケットは、IP スプーフィングをされている可能性が高いと 判断されます。 また、外部よりはルータの内側のネットワークで偽装されるほうが、特定が難しいのが一般的です。 ■IP スプーフィングへの対策 この IP スプーフィング防止には、ルータ外部からローカルネットワーク上のユーザになりすます偽 装アクセスを防ぐことができる「SSH」の導入や、専用の監視ソフトウェアの導入などが挙げられます。

図01：IP スプーフィングの例 3) パスワード解析 パスワードの設定は、コンピュータを安全に利用するために欠かせないものです。 しかし、クラッカーは以下のような方法でパスワードを解析し、コンピュータやネットワークに侵入 してきます。 ■ブルートフォースアタック

「Brute force password cracking」とも呼ばれます。これは単純な文字の組み合わせを総当たり戦で 試みるものです。解析の時間が非常にかかる方法ですが、時間さえかければ確実にパスワードを取得す ることができます。 ■辞書攻撃 人名、製品名や商標名といった固有名詞が使用されているパスワードであれば、それらのデータを集 めて試したほうが、ブルートフォースアタックより短期間でパスワードを見つけることができます。こ れが、辞書攻撃と呼ばれるものです。 パスワード解析に使用される辞書は、一般的な辞書・辞典などに掲載されている単語だけでなく、人 名、地名といったものや、よく使われるユーザ名・パスワードなどがあります。さらに、この中に規則 性を持たせた文字列も組み合わせておきます。 たとえば「123」や「aaaa」といったものです。これら を順々に試していくわけです。 この辞書には、変換規則を考慮したデータもあります。たとえば、「orat」のように「taro」の文字列 を逆順にしたり、「tAro」のように一部を文字の大文字にすることや、「taro1」のように先頭や末尾に 数字をつけるというものもあります。 ですから、数字を追加したり大小文字を変えていても、ユーザ名や固有名詞の使用は安全とはいえま せん。 ■パスワード解析への対応 パスワードを設定する際は、最低限、以下のことを守りましょう。 ・定期的に変更する

・類推されやすいものは避ける ・前回のログアウト時間を確認する ・アカウント作成時に付与された初期パスワードは使用しつづけない 定期的に変更するということは、侵入しようとする者がパスワード解析を行うときの猶予期間を短く します。先述したように、パスワードは時間をかければ必ず解析されますので、これはシステムをどう 守るかということ以前であり、セキュリティの基礎ともいえます。 また、さらにセキュリティを高めるには、以下のようなサーバ設定をお勧めします。 ・シャドウパスワードの導入 ・パスワード有効期限の設定 ・ワンタイムパスワード ・通信経路の暗号化 ・アカウント作成時に付与したパスワードを変更させる 新しいサーバシステムであれば、ほとんどの場合が、暗号化したパスワードを通常のパスワードファ イルとは別のファイルに保存しておく「シャドウパスワード」が設定されているはずです。もしくは、 オプションで設定することが可能になっています。 また、ユーザに対して頻繁にパスワードを変更するよう促しても、全員が守ってくれるとは限りませ ん。そこで、パスワードの有効期限を設定することができます。これによって、30 日ごとに強制的なパ スワード変更を行わせる、といったことができるようになります。 ワンタイムパスワードは、入力のたびに毎回新しいパスワードを発行する仕組みであるため、パスワ ードの解析は大変な作業になります。最近はネットバンキングでこの方法の導入が進んでいます。 パスワードの設定では、さらに以下の項目を守るようにしましょう。 ・パスワードのメモは残さない たとえば、パスワードを書いた付箋紙をディスプレイに貼りつけておくといったことは、根本的な部 分に問題があるため行うべきではありません。また、パスワードをワープロソフトなどでデータ化し、 コンピュータに保存しておくことも絶対に避けるべきです。 ・パスワードの文字列だけでなくその長さにも注意 パスワードはシステムが許容する範囲であれば長ければ長いほど頑強です。その反面、あまりに長い パスワードはユーザが覚えきれないという問題もあります。ユーザ自身が覚えきれないほど長いパスワ ードは、結果としてなんらかのメモを残すということにつながりますので、バランスが必要です。 4) 盗聴 盗聴といえば、ワイヤレスマイクを使って行われるものや、電話の盗聴などを連想します。ネットワ ーク上でも、これとよく似たものがあります。 この行為そのものは、直接何かを攻撃するというものではなく、ポートスキャンに近いものです。し かし、ネットワーク上を流れるパスワードやメールなどの情報は、暗号化されずにそのままの状態で送 受信されているため、容易にデータの盗聴は可能なのです。 とくに、現在使用されている「IPv4」と呼ばれる IP アドレスの仕様では、パケットの暗号化は含ま

れていません。次世代の「IPv6」ではパケットの暗号化や認証の仕組みも組み込まれていますが、現在 ネットワーク上を流れるデータはほとんどがIPv4 の仕様に基づくものです。 ■盗聴の方法 盗聴を行うためのソフトウェアの入手は簡単です。OS に添付されている場合もあります。これらは 本来ネットワーク管理を目的としたものですが、悪用することによってネットワーク上のデータを盗聴 することができます。

たとえば、Windows 2000 Server の「ネットワークモニタ」や、Linux のサーバで広く使用されてい る「tcpdump」等が代表的な例です。 これらを使用すると、管理のためにパケットを見ていても、どこからどこに対してtelnet しているの か、またログインなどのやりとりまでも見えてしまいます。 画面02：Windows 2000 Server のネットワークモニタでログインデータをキャプチャリングした例 盗聴を行うには、サーバに何らかのモジュールを仕込む必要はありません。とくに、シェアードハブ を使用しているネットワークであれば、盗聴を行うためのコンピュータが1 台あれば十分です。そのコ ンピュータをハブの空いているポートにつなぐだけで盗聴が可能なのです。 スイッチングハブを使用しているネットワークではこれが難しくなります。そこで行われる手法は、 サーバに盗聴のモジュールを仕込む手法です。これによって、サーバに対してデータのやりとりが発生 するものに関してを盗聴することができます。 つまり、盗聴を行うには、そのネットワークに対して実際に入り込む必要があります。クライアント やサーバに侵入し、盗聴のモジュールを仕込み、そのデータをリモートで送信するという手法です。 この場合、最大の障壁は侵入しなければならないという点です。このため、相手に対して盗聴用のモ ジュールを実行するように偽装したメールを送ることや、実際に侵入するという方法が使われます。 ■盗聴への対策 盗聴を防ぐには、いくつかの方法がありますが、大きく分けて以下の3 つが考えられます。

・インフラ

インフラ面においては、スイッチングハブを導入し、ポートの管理も行うことが必要です。詳細に関 しては、第4 章のネットワーク機器の設定で解説します。

・アプリケーション

平文でのデータ送受信を禁止し、暗号化が行われるようにします。telnet から SSH へ、POP から APOP へ、そして重要なメールはPGP で暗号化するといった方法が必要です。 ・監視 監視を行うということは、直接に何かを防ぐことにつながるわけではありません。もし盗聴されるよ うな事実が見つかれば、少しでも早く対処する必要があります。大きな被害を受ける前に対処できるよ う、日頃の監視が重要になります。 また、監視するものはログや通信先だけではありません。サーバで動作するプロセスや、ネットワー クインターフェースに異常がないかを監視する必要もあるのです。 5) DoS 攻撃 「DoS」とは「Denial Of Service」のことで、提供するサービスの妨害や停止させるものを指します。 サービスを妨害する攻撃は、以下の2 種類に分けることができます。 ・過負荷をかけるもの ・例外処理ができないもの ■DoS 攻撃の種類 DoS 攻撃は、特定の手法を指すものではありません。言葉の通りサービスの妨害や停止を行う攻撃全 般を指す総称です。 表01：DoS の種類 種類 概要 mail bomb 巨大なメールや大量のメールを送りつけ、メールサーバの能力 （ディスク容量、CPU 資源、ネットワーク帯域）を潰す。 finger finger コマンドを利用し、引数の状態によって相手を停止させる。 SYN flood プロトコルスタックを使用した攻撃の原型。接続要求(SYN)の処理 における仕様を突いたもの。防御としては SYN cookies というもの がある。

Ping of Death TCP/IP プロトコルスタックの実装のバグを突いた攻撃。 ping flood ping コマンドを利用し、引数の状態によって相手を停止させる。 OOB ポート 139 に対し Out of Band データを送り、相手を停止させる。 Land/Latierra SYN パケットを送信し、相手サーバ側を無限ループに陥らせる。 TearDrop/Bonk/Boink フラグメントパケット処理の実装によって相手を停止させる。 Octopus 相手に対し多くのコネクションをターゲットサーバに張り、過負荷

によって運用ができないようにする。 SSPING/Jolt ICMP パケットの仕様を利用する。

UDP Storm echo サービスの問題点を利用する。

■DDoS

最近ではDoS 攻撃は単体では行われなくなってきました。DoS に代わって行われ、強力な威力を持 っている手法が「DDoS」です。

DDoS は「Distributed Denial Of Service」の略で、DoS 攻撃を行うホストがネットワーク上に多数 分散しているものです。 DoS 攻撃の場合は、攻撃側と相手側の 1 対 1 で行われます。しかし、DDoS は攻撃側が複数存在し、 集団で1 台のサーバを攻撃します。たとえば、1,000 台が 1 台のサーバを攻撃するのです。 DDoS の防御が難しい点は、この 1,000 台がどこにあるのか見当がつかない点なのです。 つまり、 真の攻撃者を特定することが非常に難しいことになります。 DDoS は、踏み台となるホストが必要となります。そのため、まずインターネット上にあるサーバに 侵入し、DDoS のモジュールを埋め込みます。 とくに、インターネット上でサービスを提供するサーバは、時刻の同期が行われていることが多いた め、DDoS のモジュールに対し、何日の何時何分にどのホストを攻撃するのか設定を行っておきます。 これによって設定した日時に指定されたホストを一斉に攻撃することができます。 DDoS の攻撃を受けた側は、1,000 台、10,000 台といった多くのホストから一斉に攻撃を受けるため、 サービスやネットワークが停止することとなります。 やっかいなことはこれだけではありません。DDoS 攻撃の原因と攻撃したホストを特定しようとして も、攻撃側が自ら直接行っているわけではなく、踏み台とされた第三者のホストが行っているため、特 定が非常に難しくなります。 さらに、踏み台となったホストの管理者もDDoS のモジュールが埋め込まれたことに気づかない場合 もあることから、攻撃側を特定しづらくなっています。

図02：DDoS の攻撃方法

■DoS 攻撃への対策

DoS 攻撃の発見と対策は非常に難しく、被害に会う Web サイトも少なくありません。

まず、プログラムの弱点を利用したDoS 攻撃に関しては対処されたバージョンに入れ替えることや、 使用しないサービスであれば停止するという方法を行います。

たとえば、UDP Storm においては echo サービスの問題点を利用したものですので、echo サービス をinetd.conf から削除し停止することと、ルータのポートをふさぐという方法で対応可能です。 しかし、その他の DoS 攻撃に対しては手法がさまざまなため、一律な効果が得られる対策はありま せん。 システムの状態を常に監視することが、ネットワーク管理者に求められます。 6) リモートアクセス 多くの企業・組織のネットワークでは、社員や職員に対してインターネットや携帯電話、一般電話回 線などを通してリモートアクセスの接続を提供しています。 たとえば、外出先からふだん自分が使用しているサーバの資源を利用するためには、外部から単純に 接続するだけではセキュリティ上の問題があるため、許可していない場合がほとんどです。このとき、 社員や職員に対してのみ利用できる回線を用意し、モデムやTA など通信機器を接続しリモートアクセ スサービスを提供するのです。 これによって、ファイアウォールのセキュリティレベルを落とさずに、社員や職員に対してネットワ ーク上の資源を利用できるようにすることができます。 しかし、ここに以下のような大きな落とし穴があります。 ■ウォーダイヤリング これは、予測している範囲の電話番号を使用し順番に電話をかけます。音声が聞こえれば通常の電話

ですが、場合によってはモデムやFAX が反応することがあります。モデムと FAX の違いはその通信方 法を調べることによって判別することができます。 リモートアクセスの電話番号は、 通常そのサーバの電話番号に近い加入者番号を使用しています。 状況によっては加入者番号が異なることもありますが、電話回線を敷設する際、利便性を考え音声通話 の代表電話番号の次の番号を FAX の番号とすることがあります。同時にリモートアクセス用の回線を 敷設した場合などはこの付近の番号を使用していることが多いのです。 攻撃する側は、ウォーダイヤリングを行うソフトウェアを使用します。ダイヤリングを自動で行うこ とにより、寝ている間でも発信しモデムが接続されている電話番号を探します。対象となるサイトの代 表電話番号やいくつかの直通電話番号を調べ、その近くの範囲をウォーダイヤリングによってしらみつ ぶしに探すのです。 ■リモートアクセスへの対策 リモートアクセスの電話番号は、代表番号等の公開している電話番号の近くに設定しない注意が必要 です。サーバで使用している電話番号と、リモートアクセスの電話番号を大きく離してしまうというこ とが重要です。 さらに、リモートアクセスの設定をコールバックにする方法もあります。コールバックを設け、かつ 予め登録してある電話番号のみにしかコールバックしないという設定であれば、万一リモートアクセス の電話回線を発見されても容易に侵入されることはありません。リモートアクセスの回線は、 必ずコ ールバックの設定と運用を行うようにしてください。 ウォーダイヤリングが行われたかどうかは、ログを確認することでわかります。とくに、コールバッ クが設定されていると、攻撃側は何度か電話をかけなおします。接続後、勝手に電話が切れたことが、 モデムや回線状態によるものか、コールバックが設定されているのかを確認するためです。 また、最近では「VPN」を利用したリモートアクセスの導入が、中小規模の企業・組織でも進んでい ます。 リモートアクセスでは、外部から社内の重要なデータの送受信をインターネットや公衆回線網を通じ て行うため、盗聴や改ざん等のセキュリティ上の問題を抱えることになります。 そこで、データを送出する前にデータを暗号化して、特定のユーザにしか識別できない認証方法を加 えて送り、また受信側でそのデータの復号や認証を行って目的のホストに届けるようにすれば、セキュ リティを確保することが可能になります。 暗号化、認証、ヘッダー交換などの技術を用いて、ある特定のユーザだけしかアクセスできないよう にしておけば、インターネットや公衆回線網を使っても、専用線接続と同じようなセキュリティを保つ ことができます。この技術をVPN（Virtual Private Network・仮想私設回線）と呼びます。

7) リモートコントロール

遠隔地からサーバの操作を行うことができる「リモートコントロール」というソフトウェアがありま す。「pcAnyware」「Desktop On Call」など、主に Windows 系の OS で使用される場合が多いもので す。 しかし、リモートコントロールのソフトウェアを悪用すると、攻撃の手法として利用可能となるので す。 それでは、リモートコントロールのソフトウェアをインストールしないという対策も考えられますが、 バックドアやトロイの木馬などの中にリモートコントロールのソフトウェアが含まれるものもありま す。気づかない間にリモートコントロールのソフトウェアをインストールされてしまっている場合があ るため、リモートコントロールに対して何もしないのは危険です。

これらのソフトウェアは、Windows のタスクマネージャではプロセスが表示されない場合があり、 場合によってはプロセス名が変更されるため判別は困難です。 リモートコントロールのソフトウェアがインストールされると、主に以下のような操作が可能になり ます。 ・システム情報の表示 ・キーボード操作の記録 ・フォルダ共有 ・プロセスの制御 ・レジストリの表示と編集 ・ファイルやディレクトリの操作 ・ファイルの送受信 ・シャットダウンや再起動 このほかにもリモートコントロールのためのソフトウェアによって、さまざまな機能が実装されてい ます。さらには、リモートコントロールを行うときに通信経路を暗号化しネットワークを監視してもわ からないようにするものもあります。 ・バックドア 外部からコンピュータに侵入しやすいように、「裏口」を開ける行為、または裏口を開けるプログラ ムのことをいいます。これが実行されてしまうと、インターネットからコンピュータを操作されてしま う可能性があります。 一度でも侵入や攻撃を受けた場合は、バックドアを仕掛けられている可能性が高いため、OS の再イ ンストールやユーザアカウントの初期化、アプリケーションの再インストールなどが必要になってきま す。 ・トロイの木馬 コンピュータの内部に潜伏して、システムを破壊したり、外部からの不正侵入を助けたり、そのコン ピュータの情報を外部に発信するプログラムのことをいいます。 ■リモートコントロールへの対策 リモートコントロールのモジュールを探すのは非常に難しい作業になりますが、市販のウイルス対策 ソフトには、これらのモジュールをウイルスの1 つとして考え、既知のモジュールに関しては警告を出 します。リモートコントロールのモジュールを入れられないようにするためには、まずはウイルス対策 ソフトを導入することが必要です。 また、リモートコントロールのモジュールが使用するポートを、ルータですべてふさぐ方法も有効で す。このとき、外部から内部に対してだけでなく、内部から外部に対するパケットもフィルタリングす る必要があります。なぜなら、バックドアのモジュールには自律的に取得した情報を発信するものもあ るためです。 もし1 つでも発見した場合は、該当モジュールを削除するだけでなく、ほかにも仕掛けられている可 能性を考え、システムを再インストールすべきです。 8) Web サイトの改ざん Web サイトの改ざんは、本来提供していたページが、第三者による改ざんや全く別のページと入れ替

わることをいいます。 改ざんの手法は大きく分けて以下の3 つがあります。 ・直接の侵入による改ざん 直接侵入する場合、ページの更新が可能なアカウントやroot、administrator といった管理者のアカ ウントでログインしてきます。 アカウントでとくに注意しなければならないものは、プロバイダなどからレンタルサーバの領域を借 りている場合です。 通常の運用では、ページを更新するためにftp を使用しデータをサーバにアップします。このときに、 ユーザ名やパスワードの盗聴を受けてしまうことや、パスワードを解析されることによって攻撃側にア カウント情報が渡ってしまいます。 とくにユーザ名がわかっていて、類推しやすいパスワードを設定している場合は、辞書攻撃によって アカウント情報を知られてしまうことや、パスワードの更新間隔が長いためにブルートフォースアタッ クによって知られてしまうことがあります。 ・DNS のエントリの書き換え

DNS（Domain Name Service）のエントリを書き換える手法もあります。実際の Web サイトのペー ジには触らず、DNS のエントリだけを変更する方法です。 本来表示されるべきWeb サーバとは別の、攻撃者が用意した全く異なる Web サーバを表示するよう にDNS のエントリを書き換えることによって、閲覧者にとってはまるで改ざんされたかのように見え るようにするものです。 たとえば、DNS では www.ipa.go.jp の IP アドレスが 192.168.0.1 であった場合、この IP アドレスを 172.16.0.1 に書き換えてしまうことによって、別のサーバを参照することになります。この 172.16.0.1 に改ざんされたページを置くことによって、本来サービスを提供しているはずの192.168.0.1 を、攻撃 者が管理するサーバに置き換えることができるのです。 このような攻撃を防ぐには、DNS のセキュリティホールをふさぐことや、ゾーン転送を禁止する設 定を行うことが必要です。 また、DNS は、メールサーバや Web サーバと並んで多くのセキュリティホールが報告されているた め、日頃から情報収集を行うことと、システムの状態を把握することが重要です。

図03：DNS のエントリ書き換え ・whois エントリの書き換え 意外に多発しているものが、whois エントリの書き換えによるものです。 攻撃対象のドメインを管理している組織に対し、対象となるドメインの管理者を装い DNS 書き換え の申請を行います。 また、このドメインを管理している組織は他の組織と提携し、登録や管理の業務を行っている場合も あります。直接、管理している組織に対して管理者を装わずに、提携先の中で最も簡単に偽装できると ころに対して管理者を装うのです。 この場合、簡単な認証が行われますが、たとえばメールのFrom:アドレスのみで認証する場合は非常 に危険です。 これは自分のところの Web サイトの努力で防ぐことのできるものではありません。できるかぎりセ キュアな環境でドメイン情報を処理される方式に変更するか、管理組織自体を変更する必要があります。 図04：whois エントリの書き換え

■Web サイトの改ざんへの対策

まずは、アカウントの管理を強化することです。レンタルサーバにしろ、自社サーバにしろ、アカウ ントはなるべくわかりにくいものにし、パスワードの設定にも気を配ります。

Windows 2000 Server では、初期の管理者のアカウントは「administrator」になっています。この アカウント名を変更せずに使っているケースが多く見られますので、ぜひ変更してください。 また、無用なポートをふさぐことも忘れずに行ってください。たとえば、Windows 系のサーバを使 用していた場合、ポート 137、138、139 を開放していたばかりに、アカウント情報が漏れ、デフォル ト共有と呼ばれる共有からWeb の文書が改ざんされるといった例がありました。 さらに、セキュリティホールを見つけサーバに侵入し、改ざんするケースもありますので、「Windows Update」などを使用し、ソフトウェアのバージョンを常に最新に保つようにすることも重要です。 9) SPAM メール 「SPAM（スパム）メール」という言葉は、最近では「迷惑メール」といわれることが多くなりまし た。 もともとネットワーク上におけるSPAM 行為とは、本人が望まないダイレクトメールを大量に送りつ けることや、掲示板で連続投稿されるジャンク記事などが挙げられます。 SPAM メールには、以下のような種類があります。 ・インターネットビジネスなどの商売の勧誘メール ・通信販売などのダイレクトメール ・マルチ商法やネズミ講まがいのメール ・アダルトサイトの宣伝 これらのSPAM メールは大量に送信されるため、以下のような問題が発生します。 ・メールの受信 受信時に問題となるものは、たとえば、読んだり削除するために無駄な時間を費やしたり、メールを 取り込むための時間や接続料金が無駄になるといったものがあります。 これらは年齢や職業といった分類が行われていることが少ないため、受信者にとって意味のないメー ルとなる場合がほとんどです。また、アダルトサイトの宣伝といったものに関しては、不快感といった ものも加わります。 ・サーバに対する問題 SPAM メールの数は数万、数十万通にもおよぶため、回線やサーバの資源を大きく食い潰します。こ れにより、そのサーバやネットワークを利用しているユーザには、 サーバやネットワークが重くなる ように感じるようになります。 場合によっては、帯域が飽和する場合や、メールサーバのスプール容量不足からくるシステムダウン などを招くことがあります。

・Third-Party Mail Relay 問題

最近とくに問題になっているのが、「Third-Party Mail Relay」（第三者転送）です。

これはメール送信者が、その本人とは無関係の第三者のメールサーバを不正に中継し（踏み台になっ ている）、身元を偽ってメールを送信することをいいます。

この問題が発生すると、サーバやネットワークの資源を食い潰されたためにレスポンスが低下し、 SPAM メール以外の必要なメールが受けつけられなくなる場合があります。 ■SPAM メールへの対策 まずは、システム構築の際に、SPAM メール防止の設定を行うことが重要です。無料、もしくは安価 なソフトウェアでメールサーバを構築している場合は、必ずSPAM 防止のツールを導入するようにしま しょう。 もし、踏み台となってしまった場合、気づいた時点で「キュー」の削除を行います。 スプールは、 多くのLinux のサーバの場合は「/var/spool/mqueue」に、Exchange 2000 Sever の場合は SMTP サー ビスにあります。 ここにあるメールを削除または移動することにより、現在配送を行っているメールを止めることがで きます。 この時に、sendmail のプロセスや SMTP サービスを停止しておかなければ、次の SPAM メールが届 く可能性があります。 キューからメールを削除、または移動する際は、必ずsendmail や SMTP サービスを停止し処理して ください。もちろん、物理的にネットワークインターフェースからケーブルを抜く方法もあります。 そしてサービスを再開する前に、必ずスパム防止の設定を行ってください。

第

2 章 一般ユーザ向け コンピュータのセキュリテ

ィ対策

この章では、家庭や企業・組織でコンピュータを利用する一般ユーザ向けに、代表的なセキュリティ 対策を、以下の項目に分けて解説します。 ・セキュリティ対策のポイント ・Windows XP の設定方法 ・Windows Vista の設定方法 ・Mac OS X の設定方法 ・ブラウザとメーラの設定方法

2.1 セキュリティ対策のポイント

2.1.1. ウイルス対策

コンピュータにおけるセキュリティ対策の中で、とくに重要なのがウイルス対策です。ウイルスの中 には、メールを見ただけで感染したり、Web サイトを閲覧しただけで感染したりするウイルスもありま す。また、インターネットやネットワークを通じて知らぬ間に感染するワーム型のウイルスも出現して います。 ウイルスに感染しないようにするためには、まずはコンピュータにウイルス対策ソフトを導入するこ とが必要です。ウイルス対策ソフトは、家電販売店やコンピュータショップ、ネットショップなどで販 売しています。ネットショップでは、ダウンロードすればすぐに利用できるウイルス対策ソフトも販売 しています。 ただし、一般家庭向けに販売されているコンピュータには、最初からウイルス対策ソフトがインスト ールされていることもありますので、購入前によく調べておいたほうがいいでしょう。 プロバイダによってはメールに対してウイルス対策のサービスを提供しているところもありますの で、そのサービスを利用するのも有効な方法です。 1) ウイルス対策ソフトの有無の確認 ウイルス対策ソフトがコンピュータにインストールされているかどうかは、Windows Vista や Windows XP の場合、コンピュータのタスクバーにウイルス対策ソフトが動作していることを示すアイ コンが表示されます。または、プログラムの一覧で、ウイルス対策ソフトがインストールされているか どうかを確認する方法もあります。 2) パターンファイル（ウイルス検知用データ）の更新

ウイルス対策ソフトが新しいウイルスに対応するためには、ウイルス検知のための「パターンファイ ル」を常に最新のものに更新しておく必要があります。コンピュータにウイルス対策ソフトがインスト ールされていても、パターンファイルが古いままでは、新しく発生したウイルスに感染してしまう危険 性があるからです。 一般的なウイルス対策ソフトでは、自動的に最新のパターンファイルをコンピュータにダウンロード し、インストールするという機能がついています。必ずこの機能を有効にしておきましょう。 なお、ウイルス対策ソフトには、購入してから約1 年ごとにパターンファイルのデータをダウンロー ドするための契約を更新する場合が多いようです。また、最初からコンピュータにインストールされて いるウイルス対策ソフトは、90 日程度の契約しか含まれていないことがあります 自分のコンピュータのウイルス対策ソフトがどのような契約内容になっているかを確認し、契約が切 れてしまっている場合には、新たに契約を延長するか、新規にウイルス対策ソフトを購入しなければな りません。

2.1.2. スパイウェア対策

スパイウェアとは、ユーザに気づかれないようにコンピュータにインストールされ、何らかの悪影響 をおよぼすソフトウェアのことです。 スパイウェアの特徴は、主に以下のように大別できます。 ・Web サイトの閲覧履歴やキー操作、メールアドレスなど個人情報を第三者に送信する ・コンピュータを遠隔地から操作する ・ブラウザの設定を勝手に変更する ・ダイヤルアップの設定を勝手に変更する また、スパイウェアは、CPU やメモリのリソースを使用することでコンピュータのパフォーマンス を低下させたり、多数のポップアップウィンドウを表示させ操作性を低下させたり、システムを不安定 にしエラーを起こすといった被害を与える場合もあります。 スパイウェアがインストールされてしまう原因はいくつかありますが、通常は一見して害の無さそう なソフトウェアに隠して含まれ、そのソフトウェア本体のインストールとともに仕かけられる場合が多 いようです。 さらに、ウイルスと同様にインターネットやメールを介してコンピュータに侵入することもあります。 ウイルスとは異なり、他のコンピュータへ感染する行動は起こしません。そのため、ウイルスほど警戒 心を持たないユーザが多く、気づかないうちに情報を盗まれている場合があるのです。 スパイウェアを入れないための予防方法は、信頼できないソフトウェアをインストールしないことで す。インストールする際も使用許諾契約書をよく読み、「同意します」のボタンを不要にクリックしな いようにすることが大切です。 また、スパイウェアのインストールを防止してくれるソフトウェアもあるので、それを利用するのも 有効です。最近のウイルス対策ソフトにも、この機能が入ったものがあります。

2.1.3. OS やソフトウェアのアップデート

OS やブラウザ、メーラーなどのソフトウェアは、メーカーによっては「セキュリティホール」を修 正したり、セキュリティ上の問題を解決したり、ソフトの不具合を解消したりするための修正プログラ ムが、インターネット経由で提供されることがあります。 インターネットに接続されたコンピュータを利用する場合には、これらの修正プログラムを定期的に 適用して、できる限りソフトウェアを最新の状態に保つように心がける必要があります。 このアップデートの代表的なものに、以下に説明する「Windows Update」があります。また、Excel やWord、Acrobat Reader などその他のソフトウェアについても、情報セキュリティ上の問題などで修 正プログラムが提供されることがあります。これらについても、コンピュータにインストールされてい るソフトウェアを確認して、それぞれのメーカーのWeb サイトなどで定期的にチェックしてください。 また、最近ではソフトウェアのメーカーにユーザ登録をしておくと、プログラムが更新された場合に メールで連絡がくるサービスもあります。使用しているソフトウェアについては、必ずユーザ登録をし ておきましょう。 ■セキュリティホールとは？ セキュリティホールとは、OS やソフトウェアにおいて、セキュリティ上の欠陥となる不具合のこと を指します。セキュリティホールを放置していると、たとえウイルス対策ソフトを入れて、最新版のパ ターンファイルに更新していたとしても、ウイルスに感染してしまったり、ウイルス付きのメールを知 人に自動的に送ってしまったり、悪意のある Web サイトを見ただけでコンピュータが破壊されてしま うことがあります とくに、インターネット上で公開しているサーバには誰もがアクセスすることができるため、セキュ リティホールは必ずふさがなければなりません。 代表的なセキュリティホールに、「バッファオーバーフロー」があります。バッファオーバーフロー とは、OS やソフトウェアのプログラムが処理に利用しているメモリのバッファに入りきらない量のデ ータが渡されることで、予期しないような動作が実行されたり、システムが停止してしまったりするこ とです。 ■Windows Update

Windows Vista や Windows XP などの Windows 系の OS では、修正プログラムを自動的に適用する ための「Windows Update」という機能が導入されています。タスクバーの右下に「アップデートの準 備ができました」というメッセージが表示された場合は、自動的にアップデートする機能が準備されて いることを表します。その場合には、そのメッセージをクリックして、画面上の指示に従って操作して ください。 アップデートのメッセージが表示されない場合には、プログラムを選択して、手動で処理を行うこと ができます。そのように操作した場合にも、画面上に表示される指示に従って作業を行います。

2.1.4. パーソナルファイアウォールの導入

企業・組織はもちろんのこと、家庭でも光ファイバーやADSL などによる常時接続回線の利用が増え ていますが、それに伴い使用しているコンピュータに対する不正アクセスの被害も多く発生するように なってきています。 家庭内や小規模の企業・組織で使用しているコンピュータを不正アクセスから防御するためには、ぜ

ひ「パーソナルファイアウォール」というソフトウェアを導入してください。パーソナルファイアウォ ールを導入すると、ハッカーからの不正侵入を防いだり、ウイルスの侵入を防御したり、自分のコンピ ュータを外部から見えなくしたりすることが可能になります。 このパーソナルファイアウォールは、パッケージソフトとして家電量販店やコンピュータショップな どで販売されています。購入したソフトウェアをインストールして、利用環境に合わせて設定を行うこ とで使用できます。 また、ウイルス対策ソフトの中には、パーソナルファイアウォールの機能が付いたものがあります。 プロバイダによっては、セキュリティのサービスとして、ウイルスチェックとともに、ファイアウォ ール機能を提供している場合もあります。必要に応じて、それらのサービスの利用もしてください。 なお、Windows XP の SP2 や Windows Vista では、「Windows ファイアウォール」というパーソナ ルファイアウォールが標準で搭載されていますので、この機能をオンにすれば、専用のソフトウェアを 導入する必要はありません。 ■ファイアウォールとは？ ファイアウォールとは、外部のネットワークと内部のネットワークを結ぶ箇所に導入することで、外 部からの不正な侵入を防ぐことができるソフトウェア、もしくはそのシステムが導入された機器を指し ます。 ちなみに、ファイアウォールとは「防火壁」という意味です。火災のときに被害を最小限に食い止め るための防火壁から、このように名付けられています。

2.1.5. 無線 LAN の安全な利用

無線LAN は、有線 LAN におけるコンピュータ間のケーブルを無線に替えたもので、LAN ケーブル の配線や長さを気にせずに自由に持ち運べる高い利便性から、一般家庭や小規模の企業・組織のネット ワークにおいて広く使われるようになっています。 しかし、無線 LAN は四方八方に発信される無線を利用するという性質上、機器に適切なセキュリテ ィ設定を行わないままで使用すると、「盗聴」「情報の改ざん」「踏み台」にされるなどの重大な被害を 受けかねません。 現在、一般的に使用されている無線LAN の規格は、万全な情報セキュリティ対策が施されているわ けではありません。そのため、無線 LAN を導入する際には、この無線 LAN の危険性を認識し、でき る限りの万全のセキュリティ設定を行った上で利用するようにしてください。 詳しいセキュリティ対策は、第5 章を参照してください。

2.1.6. パスワードの設定

OS にログインしたり、インターネットのショッピングサイトやネットバンキングを利用したりする 際において、ユーザのなりすましを防ぐためのセキュリティ対策には、一般的に「パスワード」が利用 されています。 そのため、コンピュータやインターネットを利用する上では、どのようなパスワードを設定するかと いうことが、とても重要になっています。 安全なパスワードは、以下のような条件を満たしている必要があります。

●個人情報からは推測できないこと（以下のようなものは不適切） ・suzuki、tanaka、toshio、hanako（名前） ・19880201、S520625（生年月日） ・tokyo、oomiya、biwako（住所） ・035362、062536、0903502（電話番号） ・8845、4896（車のナンバー） ・pochi、tama（ペットの名前） ●英単語などをそのまま使用していないこと（以下のようなものは不適切） cat、book、sky ●適切な長さの文字列であること（以下のようなものは不適切） vs、ta、abc このような条件を満たすパスワードを作ることが困難な場合には、インターネットから無料でダウン ロードできる「パスワード生成ソフト」を利用するというもの1 つの方法です。このパスワード生成ソ フトは、指定した条件から解析されにくいランダムなパスワードを作り出してくれます。 さらに、パスワードを見破られないためには、定期的にパスワードを変更することも必要です。ブラ ウザの設定によっては、入力したパスワードがコンピュータによって残ってしまうことがあります。ま た、スパイウェアの侵入によって、パスワードが盗まれてしまうケースもあります。その対策には、こ の定期的なパスワード変更が有用です。 ■なりすましとは？ 他のユーザのふりをすること。または、他のユーザのふりをして行う不正行為のことをいいます。そ の当人であるふりをしてメールを送信したり、別人のふりをしてインターネットの掲示板に書き込みを 行うような行為があります。