スパイウェア対策は「ダブルクリックしないこと」

2005/12/9

 「スパイウェアもインストールしない限りはただのファイル。最も有効な対策は、とにかくダブルクリックしないこと」。グローバルセキュリティエキスパート(GSX)は、スパイウェアをはじめとするマルウェアの危険性に注意を促した。

 GSX ソリューション事業部 コンサルタント 伊藤千春氏はマルウェアの脅威に対抗する手段として、「技術面の対策はもちろんだが、事例を収集して広めていくことが重要」と語る。事例を広めることでユーザーの危機感を高め、「とにかくダブルクリックしない」に代表されるように1人1人の対策を促すということだろう。

グローバルセキュリティエキスパート ソリューション事業部 コンサルタント 伊藤千春氏

 スパイウェアの典型的なものにキーロガーがある。2005年7月に起きたオンラインバンキングの不正送金事件では、キーロガーが電子メール経由で被害者のPCに侵入し、オンラインバンキングのIDとパスワードを盗んで外部に送信した。これが不正送金に利用された。

 伊藤氏は、「7月の不正送金事件では、おそらくスクリーンコピーを取るキーロガーが使われた」と説明。最近はキーボードの入力履歴だけでなく、スクリーンコピーやクリック時のポインタの位置、訪れたWebサイトの履歴を収集するキーロガーも増えているという。そういったキーロガーが画面とキー入力の情報から、乱数表を用いて入力するパスワードを破ったという。画面とポインタ位置を収集されては、ソフトウェアキーボードでの対策も役に立たないことになる。伊藤氏によれば「クリックの直前に画面が消えるソフトウェアキーボードを導入している銀行もある」とのことだが、それでも万全とは限らない。

 そのほかにもアンチウイルスソフトのチェックをすり抜ける、画像ファイルにマルウェアを埋め込んで拡張子を隠すなど手口は巧妙になってきているという。こうした状況で個人ができる対策は何か。伊藤氏は「アンチウイルスソフトだけでなくアンチスパイウェアプログラムやパーソナルファイアウォール、プライバシー保護ソフトウェアを導入し、たとえ侵入されても情報を漏らさないようにすること」と話す。「不審者が最後に使うのは詐欺手法。7月の不正送金事件のようにオンラインショップへのクレームを装ってスパイウェアを送りつけるなど、言葉巧みにインストールさせようとする。技術面での対策とともに、被害事例を収集・紹介して啓蒙を図りたい。その2つが合わされば高い効果が期待できると思う」

(@IT 長谷川玲奈)

[関連リンク]
グローバルセキュリティエキスパート

[関連記事]
30万円、最短1営業日で結果を出すWebサイトセキュリティ診断(@ITNews)
ネット銀行事件、「そうはいってもネット銀行ができる対策は?」(@ITNews)
ネット銀不正送金事件、どうすれば防げたのか(@ITNews)
スパイウェア対策ベンダが日本進出、“冒険家”が自動検出(@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -