セキュリティコラム

まだWindowsXP使ってるの!?セキュリティソフトでは危険性をゼロにできません

WindowsXPのサポートは2014年に終了しています。サポートとはマイクロソフトがアップデートしてくれることを意味しています。脆弱性や危険性が見つかったらマイクロソフトはアップデートパッチをリリースして、セキュリティホールを塞いでくれていました。

つまりWindowsXPのサポートが終了したことにより、マイクロソフトはWindowsXPを完全に放置しています。パソコンが乗っ取られたり、個人情報が盗まれるような危険性の高いセキュリティホールが見つかったとしても、修正してくれないのです。

Windows7や8.1に今すぐ乗り換えるべき

この記事を書いている時点でマイクロソフトがサポートを続けているのはWindows7とWindows8.1です(正確にはサーバー用OSもあります)。WindowsXPはセキュリティホールだらけと言っても過言ではないので、今すぐどちらかのWindowsに乗り換えてください。

また、根本的なセキュリティの強さにも違いがあります。私は昔、実験でわざとパソコンをウイルスに感染させたことがあります。どういう挙動をするのは気になったからです。

WindowsXPにウイルスを感染させたら、パソコンのあらゆるフォルダにウイルスが広がりました。1つのフォルダで実行しただけなのに、一瞬で5000個以上になってしまい、駆除するのが不可能なレベルでした。

しかしWindows7に感染させてみたら、ウイルスを実行したフォルダの中で増殖するだけで、他のフォルダに広がることはありませんでした。3個程度に増えただけです。フォルダを消してみたら、セキュリティソフトのチェックで駆除できたことを確認できました。

Windows Vista以降、「管理者権限」という仕組みができ、プログラムを実行するために権限による確認が必要になりました。だから権限を実行できなければ、ウイルスは拡散しにくくなったのです。でもWindowsXPには管理者権限の仕組みがありません。シンプルなウイルスでも実行し放題、拡散し放題なのです。

だから根本的なセキュリティの強さに大きな違いがあります。未知のウイルスに対してもWindows7やWindows8.1のほうがWindowsXPより遥かに強く、安全にパソコンを使うことができます。

セキュリティソフトでもWindowsXPの危険性はどうにもできない

WindowsXPのサポートが終了する前は、セキュリティソフトも動作環境にWindowsXPを入れていました。でもサポートが終了してからはWindowsXPを除外したところがほとんどです。

唯一今もWindowsXPをサポート対象にしているセキュリティソフトは「ESET」です。もしかしたら他にもあるかもしれませんが、私はESETくらいしかWindowsXPをサポートしているセキュリティソフトを知りません。ウイルスバスタークラウドもマカフィーもノートンもWindowsXPは対象外にしています。

ではESETさえインストールしていれば、WindowsXPの危険性は回避できるのでしょうか?答えはNOです。わかりやすく警備員に例えてみましょう。警備員を自宅に雇って玄関を守ってもらいます。しかし大家さんは家を放置しているので、玄関以外に窓や屋根から侵入されることがわかっても、警備員に新しい危険性を教えてくれません。

どうしても警備員は後手後手になってしまい、すべての危険性を見つけたり防いだりすることは不可能になります。しかも時間が経過するほど危険な侵入経路がどんどん増えていきます。家の大切なものがすべて盗まれる危険性も高くなります。

このように「家=WidnowsXPパソコン」「大家=マイクロソフト」「警備員=セキュリティソフト」と考えてみると、こんな家に住み続けよう(WindowsXPパソコンを使い続けよう)なんて思わなくなるはずです。

マイクロソフトも「セキュリティソフトではWindowsXPの危険性を防げない」とはっきり言っています。だからWindowsXPにセキュリティソフトを入れて安心しているなんて馬鹿げています。今すぐWindows7かWindows8.1にアップデートしましょう。

安全なパスワードの作り方!複雑だけど覚えやすいパスワードにするコツ

パスワードを強化する方法

あなたのパスワードは世界中から狙われています。ハッカー(クラッカー)はブルートフォースアタック(総当たり攻撃)、辞書攻撃、リバースブルートフォースアタックなどを駆使し、簡単なパスワードならあっさりと見破ってしまいます。

だから複雑なパスワードにする必要があります。でもそもそも複雑なパスワードってどんなものでしょうか?見破りやすいパスワードと見破られにくい安全なパスワードの違いを解説していきます。

文字の種類を増やす

パスワードに使える文字は英語の小文字だけではありません。数字、大文字、記号なども使えます。小文字は26種類しかありません。でも小文字、大文字、数字、記号をすべて使うと約70種類にもあります。

ブルートフォースアタックは文字の種類が1つ増えるだけで、かかる時間が劇的に増えます。だから記号や大文字を使ったパスワードにするだけで、事実上ブルートフォースアタックは完全に防げます。

文字数を増やす

短いパスワードは非常に危険です。ブルートフォースアタックは「aa」「ab」「ac」のように文字数の少ない順に攻撃します。小文字を1つ増やすだけで、ブルートフォースアタックにかかる時間は26倍も増えます。大文字、数字、記号を使えば約70倍です。

安全なパスワードは8文字以上と言われています。でもコンピューターの処理能力が向上し、ブルートフォースアタックにかかる速度も早くなっています。だから私は10文字以上のパスワードをおすすめします。

単語を使わない

文字数を増やすことも重要です。例えば「ILikeOrangeJuice」という16文字のパスワードを設定したとしましょう。16文字もあればブルートフォースアタックを防げる可能性が増えますが、辞書攻撃の前には無力です。

辞書攻撃は文字通り、辞書に載っているような単語をランダムに組み合わせてパスワードを破ろうとする攻撃です。I、Like、Orange、Juiceのどれも辞書に載っている単語です。もしもあなたが「apple」なんて単純なパスワードを設定していたら、一瞬でハッキングされてしまいます。つまり辞書に載っていない無意味な文字列をパスワードにすることが大切です。

パスワード作成ツールで複雑な文字列を作る

このように文字の種類を増やし、文字数を増やし、単語を使わないようにすれば安全なパスワードは簡単に作れます。自分で考えるが面倒なら、パスワード作成ツールを利用するのがおすすめです。

Password Generator

Password Generatorは文字の種類は文字数、強度を設定すると、複雑なパスワードを自動生成してくれます。もう見ただけで複雑だとわかります。こんなパスワードを破ることなどできないはずです。例えばこんなパスワードを作成できます。

Oxrxep8Vc~u&IbSh
g#/vTELLlcOb1q:}
3blxCmZiR9#46cDD

安全なことは確かですが、絶対覚えられません。どこかにメモしておくか、パスワード管理ツールを使いましょう。パスワード管理ツールならログインする時にわざわざ入寮する必要がないのでとても楽です。

覚えやすくて複雑なパスワードを作る

パスワード管理ツールを使いたくない場合は、覚えやすくて複雑なパスワードを作りましょう。そんなこと可能なの?と思うかもしれませんが、パスワード作成の手法というかコツがあります。

突然ですが「キラキラ星」の歌を知っていますか?「キラキラ光るお空の星よ」という歌詞です。英語版では以下のような歌詞です。

Twinkle, twinkle, little star, How I wonder what you are!

口ずさめばすぐに覚えられるはずです。では次にそれぞれの頭文字を抜き出してみましょう。

ttlshiwwya

これだけだと小文字しか使っていないので、文節の頭っぽいところだけ大文字にしてみます。

TtlsHiwwya

文節の間に音楽記号でも使うシャープを入れて、最後のビックリマークの代わりに数字の1を使ってみます。

Ttls#Hiwwya1

12文字で、しかも小文字、大文字、数字、記号を使った複雑なパスワードを作成することができました。複雑ですが覚えやすくありませんか?私はもうこのパスワードを忘れることはないでしょう。キラキラ星の歌詞さえ覚えていれば、至って単純なパスワードなのですから。

このパスワード作成方法は私が考えたわけではありません。昔からある安全なパスワード作成方法のひとつです。私は大学で習いました。あなたが好きな英語の歌詞はなんですか?その歌詞を元に安全なパスワードを作ってみてください。

パスワードの使い回しは危険!リバースブルートフォースアタックに要注意

今は便利なサイトやWEBサービスがたくさんあります。あなたもFacebookやTwitterなどのSNSを楽しんだり、ブログを書いたり、インターネットバンクを使ったりと様々な会員制サイトを利用していると思います。

でももしもどれか1つのログインIDとパスワードを盗まれて、不正アクセスされてしまったどうしますか?とても困りますよね。ただいらずらされるだけならまだ良い方です。インターネットバンクでお金を盗まれてしまうなんて事件も発生しています。

7割以上の人がパスワードを使いまわしている現状

簡単なパスワードを使っていると、あっさりと見破られてしまいます。とある調査では70%以上の人が、安全なパスワードを使うことを意識しています。小文字だけ、あるいは数字だけのパスワードを設定していると本当に危険です。だから大文字や記号を組み合わせたパスワードを使うべきです。

しかしながら「複数のサイトでパスワードを使いまわさないようにしているか?」という調査では、わずか22.4%の人しか意識していないことがわかりました。つまり7割以上の人が色々なサイトでパスワードを使いまわしているのです。

ブルートフォースアタックと辞書攻撃とは

不正アクセスを狙う手法として有名なのはブルートフォースアタックと辞書攻撃です。ブルートフォースアタックとは総当たり攻撃とも呼ばれ、文字や数字をすべて試していく攻撃手法です。数字だけの単純なパスワードや短いパスワードだと、ブルートフォースアタックですぐに破られてしまいます。対策としては長いパスワードや小文字、大文字、数字、記号を組み合わせたパスワードを使うことです。

辞書攻撃とは、その名の通り辞書に載っているような単語を使う手法です。「apple」「orangejuice」など意味のある単語を狙っていくわけです。対策としてはランダムで意味のないパスワードにすることです。

リバースブルートフォースアタックによる被害が急増

このようにブルートフォースアタックや辞書攻撃を意識している人でも被害にあってしまうケースが増えています。2013年以上に登場したリバースブルートフォースアタックが原因です。

ブルートフォースアタックや辞書攻撃はログインIDを固定して、パスワードを色々なパターンを試します。しかしリバースブルートフォースアタックは逆にパスワードを固定して、色々なパターンのIDを試す手法です。

例えばTwitterはIDが見えています。プログラムでIDのリストを作成し、パスワードを固定してすべてのIDに不正アクセスを試すわけです。2015年に流行した「レイバンのサングラス事件」はこれが原因だと言われています。

使い回しを狙われている

運悪くどこかのサイトでパスワードが漏れたとしましょう。攻撃者はパスワードのリストを所持したことになります。もしもあなたが色々なサイトでパスワードを使い回しているなら、あとはIDを特定するだけです。

例えばTwitterから漏れたなら、Facebook、AppleID、インターネットバンクなどあらゆる会員制サイトで、リバースブルートフォースアタックが実施されます。つまりパスワードを使い回すことで、金銭的な被害を受ける可能性が急上昇してしまいます。

リバースブルートフォースアタックの対策

ではリバースブルートフォースアタックを防ぐ方法はあるのでしょうか。逆説的に考えてみましょう。「パスワードの使い回し」が狙われるなら、使い回されないようにすればいいのです。

パスワードを定期変更する

パスワードはどこから流出するかわかりません。小規模な通販サイトかもしれませんし、昔登録したWEBサービスかもしれません。もうこれはパスワードは流出するものだ、と考えるべきでしょう。

最も有効なのはパスワードの定期変更です。毎月とまでは言いませんが3ヶ月から半年に1回は定期的にパスワードを変更することをおすすめします。少なくともインターネットバンクやAppleID、クレジットカード会員サイトなど金銭に関わる重要なサイトは必ず定期変更するようにしましょう。定期変更すれば流出したとしても、そのパスワードは使えなくなっているので安全です。

サイト別にパスワードを変更する

私はパスワードを使い回さないように意識しています。だからサイトごとに別々のパスワードを設定しています。もちろんブルートフォースアタックや辞書攻撃にもかからないような複雑なパスワードにしています。もしもどこかからパスワードが流出しても、別のサイトでリバースブルートフォースアタックで被害にあうことはありえません。

パスワード管理ソフトを使う

でもサイト別にパスワードを設定したら覚えられないですよね。忘れてしまい、その度にパスワードの再設定をするのも不便です。そこでおすすめなのがパスワード管理ソフトです。パスワード管理ソフトはとても便利なのに、6%の人しか使っていないそうです。

1passwordは特に有名で世界中で愛用されています。サイト別にパスワードを登録しておいて、サイトにアクセスすればそのパスワードを自動的に読み込んでくれるので手間がかかりませんし、忘れても関係ありません。

ソフトをインストールするのが面倒ならGoogle Chromeのブラウザはどうでしょうか。Chromeにはパスワード管理機能が内蔵されています。パスワード管理ソフトと同じように使えるだけでなく、動作が軽快でおすすめです。

不正送金対策!怪しいメールを自分で見分ける方法

2014年の不正送金被害額は約29億円

昔は悪意のある人間はウイルスをばら撒いていました。その目的は愉快犯的なもので、パソコンが変な挙動をしたり起動しなくなる程度の被害でした。しかし2012年以降から金銭を目的とした犯罪が急増しました。

その代表的なものが不正送金です。インターネットバンクが普及したことによりみずほ銀行、東京三菱UFJ銀行など金融機関を利用しているユーザーをターゲットにして、お金を盗み出そうとするのが目的です。

ハッキングのような高度なものではなく、インターネットバンクにそっくりな偽サイトを作成し、そこでユーザーにパスワードを入力させます。見た目がそっくりなのでダマされる人が跡を絶ちません。不正送金の被害額は2014年に約29億円にもなっています。

私は一発で怪しいメールを見ぬくことができます

金融機関の偽サイトにアクセスしてしまう経路のほとんどがメールです。例えば東京三菱UFJ銀行を騙るメールが届き、パスワードの変更や確認を促します。つまりメールが偽物かどうかさえ見抜くことできれば、不正送金の被害になどあわないのです。

日本語がおかしい

不正送金を狙うメールのほとんどは海外から送られてきます。日本人が書いた文章ではないため、「ん?」と引っかかる言い回しに気付きます。例えば企業からのメールなのにいきなり「こんにちは!」から文章が始まっていたりします。

以下は東京三菱UFJ銀行の騙るメールです。テンションが明らかにおかしいですよね。

【件名】本人認証サービス

こんにちは!
最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。
以下のページより登録を続けてください。

差出人のメールアドレスがおかしい

怪しいと思ったらまずはメールの差出人をチェックしましょう。もしもメールアドレスがフリーメールだったら100%不正送金を狙っています。みずほ銀行だったら「◯◯◯@◯◯.mizuhobank.co.jp」、東京三菱UFJ銀行だったら「◯◯◯@◯◯.mufg.jp」というメールアドレスのはずです。

YahooメールやHotmailが使われることなんてありえません。ただし、差出人のメールアドレスは偽装することができます。ネットワークの知識が多少ある人なら簡単に偽装できます。だから判断が難しい場合は金融機関に問い合わせてみてください。何も疑わずにクリックしてしまうのだけはやめましょう。

URLを見れば一発で判断可能!

最も確実な対策はURLを見ることです。不正送金を狙ったメールの中に必ずURLがあります。そのURLをクリックすると偽サイトが表示されます。URLを偽装するのは非常に困難なので、確認すれば一発で不正送金が目的だとわかります。

ただ、HTMLメールで送信されると、メール本文に記載されているURLをごまかすことができます。対策としてはメール本文のURLにマウスカーソルを当てて、ブラウザ左下に表示される本当にURLを見ることです。

東京三菱UFJ銀行ならURLは「https://◯◯.mufg.jp/◯◯◯〜〜〜」となっています。でも偽サイトなら「https://◯◯.mufg.◯◯.◯◯.◯◯/◯◯◯〜〜〜」のようになっていると思います。

違いはドメインです。公式なら「mujg.jp」がドメインです。その直後にスラッシュが必ず付きます。偽サイトのURLはもっとゴチャゴチャしたドメインが使われています。mufgの文字があったとしても、これはサブドメインと呼ばれる簡単に付けられるものなので注意してください。「スラッシュの直前が正しいURLか」さえ見れば、不正送金に引っかかることはありません。