会員の皆様へ(2007年10月のご挨拶)

パソコンのセキュリティ対策

目次

 なお、本稿は、Windows XP、VISTA の頃の内容が中心ですので、2019年の現代では、一部、当てはまらない部分が含まれています。ご注意ください。
 ブロードバンドの普及と様々なサービスの登場の影響
 Windows Update / Microsoft Update
 Office以外のアプリケーションの脆弱性対策
 ファイル共有/プリンタ共有をオフ
 ウイルス/スパイウェア対策ソフト
 メールソフト
 P2Pソフト
 ルーター
 無線LAN
 終わりにあたって

ブロードバンドの普及と様々なサービスの登場の影響

2002/4の「今月のご挨拶」では、「Windows NT/2000等のセキュリティ確保」と題して、その当時のセキュリティ対策と情報の収集について、簡単に触れました。
 現在では、多くの方がパソコンをブロードバンドでインターネットに常時接続しており、また、ブログや動画サイトのように近年になって、普及してきたサービスも多くあります。
 このような環境では、パソコンのセキュリティ対策を、より、適切に行うべきであると思われます。
 2007/5のご挨拶で「データの生まれてから無くなるまで」でデータの保全方法について、書いてみましたが、セキュリティ対策については、大きなテーマであり、そこでは、詳しく解説できませんでした。
 ここで、項を改めて、まとめてみましょう。
目次に戻る

Windows Update / Microsoft Update

 言い古されてきたことでは、ありますが、マイクロソフトより、Windowsの脆弱性を補完する更新プログラムが、ほぼ、毎月、第2水曜日に発表されています。
 「ゼロディ・アタック」(脆弱性が発表された直後に攻撃すること)がしばしば見受けられることから、アップデートは、直ちに適用しましょう。
 なお、Windows Updateが提供されるOSは、2007/9現在では、Windows 2000 Professional(SP4)、XP(SP2)、Vista、2003のみです。
 サポート対象から外れた、Windows Me、98、95でインターネットを利用することは、もはや、危険です。
 また、マイクロソフト製品のOffice2000以降を含めた製品に対するアップデートを得るためには、Microsoft Updateサイトでアップデートプログラムの提供を受けて下さい。
 このサイトは、Windows Updateサイトからリンクが張られています。
 これらのサービスの提供を受けるためには、正規のWindows、Officeであることが必要となります。
 最初にアクセスしたときに、その確認のためのプログラムの実行を許可する必要があります。
目次に戻る

Office以外のアプリケーションの脆弱性対策

インターネットエクスプローラ(IE)(2000 Proは、バージョン6 SP2、XPでは、バージョン6 SP2及び7、VISTAでは7)だけでなく、国産ソフトの「一太郎」や「花子」の脆弱性を突く攻撃が発見されて以降、Windows及びOffice、IE以外のアプリケーションについても、安閑としてはいられない状態にあります。
 一太郎、花子については、複数の脆弱性が確認されています。
 ジャストシステムのページ(http://www.justsystem.co.jp/)から自分の一太郎等のバージョンに合った修正プログラムをダウンロードして適用して下さい。
 最新の一太郎等をインストールした環境では、「JUSTオンラインアップデート」サービスで自動的に修正プログラムの存在とダウンロードとインストールができるようになりました。
 それ以外では、たとえば、次のようなアプリについて、修正が必要となっています。

 ・ JAVA : 現在では、JAVA VMは、サンマイクロシステムズから提供されています。
 パソコンにインストールされていれば、こちらも自動的にアップデート等ができるはずです。
 コントロールパネル内に「JAVA」なるアイコンがあります。
 もし、ない場合は、インストールされていない可能性があります。
 JAVAがインストールされていないと閲覧や利用できないサイトがありますので、必要な方は、サンマイクロシステムズのページからインストールして下さい。
 ただし、2007/9現在、Vistaでは、JAVAのインストール下でエラーが起きる場合があります。

 ・ Acrobat Reader : アドビのPDF文書を閲覧するソフトです。
 2007/9/25現在のバージョンは、「8.1」です。

 ・ Lhasa(ラサ) : 解凍ソフトとして著名です。
  修正バージョンが出ています。同じく、バージョンは、「0.19」です。

 ・ Lhaplus (ラプュラス) : 圧縮・解凍ソフトです。
  脆弱性を修正したプログラムが2007/9/21に出ました。同じく、「1.55」が最新です。

 ・ iTunes (アイ・チューン) : アップル社の音楽ダウンロード用のプログラムです。最新バージョン 「7.431」です。Quick Timeも最新版になります。

 なお、Windowsの脆弱性情報を含めて、インターネット上の情報提供サイトには、次のものがあります。
 独立行政法人 情報通信機構(IPA) http://www.ipa.go.jp/
 上記がまとめている、日本向けの脆弱性情報データベース: JVN iPedia : http://jvn.jp/index.html
 有限責任中間法人 JPCERT : http://www.jpcert.or.jp/
 これらには、Windows以外のOSで動作するソフトについても、脆弱性情報が掲載されています。
 また、メーカ製のパソコンでは、それぞれのパソコンメーカからも情報提供がなされている場合がありますので、自分のパソコンのメーカのホームページも参照してみて下さい。
目次に戻る

ファイル共有/プリンタ共有をオフ

特に必要がなければ、パソコンのネットワークのプロパティで「Microsoftネットワーク ファイルとプリンタ共有」をオフにしておきましょう。
目次に戻る

ウイルス/スパイウェア対策ソフト

 ウイルス対策ソフトをパソコンにまったく、インストールしていない人は、少ないかも知れませんが、往々、ソフトの有効期限が切れていることが多いものです。
 少なくとも、ご自分のパソコンに、どのような、ウイルス対策ソフト(名前とバージョン)がインストールされており、かつ、その有効期限がいつまでなのか、ということは、ぜひ、把握しておいてください。
 メーカー製のパソコンで、プリインストール(購入時にインストールが完了していることをいう)の場合、たいてい、3ヶ月程度の有効期間しかありませんので、「有効化」してから90日程度で期限切れになってしまいます。

 日本の家庭で使われている、主な有料のウイルス対策ソフトメーカ(または販売先)と製品(の略称)には、次のようなものがあります。
 トレンドマイクロ(ウイルスバスター)、
 マカフィー(マカフィー・ウイルススキャン)、
 シマンテック(ノートン)、
 ソースネクスト(ウイルスセキュリティ)、
 キャノンシステム(NOD32)、
 コンピュータアソシエイツ(CAアンチウイルス)、
 マイクロソフト(Windows Live OneCare)、
 ホロン(V3)、
 イーフロンティア(ウイルスキラー)、
 ジャストシステム(カスペルスキー・インターネットセキュリティ)。

 これらは、数千円の価格で、有効期間が1年間というものが多いようです。
 なかには、トレンドマイクロのウイルスバスターなどのように3台までのパソコンに同一のシリアル番号でインストールできるものもあります。
 ご家庭で2台以上のパソコンを持つ方が増えてきているためでしょう。
 複数のパソコンを持つ方には、お得感があります。

 また、ソースネクストの「ウイルスセキュリティ・ゼロ」では、Vistaのマイクロソフトのサポートが終了する年まで更新料金を必要としない製品もあります。
 毎年の更新手続きが面倒な方は、このような製品を検討するのも一案です。
 上記のソフトは、狭義のウイルス対策だけでなく、スパイウェア対策やスパムメール対策、パーソナルファイアーウォールなどの機能を持つものが多いようです。
 なお、1台のパソコンに複数のウイルス対策ソフトをインストールすることは、避ける必要があります。
 お店まで買いに行くのが面倒な方は、インターネットのベクターなどのダウンロード販売を行っているサイトで製品を購入してください。
 いずれにしても、リアルタイム検索だけに頼らずに、定期的にウイルス検索等を行わせることも大切です。
目次に戻る

メールソフト

 XPまでは、アウトルックエクスプレスが普通、使用されています。
 VISTAでは、Windowsメールという名称に変わり、少し、インターフェースが変わりました。
 まず、メールの「プレビュー機能」は、オフにしておきましょう。
 また、標準のメール形式がHTMLメールになっています。
 送信形式をテキスト形式にしておきましょう。
 また、受信したHTMLメールの外部イメージをブロックする設定にしておくと良いでしょう。

 Windowsメールには、標準でスパムフィルターがあります。
 アウトルックエクスプレスまでは、ウイルス対策ソフトを利用するなどして、スパムやフィッシングメールとおぼしきものをチェックする設定にしておき、受信トレイ以外の場所に自動的に移動しておくと良いでしょう。
 つい、うっかりして、このようなメールを開いて、ウイルス等に感染してしまうおそれが減ります。
 なお、Windowsメールから標準で搭載されているスパムフィルターでは、スパムメールのチェックリストで、トップレベルドメインの「JPドメイン」も対象になっています。
 ○○.JPからのメールがすべて、スパムとされてしまいますので、必要に応じて、JPドメインを対象から外しましょう。
 (co.jp、or.jpなどは対象になっていません。単なるjpドメインです。)
 いずれにしても、あやしいメールは、開かない、あやしい添付ファイルは、開かないという原則は、守ることが肝要でしょう。
目次に戻る

P2Pソフト

 Winnyに代表されるピアツウピアソフトをインストールしていると、暴露ウイルス等に感染することにより、パソコンの中身をインターネット上にぶちまけてしまいます。 ひとたび、インターネット上に拡散してしまうと、「覆水盆に戻らず」のたとえ通り、元に戻すことができません。
 もはや、ビジネスに携わる方は、自分のパソコン等にWinny等をインストールすることは、自分の人生を台無しにしてしまってもいいという覚悟が必要でしょうね。

 自分でインストールした覚えが無くとも、家族の誰かがインストールしてしまっている場合もあり得ます。
 できれば、パソコンのユーザ登録では、自分以外は、管理者ではなく(本当は、通常時は、自分も制限ユーザとしてログインするのがよい)、制限ユーザとして追加しておくと良いでしょう。
 その場合は、管理者ユーザにしっかりパスワードを設定して、新規のプログラムのインストール等を制限しておきましょう。
 更に、心配であれば、WinnyなどのP2P型のプログラムをスキャンする専用ソフトを使用してパソコン内部をスキャンしましょう。
 たとえば、ソフトメーカの「アンラボ」などのページから無料で使えるツールをダウンロードできます。

 ドメイン環境では、サーバーのスタート→管理ツール→ドメインセキュリティポリシー→セキュリティの設定→ソフトウェア制限のポリシーとたどって、
 「追加の規則」内で右クリックして、「新しいパスの規則」を作成します。パス欄に「winny.exe」と入力して、セキュリティレベルは、「許可しない」でOKを押します。
これで、ドメイン配下のコンピュータでは、winny.exeと言う名称のソフトを起動することはできなくなります。
 なお、ソフトの名称を変更されていると、これでは、無力ですので、「新しいハッシュの規則」を同様に作成して、禁止するプログラムのハッシュ値を入力します。説明欄には、何のプログラムかを書き留めておくと良いでしょう。

 winny.exe以外のP2Pソフトには、winnyp.exe(改造版)、winmx.exe、share.exe、cabos.exe、bittorrent.exeなどがあります。
 企業では、これらは、無効にしておいた方がよいでしょう。
 ドメイン環境でないXPでは、管理ツールから「ローカルセキュリティポリシー」から同様の設定ができます。
 テスト的には、Windows標準添付のアクセサリー「notepad.exe」を禁止してみて、実際に「メモ帳」の起動を無効にできるかどうかをチェックすると良いでしょう。
 notepad.exeのハッシュ値は、「参照」ボタンを押して、プログラム本体を指定すると自動的にハッシュ値が入力されます。
 winny.exeなどのP2Pソフトのハッシュ値は、実際のプログラムを入手せずに手入力やコピー&ペーストで入力します。(当然かな!)
 具体的なハッシュ値の文字列は、インターネットで検索するか、「日経ネットワーク」の2007/6号P30などに掲載されていますので参照してください。
目次に戻る

ルーター

 ブロードバンドでは、通常、ルーターを利用していると思います。
 まず、ルーターには、パスワードを設定しましょう。
 購入時(レンタル時)には、「PASSWORD」などの簡単な文字列が設定されています。
 これを変更しましょう。パスワードを変更したら、忘れないうちに、紙に書き留めておきましょう。

 また、特に必要がなければ、「UPnP(ユニバーサル・プラグ・アンド・プレイ)」機能や「DMZ」機能をオフにします。
 通常、ルーターでは、外(インターネット)から内向き(内部のネットワーク)への通信(インバンド)の開始は、禁止されていますが、内から外向きの通信(アウトバウンド)は、許可されています。
 しかし、必要なアウトバウンド以外は、禁止しておくと良いでしょう。
 一例としては、接続元を、内部のIPアドレスにして、外向きの、TCPのポート番号:1-19(1番から19番までを表す。以下、同様)、22-24、26-52、54-79、81-109、111-442、444、446-1023。同じく、UDPポート番号:1-52、54-122、124-1023は、一律禁止。
目次に戻る

無線LAN

 情報の漏洩を完全に防止するためには、できれば、無線LANは、止めたいところではあります。
 結局、利便性と危険性は、相反するのです。
 まあ、極論すれば、インターネットを使わなければ、危険はほとんど無くなってしまいます。
 と言っても、そこまでは、踏み切れないですな。

 さて、無線LANですが、当方には、設置していないため、具体的に説明できませんが、物の本によると、アクセスポイントを隠蔽すること、クライアントのMACアドレスによる認証、通信の暗号化がポイントのようです。
 1番目のポイントは、アクセスポイントが出すビーコンと呼ばれる信号を止めてしまうことで他人にアクセスポイントを発見しにくくする方法です。
 とはいえ、無線通信そのものの電波は、外部に漏れるので、アクセスポイントを割り出される可能性は、残ります。

 2番目のMacアドレスによる認証は、簡単に偽装することも可能なので、あまり信頼できません。
 企業では、認証サーバを別途、設けてパソコンを認証する仕組みがとられることもあります。
 家庭では、事前共有鍵をアクセスポイントとパソコン側に設定することもMACアドレスによる認証よりも強力なためとられています。

 3番目の暗号化は、決め手ですが、以前は、WEP(鍵長40ビットまたは128ビット)が使われていましたが、ある程度の時間をかけて通信データを解析されると破られてしまうという問題がありました。
 そこで、最近では、TKIPまたはAESという暗号化方式が採用された製品が出回っています。
 ただし、アクセスポイント内に弱い暗号化方式のパソコン等がある場合は、その方式に合わせることになりますので、暗号化の強度が低下します。 
目次に戻る

終わりにあたって

 今回もご覧いただき、ありがとうございました。
 彼岸を過ぎても、まだ、日中には、暑さが残りますが、朝晩は、涼しくなってきました。
 季節の変わり目で体調など崩さないように気をつけて、お元気でお過ごしください。
目次に戻る

前回のご挨拶に戻る今月のご挨拶に戻る次回のご挨拶に進む