【情シス野郎 チラシの裏】は、「情報処理安全確保支援士」資格を持つ情シス担当が、仕事を通して得た知識や技術を、技術面に詳しくない人でも読みやすいよう「チラシの裏」に書くかのごとく書き散らす!というシリーズです。
今回は、使うことが“当たり前”になりすぎて、セキュリティが“ゆるゆる”になりがちなWebサイトやインターネットの危険性について、オリンピック※ を1年後に控えた今、あらためて書いてみたい。(※オリンピックなどの大きな国際イベントはサイバーテロの標的になりやすい)
2000年頃まではニュースは新聞やテレビ、詳しい知識は専門書、趣味などの情報は雑誌、が主な仕入れ先だった。
しかしそれから20年近くが経過し、全てが「Web(インターネット)」に置き換わりつつあるのはご存じの通りである。
Webサイトでの情報の取捨、真偽の判断は原則個人に委ねられている。全てを正しい情報と思い込むと、思いがけず恥ずかしい目に合ってしまうこともある。
そのため、俺の場合はひとまず疑ってかかり、より正確な情報に近づくため、セカンドオピニオンではないが他のWebサイトを回って確認することがよくある。
そういった使い方をしていると気付くのが、Web広告の存在である。
自分が過去に検索した内容に近い広告が、全然関係のないWebサイトでやたらと表示されるなー、と感じたことはないだろうか。
これはサーチターゲティングやリマーケティングという手法による広告である。
会社PCやスマホ、自宅PCなど、同じユーザーで検索サービス(GoogleやYahoo)にログインしていると、場所や端末は問わず同様の広告が表示される場合がある。
会社で検索 → 自宅で広告表示 なら問題は無さそうだが、
自宅で検索 → 会社で広告表示 だと困る方もおられるのではないだろうか。
もしくは、
自宅やスマホで検索 → 自宅PCを奥さん使用時に広告表示
だと家庭崩壊が近づく方はおられないだろうか。
これらは決して悪意のある手法ではなく正規のWebマーケティング手法であるが、理解していないと不安になる(おれだけ?)し、知らないということが思わぬトラブルに発展する可能性があることはお分かり頂けたであろう。
しかしながら、上記で表示されるWeb広告は基本的に正規の広告であり、クリックしても企業や製品のWebサイトが開くだけである。
ところがこのWeb広告を改ざんし、「不正プログラムをPCに送り付ける不正サイト」や、「クレジットカード情報を窃取しようとするフィッシングサイト」を開かせる攻撃も存在している。
Webサイト自体が改ざんされる事例は20年近く前に発生した「複数省庁のWebサイトが改ざんされた事件」まで遡ることが出来るが、近年でも国内だけで超大手企業や官公庁を含めて「数千件/年」も発生している。
たまたま訪れたWebサイトが改ざんされており、PCにバックドアを仕掛けられて乗っ取られた、という事例は全くもって珍しくないのである。
しかも多くは本人が気付かないので、冒頭に述べたサイバーテロの「踏み台」にされ、自分のPCが攻撃に加担してしまう、、、なんて可能性はゼロではない。
もはや絶対に安全なWebサイトやリンク先というのは存在しない(少なくとも利用者が判断出来ることではない)と言える。利用者に出来ることは「安全かどうかの判断や憶測」ではなく、「不正サイトを開いても被害を受けないようにする準備」である。
準備とは以下のようなことである。
・セキュリティパッチが提供されない古いOSを絶対に使用しない
→ 使ってるなんて論外
・OSやアプリケーションのセキュリティパッチ(Windows UpdateやAdobeなど)の最新化
→ 脆弱性利用の攻撃を防止
・「お使いのOSは破損しています!」など不安を煽る表示は一切信用しない
→ わざわざそんなことを親切に教えてくれる他人も仕組みも存在しない
・他人に知られては困る情報(クレジットカード情報など)の入力要求は全力で疑う
→ 買い物などで能動的に登録する場合を除いて絶対に入力しない
Web(インターネット)は全ての既存メディアを包括した情報の提供が可能な仕組みであり、多様な技術を用いて多くのサービスが提供されている。
また同時に、機密情報や個人情報が溢れた、数十億人が利用する開かれた空間でもある。ITリテラシーの低い利用者もまだまだ多い。
悪意のある人間にとっては格好の攻撃対象であることを理解し、治安のよくない裏道に入り込んでしまったときのように、十分注意しておそるおそる歩くくらいで丁度いい。
