セキュリティ

Step.1～Administratorを殺せ！(セキュリティレベル0⇒1)

Administratorアカウントの存在を確認する

　リネに対応しているOSはWindowsXPかVistaになるが、どちらのOSを使っていていようと、先ずコレをやっとかなきゃ話にならない。
　Administratorとは、どのパソコンにも存在する管理者権限を持つアカウントである(パソコン上で一番偉い人ってこと。つまり何でもできちゃう)。
　Windows XP Home Editionを使用している場合は特にヤヴァイ!!。
　何故なら、買ってきたパソコンをフツーに立ち上げてリネできるようにした場合、ユーザーの知らない間にAdministratorアカウントがパスワードなしで作成されているのだ！
　ドキっとしたXP Homeユーザーは、次の操作を実行してみよう。

(1)スタート＞ファイル名を指定して実行
(2)名前欄に半角で「cmd」と入力しOK
(3)黒い画面(DOSプロンプト画面)が出現することを確認
(4)何回かEnterキーを押すと改行されて「＞」が表示されることを確認
(5)半角で「net user」と入力しEnterキーを押す

　画面上に「Administrator」の文字列が出現した方、ヤヴァイです！

Administratorの殺し方

　実はこのアカウント、Windowsの泣き所であって消すに消せない。消したつもりがいつの間にか復活してるなんてことになれば、笑い話にもならない。
　従って、「アカウントを削除する」のではなく、「アカウントの名前を変更する」のがオススメの方法。
　攻撃者は「Administrator」という無防備な管理者アカウントを使ってパソコンを乗っ取ろうと考えているため、違う名前であればこの時点で攻撃を防御できる。攻撃の対象は「パスワードが設定されていないAdministrator」なので、このアカウントが存在しなければ「では、別の管理者権限を持つアカウントを…」なんて面倒なことは考えない。「じゃ、別のヤツを攻撃しよっと」と攻撃の矛先は別のパソコンを向く。
　ではその変更方法は以下のとおり。

(1)スタート＞ファイル名を指定して実行
(2)名前欄に半角で「rundll32 netplwiz.dll,UsersRunDll」と入力しOK
　※最初はピリオド、次がカンマ(間違えてもパソコンが壊れたりはしない)
(3)「ユーザーアカウント」が開く
(4)「Administrator」を選んで「プロパティ」をクリック
(5)ユーザー名欄にある「Administrator」を変更してOK

　これで管理者権限を持つ「Administrator」というアカウントの名称は変更された。
　が、これで安心してはいけない。もうひとつ問題があったのを忘れていないだろうか？
　そう！このアカウントにはパスワードが設定されていないのだ！
　管理者権限を持つアカウントにパスワードを設定しないなんて言語道断。
　なので、ついでにパスワードも設定しておく。

※先ほどの手順の(3)までは同じ手順なので省略。
(4)元Administratorアカウントを選んで「パスワードのリセット」をクリック
(5)パスワードを設定してOK
(6)「ユーザーアカウント」もOKで閉じる

　これで、無事Administratorを殺すことができ、やっとセキュリティがLv0からLv1になった。

Step.2～ようこそ画面を切れ！(セキュリティレベル1⇒2)

「ようこそ」画面の脅威

　WindowsXPを起動すると、「ようこそ」画面が現れ、ここからユーザーアカウントを選択してOSにログオンするのが一般的な利用方法であると思われる。
　或いは、自分専用パソコンなんだから、他のアカウントを選択する必要がないため、電源ONから一気にOSが立ち上がるようにしているユーザーもいるだろう(ひょっとしたらこっちが主流？)。
　しかし、これは非常に危険！
　パソコンの電源を入れる行為は、OSに組み込んでおくことが可能であり、特定の日、特定の時刻にパソコンを勝手に起動させることが可能。恐ろしいことに、「ようこそ」画面でアカウントを選ぶ⇒パスワードを入力するまでの行為をパソコン立ち上げから一気に自動化することも可能。悪さが終わった後は何事もなかったかのようにシャットダウンまでできてしまう。
　つまり、オーナーに気づかれぬように、こっそり、ひっそりと悪さを仕掛けることが可能なのだ。

「Ctrl＋Alt＋Del」で安全にログオン

　Windows2000を使ったことのある人なら知っているだろうが、このOSはパソコンの電源を入れるとまず「Ctrl＋Alt＋Del」を押してログオンするのがデフォルトとなっている。
　これは、このキー入力を要求する画面を他のプログラムでは出現させることができないため、OSが正規の手順を要求していることを証明するもの。
　また、ここで入力される「CtrlとAltとDelを同時に押す」というキーコードが設定されていないため、こればっかしは実際にキーボードを叩いて入力するしかない。
　つまり、WindowsXPもOSにログオンする前に、このキーシーケンスで保護してやれば勝手に起動されて悪さされることを防止できる。
　但し、この「Ctrl＋Alt＋Del」をまず押してからログオンする機能と、WindowsXPから登場した「ようこそ」画面を使うログオンは両立できない(勿論、電源ONから一発起動もできない)。
　どちらか一方になってしまうのだが、アナタが手間なら攻撃者はもっと手間なのだ。ここは「危険な便利より、不便な安全」と割り切ろう。
　では、その設定方法

(1)スタート＞コントロールパネル＞ユーザーアカウント
(2)「ユーザーのログオンやログオフの方法を変更する」をクリック
(3)「ようこそ画面を使用する」のチェックを外す
(4)「オプションの適用」をクリック
(5)スタート＞ファイル名を指定して実行
(6)名前欄に半角で「rundll32 netplwiz.dll,UsersRunDll」と入力しOK
　※最初はピリオド、次がカンマ(間違えてもパソコンが壊れたりはしない)
(7)「詳細設定」タブをクリック
(8)「ユーザーが必ずCtrl+Alt+Delキーを押す」をチェックしてOK

　パソコンを再起動すると画面中央に無粋な「Ctrl＋Alt＋Delを押してください」の画面が表示され、セキュリティLv2達成。

Step.3～VFSの三位一体でパソコンを守れ！(セキュリティレベル2⇒3)

ウィルスチェックだけじゃ片手落ち

　VFSとは、パソコンをガードするためのセキュリティソフトの頭文字を並べたものであり、「Virus Check」、「Firewall」、「Spyware Check」の3種類を表している(最近の市販セキュリティソフトでは、ウィルスチェックとスパイウェアチェックを合体させて、「マルウェアチェック」と呼ぶ製品もある)。
　市販品セキュリティソフトはどれも高価で、大体5千円ぐらいかかるが、「フリーソフトではちょっとなぁ」と考えるユーザーであれば、市販品を使用することはやむを得ない。
　ここで一旦お金をかけると決めたなら、変なところでケチってはいけない。市販品を使うのであれば、VFSの機能全てが揃っていることが大前提。
　「Kaspersky Internet Securityを買おうとしたけどコレ高いよねぇ。だから安い方のAnti-Virusにしちゃった。」
　ありそうな話である。確かに現在最強と言われるカスペルスキーは高く、優待版でもウィルスバスターやノートンの3倍はする(カスペルスキーは1ライセンスで1台にしか実装できないため)。
　しかし、Kaspersky Anti-Virusにはファイアウォール機能が含まれていないため、パソコンの通信そのものは貧弱なOSのファイアウォール機能だけが監視していることになる。高い金払った結果がこれではお粗末。

フリーソフトは実績重視

　フリーの総合ソフトといえば、KINGSOFTのInternet Security Uしか思いつかない。AVGやAvast!はウィルスチェックのみの機能しか持たない。
　しかし、ウィルスチェックやスパイウェアチェックに限っては、今までの実績がものを言う世界。定義ファイルの配信体制、新種ウィルスへの対応、ワクチン開発、新種発生警報と言った総合的な環境を持たないところで作られた製品はいくら総合ソフトだからと言ってアテにはできない。
　従って、信頼できるフリーのウィルスチェックソフトを選択する必要があるのだが、何を基準に決めるかと言えば、VirusTotalに参加していることを条件にして構わないだろう。

●VirusTotalとは…(サイトより転記)
　VirusTotalは疑わしいファイルを解析するサービスであり、ウイルス、ワーム、トロイの木馬
およびアンチウイルスエンジンにより検出される全てのマルウェアを素早く簡単に検出します。
　VirusTotalは独立したITセキュリティ研究所、Hispasec Sistemasにより開発されたサービス
であり、それぞれの開発者によって公開されている公式のシグネチャファイルにより定期的にアッ
プデートされたいくつものアンチウイルスエンジンのコマンドバージョンを使用しています。

　VirusTotalに参加している企業には、TrendMicro(TrendMicro)、Symantec(Norton Antivirus)、Kaspersky Lab(AVP)、McAfee(Virus Scan)、Microsoft(Malware Protection)他、そうそうたる顔ぶれが並んでいるが、この中にAVG Technologies(AVG)、ALWL(Avast! Antivirus)も名を連ねている。
　この2つはそれだけ信頼のおけるフリーのウィルスチェックソフトなのだ。
　尚、KINGSOFTのInternet Security Uについても、世界的に権威のあるVB100、Checkmarkの2つの検定は取得(どちらも誤検出1個で一発アウト)していることはお知らせしておく。

ファイアウォールは手数をかけるのが常識

　ファイアウォール＝防火壁と聞くと、ウィルスの侵入防止ができそうに思えるがそうではない。カレの仕事はパソコンの通信状況を監視するというもの。
　例えば、定期的に公式サイトを巡回し、自身のバージョンよりも新しいものがあれば、これをダウンロードし更新しようとするアプリケーションは多い。
　しかし、この動きはユーザーの意図しない通信であり、言い換えれば「ユーザーの目を盗んで勝手にやってる通信」である。こういったパソコンの通信状況を監視するのがファイアウォールの役目なのだ。
　従って、WindowsXPに付属しているファイアウォールのように、生きてるのか死んでるのか判らないファイアウォールに存在意義はない。
　パソコンから何がしかの通信が行われた際に、「お～い、こんな通信やろうとしてるけどいいの？」と、どんなに細かい通信だろうとユーザーに通知する機能を持っていてしかるべきなのだ。
　フリーのファイアウォールと言えば、大御所はOutpost Firewall。秀逸なのはアプリケーション単位ではなく、通信処理単位で許認可できること。
　対抗馬としてZone Alarmも優秀だが、こちらはアプリケーション単位でしか通信の許認可設定ができない。
　例えば、Internet Explorerに対してアプリケーション単位で通信許可を与えてしまうと、はっきり言ってファイアウォールがあってもなくても関係なくなってしまう。
　人間の心理として、できるだけ手間は省きたいところではあるが、ファイアウォールだけは逆。ユーザーが意図しない通信処理を教えてくれる機能は絶対に必要なのだ。
　このため、ファイアウォールが通信処理の通知を行った場合、無条件に「通信を許可」、「この設定を記憶する」をクリックするのではなく、自分の意図する通信であるかどうかを判断し、「許可しない」、「今回のみ許可」、「通信を許可」、「通信を許可」＋「この設定を記憶する」を使い分けることが必要。
　Outpostを導入してからしばらくは、通信処理のルール付けに時間を割かれることになるが、これも落ち着くまでのガマン。
　なお、ウィルスバスターやノートンでファイアウォールが口うるさく通信処理の通告を出さないのは、ウィルスの定義ファイルと同様に、ファイアウォールの定義ファイルも公式から受け取っているためだ(タマにリネが起動できなくなるのは定義ファイルでGameGuardの通信が遮断されてしまうため)。

スパイウェアはウィルスじゃない

　困ったことにスパイウェアの大半は、ウィルスチェックのガードをすり抜けてパソコンに寄生することが可能である。
　これは、スパイウェアがウィルスの定義から外れているため、ウィルスチェックソフトで検出できなくても問題にならないためだ。

●コンピューターウィルスの定義(IPAより転記)
　第三者のプログラムやデータベースに対して意図的に何らかの被害を及ぼすように作られたプロ
グラムであり、次の機能を一つ以上有するもの
(1)自己伝染機能
　自らの機能によって他のプログラムに自らをコピーし又はシステム機能を利用して自らを他のシ
ステムにコピーすることにより、他のシステムに伝染する機能
(2)潜伏機能
　発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、条件が満たされるまで症
状を出さない機能
(3)発病機能
　プログラムやデータ等のファイルの破壊を行ったり、コンピュータに異常な動作をさせる等の機
能
●スパイウェアの定義(IPAより転記)
　スパイウェアの定義は、いまだ明確なものはありません。
　それは、スパイウェアがいろいろな機能の組み合わせで構成されているからです。
　ある特定のソフトウェアをスパイウェアであると言い切ることができないのが実情です。
　つまり、悪意のない個々の機能を組み合わせることで、悪意のあるソフトウェアとなっているか
らです。
　～中略～
　パソコンユーザにとってのスパイウェアとは、『利用者の意図に反してインストールされ、利用
者の個人情報やアクセス履歴などの情報を収集し、利用者以外のものに自動的に送信するソフトウ
ェア』であると言えます。

　このため、フリーのウィルスチェックソフトでは、スパイウェアの検出・駆除はできないと理解しておく必要がある(総合ソフトであるInternet Security Uはできるかもしれない)。
　ちなみに、ファイアウォールを実装していれば、通信処理を行う時点でスパイウェアに感染していることは確認できるが駆除はできない。スパイウェア対策は、専用のソフトが必要なのだ。
　フリーのスパイウェアチェックソフトと言えばSpybot！日本語にも対応しているため、非常に使いやすい。
　OutpostとSpybotが実装されていると、両方のソフトがパソコンの通信処理に対して、逐一通報を上げてくる。これは仕様上やむを得ないのだが、相棒のファイアウォールがOutpostであれば、Spybot側はアプリケーション単位で許認可設定を対応すればいい。
　但し、Zone Alarmを使用している場合は、Spybot側で通信処理単位の許認可設定をする必要がある(これではどっちがファイアウォールなのか判らなくなるため、極力Outpostの利用を薦める)。

Step.4～月イチのパッチワークは義務！(セキュリティレベル3⇒4)

Windowsは穴だらけ

　パソコンの初期設定を終え、リネをプレイしだしてからMicrosoftのサイトに行ったことがある人はどれぐらいいるのだろうか？
　もし、DirectXやMSN Messengerのダウンロード以降、一度も行ったことがないというのであれば、非常に危険な状態にあるといえる。
　世界的に大きなシェアを持つWindowsであるが、そのシェアの大きさが仇となり、OSの欠陥(セキュリティホール)が多数発見されており、攻撃者はこのセキュリティホールを突いてくる。
　2001年、世界的に大流行したNIMDA(ニムダ)というウィルスがある。このウィルスの流行がWindowsユーザーの認識度の低さを如実に表している。何故なら、その前段に発生したCODERED(コードレッド)というウィルスの対策を施していたのなら、NIMDAが大流行することなんかなかったからだ。
　Windowsは欠陥品！どれだけ高価なセキュリティソフトを使用していても、Windowsそのもののアップデートを行い、最新の状態にしていなければお話しにならない。

OSの現状を把握する

　「アナタのパソコンのOSは何？」と訊かれて、大半の人は「XP」(あるいは「Vista」)と答えるであろう。まぁ、質問した本人が逆に問われたとしても同じレベルの回答になると思われる。リネが乗るかどうかを判断するのであればこのレベルでも問題ないが、セキュリティ面の対策においてはこれだけでは舌っ足らず。
　次の操作で自分のパソコンのOSを今一度確認してみよう。

○OSの確認
(1)スタート＞ファイル名を指定して実行
(2)半角で「winver」と入力しOK

　表示された情報によりいろいろなことが判る。ロゴ部分を見ればOSの種類とグレード(XPならProfessionalかHome Editionか)が判り、適用されているサービスパックについても知ることができる。ここで大事なのは、このサービスパックのバージョンだ。少なくともSP2(ServicePack2)が適用されていないとなると、危険度は跳ね上がる(ちなみに、最新はSP3)。

OSを最新の状態にする

　winverでSP2の文字列が確認できたからと行って安心できない。そのパソコン、いつ買いましたか？SP2は2004年9月2日にMicrosoftからリリースされている。パソコンを買った時のままの状態で使っているとなれば、ヘタすると4年前のレベルでしかセキュリティ面は維持できない。
　そこでOSを最新の状態にし、少なくとも現状に見合ったセキュリティレベルに引き上げることが必要となる。
　但し、SP2ユーザーの場合、IE7をインストールしないようにすること！

○OSをアップデートする
(1)スタート＞Windows Update
(2)IEが起動し、Windows Updateのサイトに接続される
(3)「今すぐMicrosoft Updateへ」をクリック
(4)新たにIEが起動し、Microsoft Updateサイトに接続される
(5)表示されるメッセージに従いプログラムのインストール＞再起動
　※ここでインストされるのはMicrosoft Updateを利用するためのプログラム
(6)スタート＞Microsoft Update
(7)IEが起動し、Microsoft Updateのサイトに接続される
(8)「カスタム」を選択
(9)SP2を「今すぐインストール」＞ダウンロード＞インストール＞再起動
　※SP2実装済みの場合は省略可能
(10)スタート＞Microsoft Update
(11)IEが起動し、Microsoft Updateのサイトに接続される
(12)「カスタム」を選択
(13)「重要な更新」を全てインスト＞ダウンロード＞インストール＞再起動
　※11～13を繰り返し、重要な更新をやっつけきること！

SP3は迷わず導入

　MicrosoftUpdateをフツーに実施していれば、勝手にSP3が導入される。SP3で強化された部分は、ネットサーフィンにおけるフィッシング対策であり、これはIE7とのセットで初めて活きる。
　では、何故SP2の時点でIE7を入れないとしたのか？
　実は、IE7はVista専用に開発されたブラウザであり、当初XPには対応していなかった。これは、IE7におけるフィッシング対策が当時のXP(SP2)では対応できなかったことに起因する。
　しかし、MicrosoftはXPのサポート期間を2014年まで延長したため、これにあわせてIE7もXP(SP2)に対応せざるを得なくなる。だが、どんなにがんばったところで、XP(SP2)がVistaで実装したセキュリティレベルを満足できるはずがない。
　このため、IE6を見た目だけIE7にしたXP(SP2)専用のIE7をリリースするというとんでもない作戦に出た。それが、「InternetExproler7 for WindowsXP SP2」なのだ。これをIE7だと思って使うとえらい目にあう。しかも、IE7forSP2を実装した後にSP3に上げると、IE7forSP2が削除できなくなるというバグ付(一旦SP2に戻せば削除できる)。
　SP2のことはここまでにしておいて、話を元に戻そう。
　まず、OSをSP3に上げよう。SP3に上げたあとでもボロボロと欠陥が見つかっているため、MicrosoftUpdateできっちり塞いでおく。この過程でIE7(SP3には正規版が対応している)が実装される。

Step.5～IEに別れを告げろ！(セキュリティレベル4⇒5)

世界一危険なブラウザ

　Internet Explorer(IE)は、Windowsに付属しているブラウザであったため、「パソコンを買えばそのままネットサーフィンできる」として爆発的にシェアを広げた。
　しかし、OSで述べたように、シェアが広いと言うことは、それだけ悪意のある攻撃者にとってはセキュリティホールを発見しやすいということに繋がる。
　また、OSのシェアとしてもWindowsは圧倒的に大きいため、パソコンを利用する上でのセキュリティ管理に関する認識度が低いユーザーも圧倒的に多いということになる。この問題児たちは他のOSユーザーや他のブラウザユーザーにも同じ割合で存在するわけだが、Windows＋IEのシェアがあまりに大きいため、問題児たちの絶対量も大きくなってしまうのだ。
　ブラウザを媒体とするアタックは、まさに今INETと接続されているため、リアルタイムでプログラムを操作することが可能になる。特にホームページを動的に表現するための技法であるActiveXを利用する攻撃であれば、ユーザーが現在閲覧しているページの裏でゴソゴソと悪さをするため、これを人間の目で発見するのは至難の業だ(クエ攻が改竄されていたことが話題になったが、その時にこの手の不正プログラムを埋め込まれていた)。
　この手の被害に遭わないようにするための方法は色々あるが、一番簡単なのがツールとなっているIEを使わないことだ。
　ホームページを閲覧するためにIEが必要なわけではない。ホームページを閲覧するのに必要なのはブラウザであって、IEはその1種類に過ぎない。IEの持つブラウザのシェアを突き崩そうと、他ベンダーはそれぞれIEに勝るブラウザを開発し、世の中にリリースしているのだ。

ブラウザはレンダリングエンジンで選ぶ

　さて、IE以外のブラウザにどんなものがあるか考えてみよう。
　IEはWindows用に開発されたブラウザであるとひらめけば、Mac用のブラウザが存在するはずという答えにたどり着く。
　MacOS用のブラウザと言えばSafari(サファリ)が該当し、現在Windows版もリリースされている。
　「Windows版を使えば、IE使ってるのと同じでは？」と思うかもしれない。
　実は、ブラウザを語る際には、ホームページをどうやって表示させるかの仕組みがキーポイント。OSや商品名なんかは関係ない。このホームページを表示させる仕組みを「レンダリングエンジン(或いはHTMLエンジン)」と言う。
　IEで使用されているレンダリングエンジンはTridentであり、Safariで使用されているレンダリングエンジンはWebKitであるため、ホームページを表示させる手法は全く異なる。
　※IE for MacはTasman(タスマン)と言うTridentとは異なるエンジンを搭載している。
　レンダリングエンジン別に一般的なブラウザを並べたのが下記の表だ。ここに表してあるレンダリングエンジンとブラウザの関係は、そのブラウザのために開発されたレンダリングエンジンであるということ。いわばブラウザ界の「教祖様」だ。

　レンダリングエンジンはオープンソースとして公開されているため、これを利用して自由にブラウザを作る事も可能。この方法で作られているブラウザの代表選手がSleipnir(スレイプニル)やLunaspace(ルナスペース)。この2つのブラウザは、標準でTridentエンジンを使用する設定だが、インストール時にGeckoエンジンを選択することも可能だ。
　ちなみに、Googleが満を持してリリースしたChrome(クローム)はWebKitエンジンを搭載している。

そして私はFirefoxを選んだ

　レンダリングエンジンの違いにより、各ブラウザはそれぞれの特徴を持っている。Operaは表示速度に優れ、又タブブラウザの元祖でもある。SafariはMacで鍛え上げられた操作性の良さがウリ。見た目にこだわるなら豊富なスキンを持つLunaspace。時間をかけてとことんオレ流を極めるならSleipnir。最新のテクノロジーを実感したければChrome。
　と、数あるブラウザの中で、私はFirefoxを選んだ(マイニーズにおいて、IEがMicrosoftUpdate専用ブラウザになったのは2年前)。
　前身のNetScapeNavigator時代からの歴史に加え、適度にカスタマイズでき、表示速度もそこそこ速い。一番のお気に入りは、IEがWeb上のプログラムをキャッシュ上で実行できたのに対し、Firefoxはダウンロードしなければプログラムは実行されないところ。
　ブラウザは実際に使ってみなければ実感できない部分はあるため、アナタにもこれがベストマッチするとは言い難い。しかし、Tridentエンジン以外のブラウザをメインに使用することは安全性の面では重要なことである。
　尚、MicrosoftUpdateは、IE専用サイトと考えておく必要があるため、IEのアップデイトをさぼるわけには行かない。
　以下にFirefoxに興味を持った人向けとして、カスタマイズ用のお勧めアドオンを記載しておく。