カテゴリー: セキュリティ

ドコモ口座というサービスで、不正送金されていることが報じされています。しかもドコモ口座を利用していない人でも不正送金されているようです。怖い世の中ですね、全く関係の無いサービスで自分の口座からお金が消えていくわけですから。

今回は、ドコモ口座の不正送金の被害者にならないためにできることはあるのかということと、どうやって防ぐのかの2点を考えてみます。

一応私は情報処理安全確保支援士という情報セキュリティの資格は持っています。

ドコモ口座の不正送金ができた原因

なぜ無関係な人にここまで被害が出たのかを考えてみたいと思います。原因は2つあると思います。

ドコモ口座の登録時の本人確認が不十分

メールアドレスだけで登録できるということで、本人確認がとても緩かったです。そのため、銀行口座を持つ本人以外でも登録ができてしまうという状況でした。

誰がドコモ口座を解説したのかが不十分なため、現金で引き出されてしまうと追跡することは難しいと思います。

口座情報と暗証番号が漏えいしていた

一番怖いのはこちらです。いくらドコモ口座への登録時の本人確認が不十分でも、口座番号と暗証番号がセットでわかっていないと、不正送金できないわけです。

どうやって口座情報と暗証番号を盗むのでしょうか？　可能性として高いのは以下の2つの条件があったと思います。

1. 暗証番号を誕生日などのわかり易い数字にしている
2. フィッシングサイトで口座情報などが漏れた

最近のフィッシングサイトは本物と見分けがつかないように怪しまれないように作り込んであります。人が見分けることは難しいです。

個人情報の漏えいが金銭の損失に直結した

ふだん個人情報の漏えいがあっても、関係者が謝罪して金券配って終わりという話がいくつか過去にはありました。でも名前や住所、電話番号ではせいぜいサービスの電話で本人になりすます程度しかできませんでした。

ドコモ口座による本人確認の緩さで身を隠すことができる上に簡単に送金ができるという脆い2つが重なってとてもわかり易いセキュリティ事故が金銭に直結する事例を作ってしまいました。

ドコモには情報セキュリティの専門家はいなかったのでしょうか。セキュリティよりサービス化を優先してしまったのでしょうか。最近の情報漏えいは金銭に直結するため、本当に怖い時代になりました。

ドコモ口座の不正送金を防ぐ方法

暗証番号を変える

まずは暗証番号を定期的に変更するという方法があります。銀行窓口で変更可能です。インターネット経由でも暗証番号を変えることができる銀行もあります。

個人情報が漏えいしない対策

そもそも銀行口座や暗証番号などの個人情報がフィッシングサイト経由で漏れないようにウイルス対策ソフトでパソコンやスマートフォンを強化しましょう。

最近のウイルス対策ソフトには、ウイルス対策だけでなく、フィッシングサイトへアクセスしないように守ってくれる機能があります。

スマホなら安全なのでしょうか？　そんなことはありません。個人情報を狙っている人はパソコンやスマートフォン関係なく、Webサイトへのアクセスで情報を抜き取られる時代になりました。市場の利用者が多いデバイスは狙われますので気を付ける必要があります。

そう考えると無性のセキュリティ製品では守れない領域です。ドコモ鋼材の不正送金のニュースを見て、有害なWebサイトにアクセスしないよう守ってくれる有償のウイルス対策製品はとても心強いです。

どんなウイルス対策ソフトが良いの？

Web脅威対策やフィッシング対策などの文言が入っていれば対策できる製品です。高性能で選ぶならカスペルスキーです。

使いやすさやサポートの細かさで選ぶならトレンドマイクロだと思います。

次に軽さが売りのESETです。好きなら良いと思います。大きな差異はありません。

お勧めできるのはここくらいまでです。あとはあまり使用していないのと日本人向きでは無いと思います。カスペルスキーは性能だけで選ぶ人には良いと思ってお勧めしています。

ウイルス対策ソフトは1ヶ月お試しでインストールできるので、インストールして操作感や電池の持ちなどを確認しましょう。正直な話、好みで選んでもカスペルスキー、トレンドマイクロ、ESETなら外れはありません。あくまで個人向け製品のことについてですので、ご了承ください。

コロナ禍によって、テレワークや在宅勤務が進んでいます。でも、受け入れる側のネットワークがまだ準備ができていないことも多いです。テレワークは一般的にインターネットVPN環境が必要です。設備が間に合わずテレワークが難しいことが多いこともあります。

そこで、次点の策として特定の固定グローバルIPアドレスからセキュリティレベルが低い接続（WebDAVを使ったファイルサーバへの直接接続やSSHによるサーバへの直接接続など）を許可することでセキュリティレベルを維持する方法を採る場合もあります。

そこでVPNを使って固定IPアドレスを提供してくれるサービスを利用します。

固定IPアドレスをなぜ使うのか？

利用者を制限してセキュリティを強化する

サーバを使ってサービスを提供する場合には、常にハッカーやクラッカーからの攻撃にサービスがさらされます。サービスでのセキュリティ強化には限界もありますので、簡単にできるIPアドレス制限をすることでセキュリティ強化が比較的簡単にできます。

二要素認証と同じで、1つの複雑な条件で制限するより、2つの簡単な条件で制限する方が容易です。

セキュリティ維持にかかる費用を削減できる

これも2要素認証のメリットですが、IPアドレスで門前払いできます。そのため、サービスで実装するセキュリティレベルが低くても一見さんお断りのシステムで全体のセキュリティレベルは高く維持できます。

固定IPアドレスが簡単に使えないのはなぜ

IPv4グローバルIPアドレスは増やせないから

1990年代からIPv4アドレスは足りないと言われています。32ビットの長さで変更できません。IPv4アドレスは約43億個あります。インターネット人口が増えている状況では、アメリカ(人口3億2千万人)と日本(人口1億2千万人)、中国(人口13億人)の全員が使ったらすでに足りなくなる計算です。

IPv4アドレスはパソコンやスマホ、タブレットだけではなく、サービスを提供するサーバーやネットワークを接続する機器にも使います。そのためIPv4アドレスが不足して枯渇することは明らかでした。

インターネットの利用端末が増えたから

これもIPv4アドレスを枯渇させるには十分な理由です。サービスと利用者が増えればIPv4アドレスがさらに必要となります。

このためIPv4アドレスはインターネットが身近になるにつれて枯渇していきました。

固定IPアドレスを提供するサービスを利用

そんな貴重になったIPv4アドレスを固定的に割り当ててもらえるサービスがあります。

プロバイダの固定IPアドレス提供サービスを利用

インターネットへの接続を提供してもらえるプロバイダのオプションメニューとして、固定IPアドレスの割当を提供しているプロバイダは少なくなっていますがあります。

でも使い慣れたプロバイダやキャリアを使いたいですよね。そう思うのであれば固定IPドレスをサービスとして提供してくれるサービスを利用しましょう。

使い方は申し込んでVPN接続するだけです。L2TPと記載があるのはIPsecも含まれています。2か月無料なので始めやすいです。

固定IPアドレス提供サービスを利用

利用しているプロバイダが固定IPアドレスをオプション提供している場合はそれを使うもの有効です。スマホやタブレットのキャリア選択の自由度が無いので注意が必要です。

まとめ

以前は固定IPアドレスを割り当てるオプションが多かったのですが、最近は減りました。スマホやタブレットを使うキャリアにはあまり固定IPアドレス割り当てが無いので、キャリアやプロバイダに関係なく、固定IPアドレスを割り当てるサービスを提供してもらえるのは選択肢が増えるので助かります。

固定IPアドレスの割当が終わったら、本当に割り当てられているか確認します。グローバルIPアドレスを調べるにあなたの端末が使っているIPアドレスを表示するページとしています。

固定IPアドレス提供サービスで提供された固定IPとなっていれば成功です。

インターネットのことを略して「ネット」と言いますが、ネットサーフィンって危険って思う方が多いですよね。登録セキスペを持っていて、セキュリティの専門にしているSEの私から見るとそこまで神経質になる必要はないのですが、知らないということは怖いです。

本記事ではネットを安全に使う方法を簡単に4点にまとめます。初心者の方でもこれだけ抑えれば怖い情報漏洩は起こさないと思います。

ネットの安全は現実世界と同じ

まずは何が危険なのかを知りましょう。現実世界では金品を強奪されたり、自身に降りかかる危険を避けることです。

1. すでに分かっている詐欺などの手口を理解する
2. 現金を必要最小限にするなど損害を減らす
3. 犯罪に遭遇した場合の逃げる方法を知る

ネットの世界では、非公開の情報が一番大事です。現実世界の自身の代わりになるのは、スマホやタブレットやパソコンになります。

1. セキュリティパッチをソフトウェアに当てて、弱点をなくす
2. 不必要な情報をスマホやタブレットやパソコンに入れておかない
3. 標的型攻撃メールなど、攻撃を受けた場合に回避の仕方を理解する

こうやって対比すると現実世界とネットの世界は基本的に同じです。現実世界の貴重品はネットの世界では個人情報などの貴重な情報になります。

ネットの前に端末の安全確保

本格的なネットの利用の前に、道具のメンテナンスをします。ネット利用の道具となるのはスマホやタブレットやパソコンなどの情報端末といわれるものです。

道路を走る自動車が道路を走る前には定期的に点検して安全を維持するのと同じように本格的にネットサーフィンする端末もセキュリティパッチを適用して安全点検します。

Windows10パソコンのセキュリティパッチを含むソフトウェアの更新が有るかを確認する方法はWindows10のソフトウェアの更新確認に説明していますので、参考にしてください。

ウイルス対策ソフトもWindows Defenderではなく有償の製品を使って安全性を高めましょう。有償のウイルス対策製品でも無償版を提供しているものもあります。詳細は無料ウイルスチェックで安全性を確認しようにまとめていますのでご覧ください。

Windowsファイアウォールは理由がわからない場合は有効にしておいてください。Windowsファイアウォールを無効にすると、インターネットから攻撃されて侵入される危険が高まります。ネットワークの安全性がわからない場合もあります。重要なので繰り返し説明します。Windowsファイアウォールは有効にしておいてください。

危険なネットを安全する方法

道具の準備ができたら、いよいよネットを安全に使う方法をまとめます。まずはWebサイトを閲覧するネットサーフィンやYoutubeなどの動画閲覧でも、SSLという通信路を暗号化する技術を使っています。

この通信路を暗号化するとネットでデータを安全に受け渡す基本になります。

Webサイトがhttpsで暗号化されていない場合にはVPNを使って暗号以下しましょう。オープンWiFiなど、安全性が確認できないネットワークの場合はVPNサービスを使うのが良いです。

ネットの危険を知っておく

端末のセキュリティを確保して、ネットワークのセキュリティも確保できたら、後は使うだけです。使う際に気を付ける点は機械的に守れるものではないです。使う人が危険性を理解して引っかからないようにします。

具体的には怪しいメールやSNSのリンクをクリックしない、信頼できないアプリはインストールしない、情報を信憑性を確認する。現実世界と同じで詐欺が横行しています。現実世界と違うのは国境がないことです。このため、国外からも怪しい情報がよく来ます。

敵を知るにはどんな危険があるか実際に知りましょう。日本の情報セキュリティを専門で扱っているIPには映像で知る情報セキュリティが公開されています。

ネットのセキュリティは必須スキル

テレワーク主体の業務が増えてきたこともありますが、ネットワークを自分自身で手配して使うことが必須スキルとなってきました。

テレワークのセキュリティについては、テレワークは3点気を付ければ安全ですにまとめていますので、参考にしてください。

パソコンを廃棄する時に、データの消去はとてもむつかしいですよね。以前　HDDに保管した個人情報の確実な廃棄についてではハードディスクを破壊してデータを復元できない確実な方法を説明しました。ソフトウェアを使ったパソコンのデータ消去を確実に遂行する！でデータを上書きして復元できないようにして情報を消去する方法を紹介しました。

外部媒体や特定の情報ではなく、具体的にこまってしまうパソコンを廃棄する時に保管している情報を、どうすれば対処すれば復元できない形でパソコンを捨てられるのかまとめます。一つ手順を組み込むことでパソコンを安全に廃棄できます。

パソコンのデータ消去は上の図のように、黒板けしで消去できると良いのですが、残念ながら簡単には消えません。次にデータを書き込む時に上書きすることで消去の手間を減らしているのです。

パソコンのデータを確実に消去する方法

パソコンのデータを消去と言いますが、具体的には2つのことが実現できれば「データを消去できた」と見なせます。

1. データを読み取れないようにする
2. データを上書きして、データの痕跡を消す

1の「データを読み取れないようにする」には、データが保存してある部分を壊してしまって読み取り処理ができないようにすることを言います。「ハードウェアを破壊する」という言い方ができます。具体的にはディスクを壊したり、紙であればシュレッダーで細断するなどが該当します。

2の「データの痕跡を消す」というのは、データを読み取ることができてもそこには重要なデータが記録されていない状態にすることを言います。これは先ほどの黒板消しや消しゴムなどで痕跡を消すことや、モザイクをかけることも同じことになります。

モザイクについては、電子版のシュレッダーとも言えます。

上の図では、モザイクの例ですが、まだ粗いため、十分なデータ消去の効果が出ていません。もっと細かくしてシャッフルするとデータ消去の効果が出てきます。

データを復元できないように消去する具体的手順

ハードウェアを破壊する手法については、HDDに保管した個人情報の確実な廃棄についてで説明しています。HDDは対応しているのですが、SSDはしていないので、使いにくいですね。

HDDなどの内臓メディアを破壊するにはパソコンから取り出す必要があり、機種によっては分解する必要があり、とても手間がかかります。やはり物理的に壊すよりデータを上書く方法で抹消した方が処理しやすいです。

データを上書きして破壊する

データを上書きして消去する方法もあります。フォーマットでデータをすべて消して、次にランダムデータで上書いて隠れているデータを削除していく方法です。いろいろなフリーソフトがありますが、ポイントは復元ソフトです。復元できなければよいので、複数のソフトを試して復元できないことを確認しましょう。

外部メディア上のパソコンのデータを消去するには、パソコンのデータ消去を確実に遂行するで説明した方法を使います。内臓HDDやSSDは取り出してUSBで外部媒体に変えておくと同じ手順が使えます。下のようなHDDスタンドを使います。

上の図の製品は2つ挿せてデータコピーができるタイプですが、データ消去だけなら2台挿せる必要はありません。私は1台挿せるタイプを購入してデータを上書きしてデータを消去しています。

上のような1ベイの機器を購入しました。2ベイでもそこまで金額差はないので、好みで選んで大丈夫だと思います。実際にディスクを指してみます。

2.5インチは小さいので、すっきりと収まってますね。使いやすいです。次は3.5インチを挿してみます。

3.5インチのディスクはやはり大きいです。でも上の伸びるので場所は取らないし、重みでコネクタがつながるので安定感は高いです。

なお、パソコンにUSBで接続すると外部媒体と認識します。実際にデータ消去すると時間はかかりますので、夜実行して放置しておくと良いです。

外部に委託するとデータが復元できないことを担保してくれるサービスもあります。

まとめ

データをハードウェアやソフトウェアで消去する方法を説明しました。では本題に戻ってパソコンの内臓ディスクのデータを確実に消去する方法は以下の2つになると考えます。

1. 内蔵ディスクを取り出して機械的に壊す
2. 内蔵ディスクを取り出して外部媒体に変換して、空き領域を無意味なデータで上書きしてデータを消去する

どちらにしても面倒です。もう少し簡単なデータを画一に消去する方法がないか確認してみます。

シュレダーが欲しいと思い、迷った挙句に購入しました。導入した理由は、コロナ禍により自宅学習となった子供たちの学習用プリントが増えて自宅で印刷する機会が増えたからです。幸い私が勤務する会社の方はペーパーレス化が進んでおり、仕事上で印刷が必要な状況は最低限となりました。

子供たちの勉強で使ったプリントは名前や学校や筆跡が入っている個人情報です。手で裁断も面倒ですので、この機会に家庭で使えるコンパクトで安価なシュレッダーを導入したいと考えました。

シュレッダーの仕様

シュレッダーを使う場面ですが、以下を想定しています。

1. はがきDM
2. 回覧板を回覧した後
3. 郵便物に付いているあて名ラベル
4. 学校からのプリント
5. 繰り越し後の通帳

最近は電子データ化して紙を減らしていますので、シュレッダーの出番は意外に使いどころは多いです。スキャナはEPSONのPM-T960をまだ使ってます。余談ですが次はFAX電話機と統合したいと考えています。ブラザーのMFC-J998DNです。

脱線しましたが、せっかく導入するシュレッダーには、下の機能は欲しいです。

電動であること

回転ハンドルで細断するタイプは手が痛くなります。細断の時間は次の準備や後片付けをして時間を有効に活用したいため、電動タイプは必須です。

小型であること

紙を細断する機会は頻繁にあるとは思っていません。多くても1日に1回まとめて10枚くらいで納めたいです。使わない時間の方が多いので、大型では保管する場所が無駄になります。日本の居住スペースは狭いので小型であることも必須です。

対応する用紙サイズはA4は必須ですので、小型と言ってもそこまで小さくはできないと思います。

安価であること

使う頻度が多くないからこそ、安価でないと買えません。そのため予算は￥10,000円以下とします。

マイクロクロスカットで細断すること

細断サイズは細かいほど良い情報は洩れないので、マイクロクロスカットができることも必須です。

選定した機種

シュレッダーのメーカーをあまり知らないため、どこがよいかから調査を開始です。賛否両論はあると思いますが、￥10,000円以下だとなかなか見つけられませんでした。すべてを満たしてくれたシュレッダーが下になります。

メーカのホームページの製品一覧に載っていないですが、ホームページの量販店カタログには載っていました。もっと小さいサイズもありましたが、全ての要件を満たしてくれる製品が他に無かったので、GSHA11M-Bを購入しました。

シュレッダーの使用感

重さが5kgでしたので、通販で購入しました。届いたのは以下です。

幅380mm×奥行255mm×高270mmです。この箱の中にシュレッダーが1cmくらいの隙間だけできっちり収まっていました。

取り出してみると5kgは、全体の大きさから想定すると重く感じます。下のような感じで、通販画面でみたそのままです。

裏から見ると電源コードが出ています。

ACアダプタが内蔵されているようで、外には電源ケーブルだけですのですっきりしています。デスクにおいても邪魔にはならないですね。

外観と設置場所

大きさから見た目から、書類ケースのように見えます。とりあえず、プリンタの近くに用紙を保管しているので、置いておきます。

シュレッダーをプリンタラックの真ん中に収めました。一番下の段は用紙や予備インクを設置しています。一番上にはプリンタPM-T960を置いて置いてます。使う時に電源を入れて取り出す使い方です。

使ってみた感想と機能

使ってみると、想定していたより音は大きく夜中に細断すると近隣に迷惑をかけることになります。細断した紙を見ると、思ったほど小さくないです。でも個人情報を読み取れるほど大きいわけではないので、合格です。

機能についてはホームページにある通りで、通常細断のほかに逆回転もできて紙詰まり対策は良好です。

一度に細断できる枚数は4枚なので、随時細断して捨てますので許容できます。細断した紙は細かいため舞います。飛ばないように気を付けてゴミ袋に移してください。

シュレッダーの必要性について

個人情報の漏洩に気をつけるようになり、個人情報を捨てる前に確実に隠す必要があります。今後、シュレッダーの必要性はさらに増していくと考えています。情報漏洩は取り消せないので、漏洩しないように注意するしかないのが現実です。

シュレッダーが不要となるのは、紙で配布する資料が無くなる時と同じだと思います。

テレワーク時に気を付ける点はIPAでも公開されています。普段注意する点も含まれているため、特に自宅でテレワークする時の注意事項をまとめます。

私はIPAのネットワークスペシャリスト、情報セキュリティスペシャリスト、情報安全確保支援士の資格を保有しており、5年ほどの約2000名が利用するネットワークの情報システム部門にてインフラの企画と運用のリーダーでしたので、インフラの知識と経験はある程度保有しております。

無線LANのセキュリティ強化

ファームウェアを最新バージョンに更新する

無線LANを提供している無線LANアクセスポイントのファームウェアが最新バージョンかを確認します。既知の不具合やセキュリティ上の問題が解決されていますので、必ず最新のファームウェアを使うようにしましょう。

なお、ファームウェアを最新にバージョンアップするにあたり、設定が初期化されるリスクもあります。設定のバックアップができる製品であればバックアップを取得しておきます。

暗号化にWEPは使わない

無線LANは空気中をデータが流れるため、データを関係ない人でも取得できます。データから情報を読み取れないようにする手段が暗号化ですが、WEPでは10秒程度で解読されるほど脆弱な暗号化アルゴリズムに成り下がっています。

このため、無線LANのデータ暗号化方式はTKIPやAES、WPAやWPA2を使うようにします。

暗号化パスワードは複雑にする

暗号化パスワードが脆弱であると暗号化アルゴリズムに脆弱性が無くても、総当たり攻撃などで暗号化パスワードが特定される危険性が高いです。暗号化パスワードは文字種や文字数を多く使って、簡単に解読できないパスワードを使います。

強いパスワードの作成方法や、管理方法はパスワードをもっと楽に管理しようで説明していますので、参考にご覧ください。

ネットワーク機器のセキュリティ強化

ファームウェアを最新バージョンに更新する

ルータなどのネットワーク機器が使っているファームウェアが最新バージョンかを確認します。既知の不具合やセキュリティ上の問題が解決されていますので、必ず最新のファームウェアを使うようにしましょう。

なお、ファームウェアを最新にバージョンアップするにあたり、設定が初期化されるリスクもあります。設定のバックアップができる製品であればバックアップを取得しておきます。

初期パスワードから必ず変更する

メーカー毎に初期パスワードが固定としている場合があります。初期パスワードをこのような共通の初期パスワードのままネットワークにつなぐ方がいます。セキュリティ上非常に危険で、「攻撃して乗っ取ってください」と言っている等しいです。

セキュリティ上とても危険な行為ですので、初期パスワードは必ず変更します。強いパスワードの作成方法や、管理方法はパスワードをもっと楽に管理しようで説明していますので、参考にご覧ください。

パソコンのセキュリティ強化

更新プログラムはすべてインストール

OSのセキュリティパッチは最新版まで適用します。これは基本的な考え方です。必要なソフトウェアが動かない場合は、ソフトウェア開発元に修正を依頼します。

例えばWindowsUpdateを適用して、必要なアプリケーションが動作しなくなった場合は、原則としてアプリケーション開発元に対応するように要請します。業務上支障がある場合は、WindwosUpdateを適用しない端末はネットワーク接続を制限します。ファイアウォールなどで必要最小限の利用者が使えるようにして、不特定多数に接続をさせない措置が必要です。

有線LANをお勧め

無線LANは空間に電波を飛ばしてデータを送ります。受けて以外にデータを傍受していないことを保証できません。無線LANではデータが傍受されると認識して暗号化で情報の秘匿化して対策します。

逆に考えると有線LANはデータを傍受することは無線LANと比較すると困難です。重要なデータを扱うパソコンは有線LANで接続するという対応もセキュリティレベルが高い対策です。

後ろから画面を見られないように注意

パソコンを利用する際には、ショルダーハッキングなど、後ろから情報を取得される危険があります。自宅以外の外出先で業務情報をパソコンで使う際には壁に背を向けて座るとショルダーハッキングの対策になります。

今のパソコンの液晶ディスプレイは視野角が広いため、後ろ以外に横からの情報取得に注意します。このリスクはプライバシーフィルタを画面に付けて、視野角を狭める対策が効果的です。

以上、テレワーク時のセキュリティを維持するための注意点を説明しました。テレワーク時の参考になれば幸いです。

データを消去するフリーソフト

Windowsのフォーマットではデータを消去できない

Windowsのフォーマットはデータそのものは削除しません。データそのものが入っている場所を記録している管理領域を削除するため、データそのものが残っているためです。

Windowsのクイックフォーマットは、Windowsのフォーマットでは追加で実行している不良領域のチェックを省略して高速化しているにすぎません。

このためWindowsのフォーマットでは、データを保管している領域は削除しないため、復元ソフトでデータを復旧できることになります。

具体的な例でいうと、書籍の目次と索引は破ってシュレッダーして処分しますが、書籍の内容自体は残している状態と同じです。

データを消去できるフリーソフトをダウンロード

ではどのような方法なら確実にデータ消去ができるのか？　消せないなら意味のないデータで上書きすれば良いのです。このようなフリーソフトはいくつか存在します。

データ消去を目的としたAlternate File Shredderというフリーソフトが直観的で使いやすそうです。Alternate Toolsのホームページからダウンロードできます。英語サイトですが操作画面は日本語に変更できます。

Alternate Toolsのホームページを表示すると下の図のように英語サイトが表示されます。

上の図のようにホームページが表示されたら、右側の縦スクロールバーを一番下まで移動します。

上の図の赤枠内にある「Start Download of Alternate File Shredder」リンクをクリックしてFileShredder.exeをダウンロードします。

データ消去ソフトのインストール

先ほどダウンロードしたFileShredder.exeをダブルクリックしてインストーラを起動します。

上の図で日本語でよければそのままOKをクリックしてインストールを進めます。

上の図ではセットアップの開始案内なので、次へをクリックしてインストールを進めます。

上の図のように使用許諾契約書への同意確認が表示されます。同意しないとインストールできないので、左下の「同意する」にチェックを入れて右下の「次へ」をクリックしてインストールを進めます。

上の図ではAlternate File Shredderのインストール先を指定します。デフォルトの指定で問題なければ、変更しないで右下の「次へ」をクリックしてインストールを進めます。

上の図のようにAlternate File Shredderのプログラムグループを指定するウィンドウが表示されます。変更が不要なら右下の「次へ」をクリックしてインストールを進めます。

上の図のように追加タスクがいくつか表示されます。一般的な項目にチェックが入っています。変更が必要なら修正して右下の「次へ」をクリックしてインストールを進めます。

上の図のようにインストール準備完了のウィンドウが表示されたら、内容を確認して、間違いなければ右下の「インストール」をクリックしてインストールを進めます。

上の図のようにウィンドウが表示されたら、インストールは正常に終了しています。修正履歴の情報を表示しています。右下の「次へ」をクリックしてインストールを進めます。

上の図のようにセットアップウィザードの完了が表示されたら、右下の「完了」をクリックしてインストールを終了します。

パソコンのデータ消去を実行してみる

パソコンのデータ消去のためにインストールしたAlternate File Shredderを起動します。下のアイコンをクリックして起動します。

Alternate File Shredderを起動すると下のようなウィンドウを表示します。

上の図のようにAlternale File Shredder起動直後の画面が表示されます。下にあるオプションを下の図のように変更します。

上の図の赤枠のようにチェックを入れて確実にデータ消去されるようにします。

次に消去したい外部メディアをUSBなどでパソコンに接続します。その後エクスプローラからクイックフォーマットで残っているデータを全部削除してください。フォーマットでデータを削除する理由は、データ消去ソフトは空き領域のデータを消去するためです。

データを全部削除したら、右上のファイルメニューをクリックします。

上の図のように、ファイルメニューから「空き領域の完全削除」を選択します。

上の図のように完全消去するドライブ選択画面が表示されます。今回は外部メディアのため、上の図の赤枠内にチェックを入れて外部メディアであるDドライブを対象にします。チェックが入ったら上の図の中央下にある「OKボタン」をクリックしてください。ただし、OKをクリックすると最終確認も出ずにデータ消去が進みますので、対象が間違いないか確認してください。

上の図のようになればデータ消去の処理を開始しています。時間がかかりますので、終わったらシャットダウンしておきたい場合もあります。その時は「後処理」と書いてある右側のセレクトボックスをクリックすると選べます。

上の図のようにデータ消去終了後の処理を選択できます。処理が終了すると下の図のようになります。

上の図が表示されたら、正常に外部メディアのデータ消去が完了しました。

データを復元するフリーソフト

フリーソフトを使ってデータを復元できるか試す

データを復元できないことを確認して、データ消去が成功したことを示します。すべてのソフトで確認するのは時間の無駄なので、異なる2つのデータ復元ソフトを使います。実際、どんなソフトでもよいのですが、フリーで利用できるデータ復元可能なソフトを使っています。

フリーソフトRecuvaでデータ復元できるか確認

RecuvaのホームページからRecuvaをダウンロードします。Free版でもデータの復旧はできますので、Free版をダウンロードします。rcsetup153.exeをダウンロードしてインストールします。

使い方の詳細は省きますが、Recuvaで復元してみた結果は下のようになります。

上の図の結果を見るとファイル名はやデータは復元できませんでした。復元できたのは、Alternate File Shredderの一時ファイルと思われるが15個あります。1GB毎の一時ファイルが14個有り、747MBの一時ファイルが1有りました。重要データは復元できなかったのでデータ消去成功です。

フリーソフトGlary Undeleteでデータ復元できるか確認

ベクターの配布サイトからダウンロードできます。gunsetup.exeをダウンロードします。

使い方の詳細は省きますが、Recuvaで復元してみた結果は下のようになります。

上の図の結果を見るとファイル名はやデータは復元できませんでした。復元できたのは、Alternate File Shredderの一時ファイルと思われるが15個あります。1GB毎の一時ファイルが14個有り、747MBの一時ファイルが1有りました。重要データは復元できなかったのでデータ消去成功です。

Recuvaと同じ結果となりました。

まとめ

Alternative File Shredderを使うと、パソコンのデータ消去を確実にできることがわかりました。パソコンを廃棄したり、USBメモリでデータ受け渡しする際に、フリーソフトで過去のデータを消去できるのはとてもありがたいです。

Webサイトの常時SSL化が叫ばれていますが、SSL化するのは意外と難しいです。このサイトではWindows10のパソコンでSSLサーバ証明書を作れるようになることを目的として作り方を説明します。

順番に実行していただければ簡単にできると思います。最終的なアウトプットはSSL秘密鍵のファイルをSSLサーバ証明書の22つのファイルです。

SSLサーバ証明書に必要な物

SSLサーバ証明書と呼ばれていますが、原理は公開鍵暗号の技術を使っています。公開鍵暗号はその名の通りデータを暗号化する鍵が2つ必要ではあるのですが、一つの鍵を公開することができる暗号化方式です。

公開鍵暗号の特徴をまとめると以下になります。

SSL秘密鍵

SSL秘密鍵は、暗号化通信を始める際に必要な情報を管理しています。秘密鍵のは暗号の2010年問題(外部サイト)から2048ビット以上使うことを推奨されています。つまり2048ビット使う場合は、2²⁰⁴⁸の種類のデータの中から一つをえらんで鍵として使っています。

秘密鍵は名前の通り、絶対に秘密にしておく必要があります。

SSLサーバ証明書

SSLサーバ証明書は、SSL秘密鍵に対応する公開鍵のことを言います。SSL秘密鍵とSSLサーバ証明書の2つが無いとWebサイトのSSL化はできません。

CSR（証明書署名要求）

SSL秘密鍵から、SSLサーバ証明書を作る時に、SSL秘密鍵の特徴を表す情報と組織情報を指定して組み合わせたものをCSR(証明書署名要求)と言います。

CSRが必要な理由は、認証局にSSLサーバ証明書を発行してもらうために、最低限必要なSSL秘密鍵の特徴を認証局に提供するためです。

SSLサーバ証明書を作れる環境の準備

OpenSSLのインストール

Windows用のOpenSSLを作るのは手間がかかりますので、すでに公開されているサイト（外部サイト）から手に入れましょう。2020年2月15日現在、以下のような外観です。

上のサイトから下に半分くらいスクロールすると、下の図のようにOpenSSLのダウンロードリンクが表示されます。

SSLサーバ証明書を作成したり、確認するだけであればLight版で事足ります。64bit版のOSの場合はWin64が付いているリンクを、32bit版のOSの場合はWin32が付いているEXEのリンクをクリックしてインストーラをダウンロードします。

ダウンロードするとWin64OpenSSL_Light-1_1_1d.exeか Win32OpenSSL_Light-1_1_1d.exeのインストーラファイル名になります。 ダウンロードしたインストーラを実行します。

上の図は64bit版ですが、起動すると下のようなウィンドウが開きます。

上の図のようにライセンス合意画面が表示されます。赤枠を選択して、右下のNextをクリックします。

上の図のようにOpenSSLの保存先を指定する画面に変わります。変更が不要なら右下のNextをクリックします。

上の図は、OpenSSL用のスタートメニューをどこに作成するかフォルダ名を指定します。指定した名前のフォルダがスタートメニューに作成されます。右下のNextをクリックします。

上の図は、OpenSSLの動的ライブラリをとこに置くかのウィンドウです。変更は不要ですので、右下のNextをクリックします。

上の図はインストール前の最終確認画面です。間違いなければ右下のNextをクリックします。

上の図は、OpenSSLのインストールが成功したことを示しています。寄付をされるのであればチェックボックスにチェックを入れてFinishをクリックします。

OpenSSLコマンドのPATHの設定

OpenSSLのインストールが完了しましたが、まだ実行するにはOpenSSLへのコマンドのパスを通しておかないとフルパスで指定する必要があります。ここで便利に使えるようPATH変数に加えておきます。

上の図のように、①タスクバーの検索メニューをクリックして、PCと入力します。②メニュー左上にPCが表示しますので、右クリックして、③プロパティをクリックします。

上の図のようにコンピュータの基本的な情報の表示ウィンドウを表示します。左側メニューの赤枠内「システムの詳細設定」をクリックします。

上の図のように、システムのプロパティが表示されます。赤枠で囲っている環境変数ボタンをクリックします。

上の図のように環境変数の設定画面が表示されます。①赤枠のPATH部分をクリックして、青色背景に変更して、②右下の編集ボタンをクリックします。

上の図のように、ウィンドウが開きます。先ほどのパス変数を一行ごとに区切って表示しています。上の図の赤枠のように、最初の空行をダブルクリックして、インストールしたフォルダに/binを付けた文字列を入力します。

例えばC:64ビット版のOpenSSLを標準のフォルダにインストールした際は下の図のように入力します。

上の図のように入力します。入力が完了したらEnterキーで入力した文字列を確定します。

上の図のように、①入力したパスの文字列が確定したら、②OKをクリックします。

OpenSSLコマンドのPATH設定を確認

では実際にOpenSSLコマンドがフォルダを省略して使えるか確認します。コマンドプロンプトを開きます。openssl version とコマンドを入れてみます。

上の図のように、OpenSSLのバージョンが返ってきたら成功です。

Webサイト名の決定

Webサイト名は、例えばこのサイトで言えばsingomemo.comになります。

Webサイト名と使うWebサーバーで名前が異なる場合は、SSLサーバ証明書がChromeやFirefoxなどのWebブラウザでエラーを表示しますので、気を付けましょう。

特にwww.有りのサイトと無しのサイトがある場合はサイト名が異なります。2つのSSLサーバ証明書が必要となりますので、注意してください。

Webサイト名は英大文字・英小文字・数字と特殊文字はハイフン(-)とアンダースコア(_)までが安全です。他の特殊文字（アスタリスク(*)やパーセント(%)、シャープ(#)やビックリマーク(!)）はトラブルを引き起こしかねませんので使わないようにしましょう。なお、大文字と小文字は区別しません。

SSLサーバ証明書を作る

お待たせしました。いよいよSSLサーバ証明書を作成します。OpenSSLコマンドを使ってSSLサーバ証明書を作成する順番は次の通りです。

SSL秘密鍵の作成

どこでも良いのですが、フォルダを作ります。ここではデスクトップにTmpフォルダを作ります。

実際にコマンドを実行すると以下のようなファイルになります。

上の図は2つのことを実行しています。①opensslコマンドでSSL秘密鍵を作成します。出力するSSL秘密鍵のデータをprivate.keyファイルにリダイレクトして保存します。②typeコマンドでprivate.keyファイルの内容を表示します。これはテキストエディタで開いてみてもOKです。

SSL秘密鍵のファイルは「—–BEGIN RSA PRIVATE KEY—–」と「—–END RSA PRIVATE KEY—–」で囲まれていれば正常にできれいます。

これでSSL秘密鍵を作成することができました。なお、SSL秘密鍵はコマンドを実行するごとに内容が変わります。一回作成したSSL秘密鍵と同じ物は得られませんので、本番用にSSL秘密鍵を作成する際はバックアップを必ず取ることをお勧めします。

CSR（証明書署名要求）の作成

SSL秘密鍵を作成したら、SSLサーバ証明書を作成するために中間データのCSRを作成します。CSRはSSL秘密鍵の特徴と、Webサイトの情報を入力します。

では実際に作ってみましょう。コマンドプロンプトを開き、先ほどSSL秘密鍵を作成したフォルダへ移動して、CSRを作成します。

CSR作成コマンドを実行すると、赤枠内の表示で止まります。Country Nameは国名で日本はJPを入力してください。次にState or Provinceは州ですが、日本では都道府県を指定します。上の図では「**-ken」としてます。Locality Nameは市を入力します。上の図では「**-shi」としてます。Organizational Nameは会社名、Organizational Unit Nameは会社の部署名です。

次のCommon Nameが重要です。Common NameはWebサイトの名前で、公開する時に指定するサイト名と合わせてください。www有り無しも含めてです。

後の3つ、Email AddressとA Challenge password、An optional company nameは空欄で大丈夫です。

では作成したCSRのファイルを見てみます。

上の図のようになります。「—–BEGIN CERTIFICATE REQUEST—–」と 「—–END CERTIFICATE REQUEST—–」で囲まれていればCSRのファイルが正常にできています。

SSLサーバ証明書の作成

SSLサーバ証明書は認証局から購入する方法が一般的です。グローバルサイン（外部サイト）が人気でしょうか。認証局を運営するサイトにCSRや必要な書類を送付してSSLサーバ証明書を提供してもらう方法です。認証局ごとに購入方法が異なりますので、認証局の手順をご確認ください。

ここでは自己署名によるSSLサーバ証明書の作成を紹介します。自己署名ですが、SSL暗号化通信は実現できます。

それでは実際にコマンドプロンプトを開き、SSLサーバ証明書を作って表示してみます。

上の図のようになります。「—–BEGIN CERTIFICATE—–」と 「—–END CERTIFICATE—–」で囲まれていればSSLサーバ証明書のファイルが正常にできています。

SSLサーバ証明書とSSL秘密鍵の対応確認

SSLサーバ証明書とSSL秘密鍵、CSRの3つのファイルがあるわけですが、ファイルの内容を見てもすぐにそのWebサイトの証明書かわからないものです。そこで3つのファイルが同じWebサイト用かを確認する方法を説明します。

今回作った、SSL秘密鍵・CSR（証明書署名要求）・SSLサーバ証明書のファイルについて、Modulus値を表示してみます。

3つのファイルともにmodulus値が合っていることがわかります。

以上でSSLサーバ証明書の作成方法は終了です。

いろいろなサイトで安全なパスワードの作り方は教えてくれますが、安全に保管することが難しいです。私が実践している比較的安全に保管する方法を紹介します。他にもっと良い方法がある方はコメントに残していただけると幸いです。

パスワードの保管方法

安全なパスワードは作ったが、さてどこに保管するか…。Excelファイルに安全なパスワードを記載して、安全のためそのExcelファイルにパスワードをかけるとします。 Officeをお持ちでない場合にはテキストファイルに安全なパスワードを記載して、パスワード付きZIPファイルで保管します。よくある光景だと思います。

でもここで気になることが出てきます。

いつまで経っても最後のパスワードの保管方法が決まりません。入れ子のような構造になって、いつまで経っても解決しません。

ではパスワードをどこに保管するのが良いのでしょうか？　実は全く関係が無い場所に保管すると安全に管理ができることに気づきました。

具体的にはどこになると思いますか？　私は個人持ちのスマホにデータとして保管するのが最善だと考えます。理由については次項から説明します。

安全な保管場所は個人のスマホ

一番安全な場所は個人のスマホの中に記載します。使う本人だけが分かればどこでも良いのです。ただし条件があります。パスワードだけを記載して保管してください。どの「Webサイトで使う」とか「IDは〇〇」とかパスワードを使う場所が特定できる情報を書いてはダメです。

ではなぜ個人のスマホが重要なパスワードを保管するために適していると判断したのでしょうか？　現在個人のスマホは財布と変わりない域にまで機能が拡張されていますので、皆さん自分で厳重に管理しているはずです。そのため、大事なスマホを無くすことはありえません。私は万一失くしたら必死に見つかるまで探します。

記載場所はデータとして保管するならどこでも良いのですが、メモ帳などにパスワードの文字列を記載しておきます。実は「パスワード」と書いてなければ、それを見た他の人は何のための文字かは分からないのです。もし文字列がパスワードと分かったとしても、何のパスワードかどこで使うかがわからなければ結局使うことはできません。しかも関連するIDやユーザー名が無いため、どこのパスワードか探し当てるのは難しいと思います。

これですべて解決するでしょうか？　そうとは言えないです。もう一つ心配事があります。

判らないように記録するコツ

他人から見てわからないようにするには、独自のルールを決めればよいのです。使いやすいのは次の2つの方式です。

逆順で書く

横書きのパスワードの文字列は通常左側から認識します。これをあえて逆順にして、右側から書きます。または後ろの文字から書いていきます。良くないパスワードの例ですが、パスワードを「Password1234」とすると下のように書きます。

この文字を他人が見て、仮にパスワードだとわかったとしても、常識的に考えて左から入力するはずですので、そのためパスワードがバレることはありません。ちょっと例が悪いので上の例だと右側から書いているとわかってしまいますが、安全なパスワードであれば、後ろから書いているとは気づきません。

ただし、悟られないように注意してください。悟られるならば次の手も併せて使ってください。

先頭にダミー文字列を入れる

パスワードを逆順にするだけでは不安だという人には、先頭にダミー文字を入れましょう。

1文字でも2文字でも何文字でも本人が理解できれば大丈夫です。自分はダミー文字列を外してパスワードを入力すればOKです。何文字ダミーを入れるかも本人次第です。自分のパスワードなので先頭に何文字ダミーがあるかは一目でわかるはずです。

他人がその文字列をパスワードとして見ると必ず1文字目から入力をします。何文字ダミーかの情報も入れないのでわかりません。この情報も悟られてはいけません。自分だけの秘密の規則（以後「マイルール」と言います）として忘れないようにしてください。

例えば先ほどの例と同じようにパスワードを「Password1234」とするとダミー文字を2文字「1@」を入れてみます。

いかがでしょうか。左側はダミーの最初の2文字を付与したものがそのままパスワードと誤認しても仕方ないですよね。本人は区切り文字を特殊文字にすると間違いないと思います。

さらに後ろにもダミーを入れてみます。特殊文字であればダミーを含めてパスワードと誤認する確率はかなり高まります。

^と$の間の文字列が本当のパスワードです。正規表現で^は始まりを、$は最後を示すマイルールとすることで、本人は識別できますが、他人は識別できないメモとなります。

いろいろ応用は効きますので、試してみて使いやすいマイルールを見つけてください。

ハズレを入れておく

パスワードに使わない文字列を本当のパスワードの前後に入れておきます。ハズレが多いほど良いです。具体的には次のように書きます。

1. 21dorwssaP
2. 1@Password1234
3. St.^Password1234$enD

３行上のような文字列を書いておき、例えば上の3項の^と$の間が本当のパスワードというマイルールにしておくと1項と2項はハズレになります。正しいパスワードが漏れるリスクを下げられます。

安全なパスワードの簡単な作り方

使い捨てにも使える複雑で安全なパスワードの作り方はノートンのブログに紹介されていました。パスワード自動生成ツールを使いましょうという結論ですが、少し工夫してみます。

先ほどのPassword1234という文字列ですが、特殊文字が無いだけで、大文字小文字数字と入っています。ただ辞書に登録してある文字が入っているため破られやすいです。

ここで覚えやすく、他人から見てわからないようにするため、次の変換を使います。

• a → @
• s → $
• o → 0
• 1 →l(小文字のL)またはI(大文字のi)
• 小文字を小文字を変えたり、文字列の位置を変更したりして気息性を無くす
• アンダースコア(_)やハイフン(-)を途中に追加

具体的にPassword1234を変えてみると下のようになり、強力なパスワードになりました。文字の位置までは変えていませんので、もう少し強化できます。

まとめ

パスワードは絶対に紙に書いたりしてはダメということはありません。そもそも「パスワードを管理すること」が目的ではありません。「パスワードがバレて使われる状況にならないようにすること」が目的です。

パスワードの管理はもっと楽になるはずです。上手く機器を使って安全にパスワードを管理していけると幸いです。

2018年からChromeでSSL化されていないWebサイトは警告が表示されるようになりました。SSL化のことは知っていても、なぜ常時SSL化が必要となったかまでわからないことが多いと思います。

ここではSEを生業として見た常時SSL化の必要性と、SSLがあるとどこまでできるかを考えてみたいと思います。併せて簡単ですが、常時SSLが必要となった背景とインターネットの危険性について紹介したいと思います。

SSLで実現できること

WebサイトがSSL化していると次の3点が可能となります。

1. 第三者からWebサイトの正当性を証明できる。
2. 通信内容を他の端末でわからないように暗号化できる
3. 通信内容を途中で書き換えられたことを検知できる

3つ挙げていますが、常時SSL化が取り上げられた理由は1のWebサイトの正当性を証明できるがすべてです。このWebサイトの正当性を証明する証明書のことを「サーバ証明書」「SSLサーバ証明書」単に「証明書」と言います。

なぜWebサイトの正当性を証明する必要があるのか？　これはフィッシングサイトを撲滅するためです。今まではWebサイトの正当性を証明できなかったから、フィッシングサイトから金目の情報を取ることができていました。でも、常時SSL化することにより正当なWebサイトかどうか常に確認することができるようになったのです。

Webサイトの正当性を証明する方法

このWebサイトをChromeでアクセスすると下の図の①付近のように鍵マークが付きます。鍵マークをクリック（①）して証明書のパスを見ていく（②③）と、④のようにサーバ証明書が上から繋がっているのがわかります。

上の図の④のように証明書が繋がっていることが大事で、一番下の証明書がこのWebサイトを証明する身分証明書です。身近なものでいうと運転免許証やマイナンバーカードにあたります。

運転免許証やマイナンバーカードは、それぞれ公安委員会や市区町村長が発行元でお墨付きを与えます。同じようにWebサイトの証明書もお墨付きをもらいます。お墨付きを与えるのが一番上にある証明書でルート証明書と呼ばれます。この繋がったSSL証明書は証明書のチェーン(鎖)と言います。

サーバ証明書がどこから発行され、ブラウザまで受け取る流れを下の図に示します。私たちが、Webサイトを閲覧する前にWebサーバの管理者が認証局からサーバ証明書を発行してWebサイトを開設しておきます（下図左上）。Webサイトができあがったら、①ブラウザを使ってWebサイトにアクセスすると、②Webサーバから証明書を受け取り、③証明書の内容を確認します。

すべてが正常な場合は警告無く接続ができます。

証明書に問題がある時の確認ポイント

今度は証明書に問題がある場合の表示例を見ていきます。問題がある点は、今まで説明したものを満たしていない場合で、次の3点です。

1. 証明書のWebサイト名が違っている
2. 証明書のチェーンが繋がっていない
3. 有効期限が切れている

例えば、自宅にあるNASの管理Webサイトは下のようになります。①のURLでエラーが出ています。クリックして証明書を確認します。②無効となっている証明書をクリックすると証明書の全般画面が出ます。③証明書のパスを見てみると、証明書チェーンが無いことがわかります。

常時SSLが無いとこのようなチェック機能は全く働かないので、フィッシングサイトを回避するためにWebサイトの安全性を確認するには良い対策だと思います。なお、このサイトは私自身が設置したNASで192.168.0.210のIPアドレスも割り当てていますので、間違いないことは把握済みです。

常時SSLに関する疑問

常時SSL化していないWebサイトは大丈夫か？

そのWebサイトにIDやパスワード、個人情報などを提供する必要が無いなら問題は無いです。SSL化するにはそれなりの費用と準備が必要となりますので、準備中の可能性もあります。

常時SSL化していれば安全か？

ブラウザで警告が出ると「フィッシングサイトかも」と疑いを持つことになりますが、最後は使う人次第です。使う人が情報を渡してしまうとせっかくの警告も意味がありません。

警告が出たら納得できるまで確認して、警告が出るようなWebサイトに情報を入力しない方が安全です。事情があって警告が出ていることを理解しているならば大丈夫だと思いますが、ほとんどの人はWebサイトの運用にかかわらないため、その状況はあまりないと思います。

名前が違っていても警告が出ない場合がある

この場合はワイルドカード証明書と言います。例えば、web01.singomemo.comやweb02.singomemo.com、site.singomemo.comの3つの　Webサイトがある場合に3つの証明書を用意するより、1つの証明書で3Webサイト分用意するのが楽という考え方です。この場合ワイルドカード証明書のWebサイト名は「*.singomemo.com」となります。アスタリスク「*」がweb01,web02,siteに適合するように考えてあります。

今は3つのWebサイトで例を出しましたが、10サイト、20サイトとなると1種類でまとめた方が楽というのもわかっていただけると思います。

インターネットの安全性

インターネットは各々のネットワークがつないで出来上がっています。インターネットの中には警察などの取り締まる組織はいません。金銭的犯罪があれば日本の警察は動きますが、海外に犯人が居るとなかなか逮捕できない場合があります。インターネットに国境が無いため、容易にインターネットを経由して入り込むことができるからです。

インターネットは秩序を維持する組織が無いので、自由すぎる点が課題です。そのため犯罪者も入りやすく、金目の情報を渡さないように利用者自身が気を付ける必要があります。

今回のブラウザの警告だけですべての情報漏洩を防ぐことはできません。インターネットは自由で危険と隣り合わせである認識を持って注意して利用すると便利に使うことができるはずです。

ブラウザの対策だけで安心か？

ブラウザはフィッシングサイトの警告を出すようになりましたが、そもそもパソコンやタブレット、スマートフォンにウィルスが入り込むと情報は簡単に漏洩します。

実際に警視庁が公開しているデータを見ると毎年標的型メール攻撃の件数が増えています。標的型メール攻撃は、特定の会社や個人を標的としてウィルス感染やフィッシングサイトへ誘導するためのメールによる攻撃のことを言います。

標的型メール攻撃は日々進歩しており、だれしもが引っかかるあ脳性があります。基本的にメールは疑ってかかるのが正しい対処方法です。お互いに注意しましょう。