よくある侵入の手口って?

お:
んー、まあ『敵を知り己を知れば百戦危うからず』っていうことで、クラッカーの基本的な手口を見てみよう、っていうわけなんだけど…べるたん、どういう方法があるか想像できる?

べ:
え? そう言われても…なんかよくわかんないけど、すごい人たちがすごい方法ですごいことやるんじゃないの?

お:
…そういう認識してられる、べるたんの方がすごいような気がするけど…多分はずれよ、それ。『CIAのデータベースに侵入しましたー』とか、そういう人たちだったら分からないけど…普通のクラッカーっていうのはミもフタもなく言って、跳びぬけてすごい技術を持ってる、ってわけじゃないもの。
実際、少し前に話題になった『アンナ・ウィルス』や『ホームページ・ウィルス』だって、作った人たちは技術面でそれほど優れてたわけじゃないみたいだし。

べ:
…じゃあ、どうやるのさ?
いくらなんでも、売ってるソフトを使ってちょちょいのちょーい、じゃないんでしょ?

お:
いや…それが、実際それに近いこともあるんだけど。

べ:
…え?

お:
さすがに売ってるわけじゃないんだけど、不正侵入とかウイルス作成用のソフトっていうのは存在するからね。そういうのを使ってる人たちもいるし…そうじゃなくても、クラッキングっていうのはコンピュータの技術よりも『盲点をつくこと』がメインなの。だから、とんでもなくハイレベルな技術、なんてのはいらないのよ。

べ:
…盲点?

お:
そう。泥棒に例えるなら、『玄関の鍵を破る』っていうタイプは極少数派で、ほとんどは『鍵のかかっていない窓を探す』か『騙して中から鍵を開けさせる』かのどっちか…それがクラッキングの基本なのよ。

べ:
でもさ、そんな簡単に騙したり、開いてる窓があったりするものなの?

お:
まあ、おねーさんも信じがたいんだけど…騙される人って、けっこう多いのよ、これが。
例えば、メールで広まるタイプのウイルスがあるけど、これなんか『添付ファイルはむやみに開かない』『HTMLメールは使わない』『最新の修正パッチを当てておく』っていう三つさえ守ってれば、まず感染することってないの。それが、現実には何千、何万っていう被害を出してるんだから…けっきょく、『自分から鍵を開ける人』がそれだけ多かった、っていうことでしょうね。

べ:
うーん…

お:
もうちょっと具体的に説明しましょうか。
んー、まず『鍵のかかっていない窓を探す』っていうのは『セキュリティ・ホールをつく』っていうタイプのことね。セキュリティ・ホールっていうのは…べるたん、分かる?

べ:
えっと…ちょっとわかんない。

お:
簡単に言うとソフトのバグみたいなものなんだけど、その中でもセキュリティに関わるものを指す言葉なの。
例えば『○○というメールソフトに〜〜という内容のメールを送ると、保存されてるメールが全部読めるようになる』とかね。…まあ、ここまで派手なのは実在しないでしょうけど、だいたいこんな感じだと思ってくれていいわ。

べ:
えっと、つまり、そのセキュリティ・ホールっていうバグを利用して不正侵入する…っていうこと?
セキュリティ・ホールが『鍵のかかってない窓』になるわけ、かな?

お:
そういうこと。だから、これはこまめに修正パッチを当てることでかなり防げるの。ソフトメーカーだって、見つかったバグをいつまでも放っておいたりはしないからね。ちゃんとそのバグを防ぐためのプログラムを会社のWebページなんかで公開してくれるから、ときどきチェックして、新しい修正パッチがあったらちゃんとインストールしておけば対処できるの。
…簡単でしょ?

べ:
うん。ちょっとめんどくさいけど、難しくはないよね。
…あ、でもさ、修正パッチを当てるソフトって、全部なの? それとも、一部だけ?

お:
基本的には、セキュリティに関わるソフトだけでいいと思うけど…そうね、OSとブラウザ、メールソフト、アンチウイルスソフトくらいでいいんじゃない?
あと、サーバを立ててるならサーバソフトもだけど、普通の人はサーバには縁がないでしょうし。

べ:
ふーん、割と少ないんだね。

お:
まあ、その人の環境によって変わってくるでしょうけど…10も20ものソフトが、っていうのはかなり珍しいでしょうね。

べ:
うん、わかった。これくらいなら、ボクでもできそうだしね。
…で、さ。『鍵のかかってない窓』っていうのは分かったけど、『中から鍵を開けさせる』っていうのはどういうこと?

お:
さっきも言ったけど、ウイルスを添付したメールっていうのが代表的ね。あとはウイルスを別のプログラムに見せかけてダウンロードさせるっていう方法もあるし、プロバイダとかNTTの職員を偽ってパスワードを聞き出すっていう手口もあったっけ。
つまり、詐欺じみた方法で狙ったコンピュータに侵入しよう、っていうタイプね。

べ:
こっちの対抗策は?

お:
技術的な面でいうと、『アンチウイルスソフトを導入して、こまめにバージョンアップする』『ブラウザやメールソフトのセキュリティレベルを上げておく』っていうくらいかしらね?
まあ、ダイヤルQ2や国際電話絡みのウイルスなら、専用の対抗ソフトもあるし、電話会社に相談するっていう手もあるけど…

べ:
なんか曖昧な言い方じゃない、おねーさん? もっとびしっと対抗できるような方法ってないの?

お:
ない。
…ていうか、こっちは最終的にはパソコンを使う人が気をつけるしかない問題だもの。どんなウイルスでも退治するー、っていうソフトができたって、騙してパスワードを聞き出されたらどうしようもないでしょ?
けっきょくは、使う人の心がけ次第ってことになるの。

べ:
うーん、じゃあ、せめてその『心がけ』だけでも教えてよ。

お:
んー、まず『添付ファイルにしろダウンロードにしろ、あやしいと思ったファイルは開かずに削除する』『パスワードや個人情報は他人に教えない』『ブラウザのセキュリティは下げすぎない(特にアダルトサイトなどを見る場合は、JavaScriptやActiveX、Cookieを無効にしておいた方がいいかも。IEならセキュリティを「高」に)』っていうのが基本かしらね。
あとは、『妙だと思ったらリンク先を見ない』とか『ネチケットを守って、敵を作らない』とかも気をつけた方がいいかも。

べ:
うーん…あやしいかどうかの判断基準ってないの?

お:
それはちょっと…慣れるしかないでしょうね。実生活で人を見る目と同じで、経験から学ぶものだから。