「LINEが乗っ取られた」「銀行を騙(かた)ったメールに注意」「Internet Explorerに脆弱性があるからネットにアクセスしてはいけない」――。このところ、ネットセキュリティに関連した事件や出来事が、新聞の紙面やテレビのニュースをにぎわせている。自分が利用しているサービスや、よく知っている企業が攻撃を受けた、という読者は少なくないはずだ。

 それもそのはず、2014年上半期だけを振り返っても、実に多くのサービスや企業が、Webサイトの改ざんや不正アクセスの被害に遭っている。セキュリティ対策は甘くないであろう有名サービスや大手企業の名もある。

 こうしたセキュリティ事件が発生すると、その企業だけでなく、サービスや製品を利用する立場のユーザーにも損害が生じる。個人情報が盗まれたり、ポイントが勝手に換金されたりという被害に遭う人は、珍しくない。利用しているサービスの運営業者から、「パスワード変更」を求められた経験はないだろうか。

 セキュリティ事件は、今や誰にとっても、「対岸の火事」ではない。

定石だけでは不十分

 セキュリティ事件が絶えないのは、悪意を持って攻撃する人や組織による手口がより巧妙になってきているから。犯罪者は、個人や企業を攻撃して金銭を手に入れようと、知恵を絞っている。

 このため、今まで「セキュリティ対策の定石」と考えられていた作法を実践するだけでは安全とはいえなくなってきた(図1)。

 「怪しいサイトにアクセスするから、ウイルスなどに感染してしまうのだ」と、考えていないだろうか。依然としてそういったリスクもあるが、今は、よく知られた企業やSNSといった正規のWebサイトにアクセスしても、ウイルスなどの不正プログラムがパソコンに侵入する危険性がある。Webサイトのコンテンツが改ざんされてしまうためだ。

 Windows Updateを実施し、ウイルス対策ソフトを導入していれば安全、というのも、一昔前の定説だ。2014年の上半期だけでも2月に、Windows Updateで修正が間に合わなかった脆弱性を悪用した「ゼロデイ攻撃」による被害が発生。ネットバンキングのパスワードを盗み取るウイルスなど、ウイルス対策ソフトでは検出できない不正プログラムが見つかっている。

●セキュリティ対策の「常識」が次々と覆っている
●セキュリティ対策の「常識」が次々と覆っている
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]