こんにちは、ぎんたです。
今回は、一般のインターネット利用者が個人で実施できるセキュリティ対策について9つ紹介します。
- あまりセキュリティについて詳しくないけど、どんなことに注意すればいいのか?
- とりあえずやってみるといい対策の概要が知りたい?
- 色々やることがありそうだけど、まずやるべきことを教えて欲しい?
と思われている方は、今回紹介する対策を実施することで、サイバー攻撃の被害にあう可能性を減らすことができます。
こころサイバー攻撃って怖いよね。
何をやればいいのか整理できず。
ぎんた最低限やっておきたい9つの対策を選んだのでぜひ実践してね。
これを実施すればサイバー攻撃の被害者になる可能性を減らすことができるよ。
初心者でも取り組みやすい対策ですので、ぜひ取り入れてみてください。
OSやアプリケーションを最新の状態にする
スマホとパソコンの場合
パソコンやスマホなどのIT機器にはセキュリティホールと呼ばれる弱点(脆弱性)があります。
脆弱性がハッカーに利用されると、IT機器が乗っ取られて機器内の情報が盗まれたり、他の機器を攻撃するための踏み台に利用されたりします。
ですので、パソコンやスマホのOS(オペレーティングシステム)を最新の状態に保つことは重要です。
Windowsの場合を例にすると、以下の「更新プログラムの確認」画面で更新できます。
ぎんたOSごとにアップデートを確認する箇所は決まっているので、定期的にチェックしていこうね。
また、アプリケーションの脆弱性もハッカーに狙われるので、定期的なアップデートを行う必要があります。
例えばWindows上でよく狙われるアプリとしては、Google Chromeなどのウェブブラウザ、Oracle社製のJava、Office製品などがあります。
セキュリティ関連のニュースサイトで注意喚起がされる、またはアップデートを促すメッセージが端末上ででてきたら更新を行いましょう。
Google Chromeを例にすると、「設定」→「Chromeについて」とたどり、クリックすると更新の有無のチェックが行われます。
こころアプリの更新をチェックする箇所は決まってないの。
ぎんたアプリごとに更新をチェックする方法は異なるので、ネットで検索するなどして確認してね。
また、アプリを起動したときに通知が出ることも多いから気づきやすいよ。
スマホも同様にアプリのアップデートの確認をする必要があります。
それぞれ、公式ストアで更新可能です。
AndroidはGoogle Playストアでアップデートを実施
IOSはApp Storeでアップデートを実施
ぎんた自働アップデートの設定になっていても、設定で無線LAN接続のみで行うようになっていたり、権限の確認のためアップデートが停止していたりする場合があるよ。
こころほんとだ、アップデート待ちのアプリがたくさんあった。
定期的にアップデートされているかを確認しましょう。
家庭用無線LANルータの場合
家庭用無線LANルータの設定を確認することも重要です。
NISCのポータルサイトでもファームウェアのアップデートを呼び掛けています(2023年6月時点)。
定期的に最新ファームウェアになっているかをこまめにチェックするといいでしょう。
定期的な更新を行うことでセキュリティの脆弱性が修正され、ハッカーからの攻撃リスクを軽減できます。
ファームウェアの自動更新に対応している製品に乗り換えるという方法も良い方法だと思います。
2023年6月末にちょうど以下のようなサポート切れの無線ルータのトピックがありましたので記事にしました。
長く複雑なパスワードにし、使いまわさない
脆弱なパスワードはハッカーに狙われるリスクが高まります。
パスワードは長く複雑なものを使用しましょう。
このように大文字小文字、数字、記号を組み合わせたパスワードにしましょう。
また、同じパスワードを複数のサイトで使用しないようにしましょう。
自分のパスワード管理には非が無くても、自分が登録したウェブサイトがハッカーによる攻撃で不正侵入され、パスワードが流出することがあるからです。
こころサイバー攻撃による個人情報流出の可能性を伝えるニュースがよく報道されているよね。
ぎんた流出したパスワードを他のサイトでも使いまわしていた場合、なりすまされてログインされてしまう危険性があるよ。
個人でパスワードを管理するために行うことをまとめると、
- パスワードは推測されづらいもの、長く複雑なものにする
- 他のサイトで使いまわさない
という条件が必要です。
この条件を達成するためのパスワード運用管理が課題となるかと思います。
僕の個人的な見解ですが、この運用を完璧に行うことは難しいと考えていますので、有償のパスワード管理ソフトを使って運用しています。
詳細について興味のある方は、以下の記事も参照してください。
二要素認証を有効にする
二要素認証はパスワードだけでなく、追加の認証情報(例:アプリ生成のコード・ハードウェアトークンなど)を必要とするセキュリティ機能です。
この図の場合パスワードによる認証の後に、スマホにインストールした認証アプリに送られたセキュリティコードを入力しています。
「google Authenticator」を起動すると以下のようなセキュリティコードが表示されます。
このコードは一定時間ごとに変更され、次回ログイン時にアプリを起動したときには別のコードになりますので、たとえ漏れたとしても問題はありません。
パスワードで強固なものを使用し、二要素認証をあわせて設定しておくと攻撃者になりすまされる可能性を軽減することができます。
最近(2023年6月時点)だと、ログイン時にスマホなどに格納されている秘密鍵を生体認証やパターンなどで取り出し、サーバ側で認証するパスキーという仕組みに対応したサイトが出てきています。
いったん設定を行うと、生体認証やパターンなどを使いログインできるので、安全かつログインの際に必要な手間が省けます。
Google、Apple、Microsoftなどが順次導入を進めているため、設定を行うことをぜひ検討してください。
偽メール・サイトにだまされないようにする
良く攻撃者により使われる手口として、代表的なものにフィッシング詐欺メール、SMS(ショートメッセージ)やアプリ経由の詐欺メッセージ、偽サイトなどがあります。
フィッシング (Phishing) とは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取することです。電子メールのリンクから偽サイト (フィッシングサイト) に誘導し、そこで個人情報を入力させる手口が一般的に使われています。
フィッシング対策協議会のサイト
このようなメッセージがSMS経由できたことはないでしょうか?
宅急便を装ったSMSメッセージを受け取っており、連絡先を見ると不審なアドレスが記載されています。
この不審なアドレスにアクセスすると、個人情報を入力させる偽のサイトに誘導され、IDとパスワードを窃取されてしまいます。
こころこの手のメッセージ本当によくくるよ。
俺はこんなのに引っかからない!
ぎんた不特定多数の人にメッセージを送りつけてそのうち何人かでも引っかかればいいと考えれば、コスパがいいからね。
このケースの対策としては、以下を宅配業者のサイトで確認するといいでしょう。
宅配業者がSMSで不在通知を送る可能性があるか
宅配業者がSMSで不在通知を送る場合、どのアドレスを用いるのかなど
例として佐川急便のサイトでは以下のような注意喚起をしていました。
こころ今回は宅配業者だったけど、Amazonとか国税庁とか他にもいろいろな詐欺メッセージ見たことがあるよ。
皆さんもだまされないように。
SMSの他にも電子メール、SNSなどのメッセージ機能を使った方法もありますので注意する必要があります。
電子メールの場合、メールの添付ファイルやメール本文内のリンクをクリックする前に、送信者やメールの内容に注意を払いましょう。
心当たりのない送信者からメールを受信した、メールの内容に不審な点があった場合には、メールを開かずに返信をしないでください。
事実確認をする場合は、メール以外の方法で本人に確認を取るとよいでしょう。
スマホの画面ロックを設定する
スマホのロックをかけることを心がけましょう。
万が一落とした場合や盗難された際に、スマホに格納されている情報が漏洩するからです。
スマホの中には電話帳やアドレス帳などに個人情報が含まれているので、個人の問題だけにとどまらずに他人にも迷惑をかけてしまう可能性が高くなります。
スマホのロックをかける方法には以下の方法があります。
- PINコードの設定
- パターンの設定
- 生体認証の登録
こころ一番おすすめなのはどれかな。
ぎんた僕は生体認証がおすすめだよ。
入力の手間がはぶける、入力中に後ろから覗かれても認証情報がもれる心配がないからね。
画面ロック中にアプリの通知が画面に表示されることにより、メッセージが漏えいすることがあります。
漏えいして困るような場合は、アプリの通知オフについても検討してみてください。
アプリごとに通知の設定が可能です。
パブリックWi-Fiの利用に注意する
パブリックWi-Fiはセキュリティの脆弱性があります。
脆弱性の例としては以下の事例が考えられます。
- 暗号化されていないパブリックWi-Fiを利用し、「http://」ではじまるサイトに認証情報をいれてアクセスすることで、IDとパスワードが漏洩してしまう。
- パブリックWi-Fiで使用している暗号化方式に脆弱なものを使用している場合、第三者に通信内容を傍受される。
- お店のパブリックWi-Fiになりすましたアクセスポイントを設置され、通信内容を傍受される。
対策として、
- 自身が所有しているスマホのテザリング機能を使用すること
- VPN(仮想プライベートネットワーク)サービスを利用すること
- 契約している場合はモバイルWi-Fiを使用すること
が挙げられます。
こころスマホ使い過ぎて通信制限中で、他のサービスに契約してなかったとして、緊急でパブリックWi-Fiを使いたい場合はどうしたらいいの?
ぎんたどうしてもパブリックWi-Fiを使用せざるを得ないときは、サイトを見るだけにするなど、重要な情報は送らないことだね。
ここでは詳細は省略するけど、提供されているパブリックWi-Fi環境を使ったネット接続がセキュリティ的に安全であると判断できるくらいの知識がなければ使わないことをおすすめします。
公式サイト以外からスマホのアプリをインストールしない
公式ストアで配信されるアプリは、公式ストア側で事前に審査されたのち配信可能になります。
そのため、公式ストアからアプリをインストールすることで、マルウェアに感染するリスクが軽減されます。
AndroidはGoogle Playストアから、iPhoneはApp Storeからインストールしてください。
ぎんたただし、公式ストアで配信されているアプリにも事前の審査を回避し、不正なアプリが紛れ込んでいる可能性もあるので過信は禁物だよ。
アプリの評判やレビューを読んで、信頼性やセキュリティに関する情報を確認することも重要です。
また、インストールやアプリのアップデート時に表示されるプライバシー設定で必要のない権限へのアクセスを要求されているかも確認し、不正かどうかの判断もしてください。
セキュリティソフトを利用する
パソコンやスマホに信頼性の高いセキュリティソフトを使用し、定期的なスキャンやウイルス定義の更新を行いましょう。
これにより、マルウェアに感染するリスクやフィッシングサイトで個人情報が窃取されるリスクを軽減できます。
ただし、存在が知られていないマルウェア、これまで確認されていない悪意のあるふるまいをするマルウェアの場合、検知が難しいことがあります。
ですので、セキュリティソフトウェアを導入しているから必ず感染しないということではありません。
ぎんた怪しいメールは開かない、リンクをクリックしない。
スマホの場合は公式サイト以外からのアプリをインストールしないという心構えは常に持っておきましょう。
定期的なバックアップをする
端末がマルウェアに感染した、突然故障したなどで今まで使用していたデータが突然失われることがあります。
外付けハードドライブやクラウドストレージなど、安全な場所にデータのコピーを保存しておくことで、バックアップからの復旧が可能となります。
ぎんたランサムウェアの場合は、端末から接続できる媒体の暗号化も行われるので、外付けハードディスクの常時接続はしないように。
Windowsでは事前に以下の2つのことを行っておきましょう。
- 回復ドライブで現状のシステムを保存(作成時期は購入したときが望ましい)
- ファイルのバックアップ
スマホの場合は以下のバックアップの方法があります。
- パソコンに接続してバックアップ
- microSDカードを挿入し、バックアップ
- クラウドにアプリを介してバックアップ
ぎんたバックアップを用いてシステムの復元を行えるかのテストも行うとなおいいです。
まとめ
今回は、一般のインターネット利用者が個人で実施できるセキュリティ対策について9つ紹介しました。
セキュリティ意識を高めることで、安全にインターネットを活用することができます。
この記事をきっかけにセキュリティに関心を持っていただきましたら幸いです。
ぎんたNISC(内閣サイバーセキュリティセンター)が公開している資料もとても参考になるので、読んでみるといいよ。
以下のリンクから閲覧できます。
NISC(インターネットの安全・安心ハンドブックVer 5.00(令和5年1月31日))
以上、ぎんたでした。