派遣で働くエンジニアのスキルアップを応援するサイト

PRODUCED BY RECRUIT

今さら聞けないセキュリティマナー【第3回】日常の情報漏えい&マルウェア対策を徹底するには?

今押さえておくべき、セキュリティマナーを学ぶ本連載。今さら聞きづらい、けれど知っておかなければならないアレコレを質問していきます。教えていただくのは、Microsoft MVPを16年連続で受賞されている橋本和則さん。今回は、日頃気を付けたい情報漏えいとマルウェアの対策について。「誰かにデスクトップを見られている」と感じたときに使えるショートカットキーはご存知ですか?いざとなったときに慌てないよう、覚えておきましょう。

今回の疑問
・日頃のパソコン管理で気を付けるべきことは、何でしょう?
・サインインするときのPINが4桁の数字でも、安全ですよね?
・顔認証や指紋認証の「Windows Hello」の設定は、どこからできますか?
・便利そうな無料ソフトを見つけたので、導入しても良いでしょうか…?
・コラム:偽警告への注意と対策

【筆者】
橋本 和則 さん

Microsoft MVP(Windows and Devices for IT)を16年連続受賞。IT著書は80冊以上、ベストセラー&ランキングトップ書籍多数。『Outlook 2021 やさしい教科書[Office 2021/Microsoft 365対応]』(SBクリエイティブ)『IT担当者のためのテレワーク時代のセキュリティ対策 安全な業務環境の構築からデータを守る方法まで』(翔泳社)など。IT機器の使いこなしやWindows OSの操作、カスタマイズ、ネットワークなどをわかりやすく個性的に解説した著書が多い。震災復興支援として自著書籍をPDFで公開。Windows関連Webサイトの運営のほか、講演・講義、著者育成など多彩に展開している。

まずは基本の話:なぜ、それでも「マルウェア」に侵されるのか

前回までに紹介したセキュリティ設定を守れば、パソコン単体としては侵されることがない安全な状態と言えます。特にクライアントPCはサーバーのように外部からのアクセスを許可していないため、OSセキュリティを堅持していれば外部から侵入されて悪意を行われることはないのです。

…ではなぜ世の中のパソコンはマルウェアに侵されたり、ランサムウェアで身代金要求されたり、リモートで乗っ取られたりするのでしょうか? それは、日常のユーザー自身の任意操作によりマルウェアの導入・実行を許可してしまった、あるいは情報を覗き見されて不正操作された結果なのです。

Q. 日頃のパソコン管理で気を付けるべきことは、何でしょう?

いくつもの要素がありますが、まず気をつけたいのが「デスクトップを操作されない」ことです。「覗き見されない」ことも重要です。覗き見は肩越しにPC情報を見られるため「ショルダー(shoulder:肩)ハッキング」とも言われ、情報漏えいの被害におけるかなりの割合を占めるといわれています。

日常的に人目に触れる環境(例えば、電車内や喫茶店での作業)であれば、液晶画面に「プライバシーフィルター(覗き見防止フィルター)」を装着することをおすすめします。

「誰かにデスクトップを見られている」と感じる場面では、即時「デスクトップのロック」を行います。デスクトップのロックは[スタート]メニューからの操作でも可能ですが、素早く実行するためにもショートカットキー[ウィンドウズキー]+[L]キーで実行するようにします。

日常的な操作として注意しなければならないのが「不要なプログラムを導入しない」「不要なアクセスをしない」「不要な許可をしない」などの、いわゆる「お仕事に不要な物事をパソコン上で操作しない」という徹底も大切です。

▼素早くデスクトップをロックする方法

作業中のデスクトップでショートカットキー[ウィンドウズキー]+[L]キーを入力すると、デスクトップをロックできる。覗き見や不正操作による情報漏えいが防げるほか、他者が操作しようとしたとしてもデスクトップ操作に認証が必要になるため安全だ。

Q. サインインのPINが4桁の数字でも、安全ですよね?

サインインパスワードやPINが単純なものである場合や、あらかじめ覗き見されているなどで見破られてしまっている場合には、結果的に他者がサインインしてデスクトップ操作が可能になってしまいます。実際に単純な4桁のPINを利用していることで起こった情報漏えいの事例は少なくありません。

デスクトップを操作されてしまえば、会社の情報やクラウドにアクセスして情報入手して漏えいさせることや、悪意が含まれるWebサイトにアクセスすることによってマルウェア感染が起こされるなどの危険性があります。

よって、「デスクトップにサインインされない」ためには、4桁の数字ではなく、本人以外ではサインインできない「指紋認証(Windows Hello)」「顔認証(Windows Hello)」などの生体認証を用いることが推奨されます。

 

Q. 顔認証・指紋認証などの「Windows Hello」の設定は、どこからできますか?

[設定]-[アカウント]-[サインインオプション]で対応サインインオプションが確認できます。

推奨されるサインインオプションは「顔認証(顔認証対応IRカメラが必要、通常のWebカメラは不可)」「指紋認証(指紋リーダーが必要)」のどちらかになります。なお、下記手順の設定時に「このオプションは現在利用できません」と表示されているものはハードウェアが対応していないため利用することができません。

Windows Hello顔認証・指紋認証が設定できないパソコンである場合には、PINを英字・記号を含めるなどの複雑な文字列にすることが推奨されます(普段からPIN入力を人に見られないようにすることも重要)。

Windows Helloの確認と設定手順

[設定]-[アカウント]-[サインインオプション]とクリック。

対応するサインインオプションを確認することができる。対応環境であれば、[顔認識]あるいは[指紋認識]をクリック。

指定のサインインオプションを設定する。以後設定したWindows Helloでサインインできる。ちなみに、顔認証・指紋認証はセキュアであるほか、キー入力が必要ないため利便性が高いのも特徴だ。

複雑なPINへの設定変更(任意)

[PIN(Windows Hello)]をクリックした上で、[PINの変更]をクリック。

[英字と記号を含める]をチェックした上で、自身が覚えられる範囲で複雑なPINに変更する。なお、サインイン時に複雑なPIN入力を避けたい場合には、USB接続タイプの「指紋リーダー」あるいは「顔認証対応Webカメラ」の導入を検討すると良い。

Q. 便利そうな無料ソフトを見つけたので、導入しても良いでしょうか…?

「業務に必須のアプリ以外は入れない」ことが鉄則になるので、無料ソフトの導入は基本NGです。Web上から任意のアプリ(プログラム)をダウンロードして開くこと(インストール・実行)は、マルウェアに感染する可能性が拭えません。情報漏えい・ランサムウェア・乗っ取りなどの被害が発生する可能性があります。

「安全と言われていたフリーウェアが後日、自動アップデートでマルウェアになった」という事例もあるため、あらゆるWeb上のアプリは悪意が含まれる・あるいは悪意を実行するプログラムになる可能性があります。

なお、Web上で表示される「この動画を再生するのためのツール・プラグイン」などもプログラムであるため、クリックして導入してしまうとマルウェアに感染する可能性があります。

業務遂行において特定のアプリ導入に必要性を感じる場合には、システム担当者(セキュリティ担当者)に問い合わせて確認することが賢明です。

▼警告を見逃さず、拒否する

WindowsではプログラムがOSに影響を与える場面や、通信に許可を与える重要な場面では「警告」が表示される。警告が表示されたら「いいえ(実行しない・インストールしない)」が基本だ。なお、悪意のあるファイルを開く際にこのような警告が必ず表示されるわけではないため、やはり不明のファイルは入手せず、また開かないのが基本だ。

コラム:偽警告への注意と対策

Webブラウズ中に「パソコンがウイルスに感染している」「システムに問題がある」「至急電話」などのメッセージ表示や警告音が止まらないなどの場合には、すべて「偽警告(フェイクアラート)」です。慌てず、また表示に対するアクションは行わず(どのボタンをクリックしても悪意に侵される可能性がある)、Webブラウザーを閉じるようにします。

なお、悪意のあるWebサイトを開いてしまった場合、一般的な手順でWebブラウザーを終了できないことがあります。そのような場面では、ショートカットキー「Ctrl」+「Shift」+「Esc」キーを入力して、「タスクマネージャー」の[プロセス]から該当アプリを右クリックして[タスクの終了]を選択します。

ちなみに、このような「偽警告」が表示されてしまう原因の多くは、業務に必要のないサイトにアクセスした結果です。このような意味でも、「不要なアクセスをしない」という日々の心がけはお仕事におけるセキュリティ対策になります。

ちなみに偽警告とはいえ、パソコンがマルウェアに感染していないか心配な場合には、自らが導入済みのウイルス対策機能(セキュリティプロバイダー)のウイルススキャンを実行して、マルウェアがないことを確認します。

Webブラウザーのウィンドウに表示されるセキュリティ警告はすべて「偽警告」

Webブラウズ中に表示されるセキュリティ警告。このようなWebブラウザーのウィンドウ内に表示されるセキュリティ警告はすべて「偽警告」であり、悪意への誘導(マルウェア導入やサポート詐欺)であるため無視して、Webブラウザーを閉じて対処を行う。セキュリティ警告は「セキュリティプロバイダー」のもののみ信頼すれば良い。

通常手順で終了できない場合は、タスクマネージャーを開いて強制終了を

悪意のあるサイトにアクセスするとWebブラウザーを通常手順で終了できないことがある。そのような場合には、ショートカットキー「Ctrl」+「Shift」+「Esc」キーで「タスクマネージャー」を起動(Windowsのエディションによっては「詳細」をクリックが必要、表示はバージョンによって異なる)。[プロセス]内の対象Webブラウザーを右クリックして、ショートカットメニューから[タスクの終了]を選択して強制終了する。

・・・

一見騙されてしまいそうなほど、作りこまれた偽警告の画面。タスクマネージャーから強制終了する方法も覚えておきましょう。次回は、テレワークとリモートワーク時に必須なセキュリティの基本について。最近ぐっと増えた公共施設のWi-Fi(公衆無線LAN)ですが、注意点はあるのでしょうか。これらの内容を質問していきたいと思います。お楽しみに。

▼これまでの「今さら聞けないセキュリティマナー」
・OSのセキュリティはどう確保する?
・アンチウイルスとセキュリティ全般を確認するには?