今押さえておくべき、セキュリティマナーを学ぶ本連載。今さら聞きづらい、けれど知っておかなければならないアレコレを質問していきます。教えていただくのは、Microsoft MVPを16年連続で受賞されている橋本和則さん。今回は、日頃気を付けたい情報漏えいとマルウェアの対策について。「誰かにデスクトップを見られている」と感じたときに使えるショートカットキーはご存知ですか?いざとなったときに慌てないよう、覚えておきましょう。
今回の疑問
・日頃のパソコン管理で気を付けるべきことは、何でしょう?
・サインインするときのPINが4桁の数字でも、安全ですよね?
・顔認証や指紋認証の「Windows Hello」の設定は、どこからできますか?
・便利そうな無料ソフトを見つけたので、導入しても良いでしょうか…?
・コラム:偽警告への注意と対策
まずは基本の話:なぜ、それでも「マルウェア」に侵されるのか
前回までに紹介したセキュリティ設定を守れば、パソコン単体としては侵されることがない安全な状態と言えます。特にクライアントPCはサーバーのように外部からのアクセスを許可していないため、OSセキュリティを堅持していれば外部から侵入されて悪意を行われることはないのです。
…ではなぜ世の中のパソコンはマルウェアに侵されたり、ランサムウェアで身代金要求されたり、リモートで乗っ取られたりするのでしょうか? それは、日常のユーザー自身の任意操作によりマルウェアの導入・実行を許可してしまった、あるいは情報を覗き見されて不正操作された結果なのです。
Q. 日頃のパソコン管理で気を付けるべきことは、何でしょう?
いくつもの要素がありますが、まず気をつけたいのが「デスクトップを操作されない」ことです。「覗き見されない」ことも重要です。覗き見は肩越しにPC情報を見られるため「ショルダー(shoulder:肩)ハッキング」とも言われ、情報漏えいの被害におけるかなりの割合を占めるといわれています。
日常的に人目に触れる環境(例えば、電車内や喫茶店での作業)であれば、液晶画面に「プライバシーフィルター(覗き見防止フィルター)」を装着することをおすすめします。
「誰かにデスクトップを見られている」と感じる場面では、即時「デスクトップのロック」を行います。デスクトップのロックは[スタート]メニューからの操作でも可能ですが、素早く実行するためにもショートカットキー[ウィンドウズキー]+[L]キーで実行するようにします。
日常的な操作として注意しなければならないのが「不要なプログラムを導入しない」「不要なアクセスをしない」「不要な許可をしない」などの、いわゆる「お仕事に不要な物事をパソコン上で操作しない」という徹底も大切です。
Q. サインインのPINが4桁の数字でも、安全ですよね?
サインインパスワードやPINが単純なものである場合や、あらかじめ覗き見されているなどで見破られてしまっている場合には、結果的に他者がサインインしてデスクトップ操作が可能になってしまいます。実際に単純な4桁のPINを利用していることで起こった情報漏えいの事例は少なくありません。
デスクトップを操作されてしまえば、会社の情報やクラウドにアクセスして情報入手して漏えいさせることや、悪意が含まれるWebサイトにアクセスすることによってマルウェア感染が起こされるなどの危険性があります。
よって、「デスクトップにサインインされない」ためには、4桁の数字ではなく、本人以外ではサインインできない「指紋認証(Windows Hello)」「顔認証(Windows Hello)」などの生体認証を用いることが推奨されます。
Q. 顔認証・指紋認証などの「Windows Hello」の設定は、どこからできますか?
[設定]-[アカウント]-[サインインオプション]で対応サインインオプションが確認できます。
推奨されるサインインオプションは「顔認証(顔認証対応IRカメラが必要、通常のWebカメラは不可)」「指紋認証(指紋リーダーが必要)」のどちらかになります。なお、下記手順の設定時に「このオプションは現在利用できません」と表示されているものはハードウェアが対応していないため利用することができません。
Windows Hello顔認証・指紋認証が設定できないパソコンである場合には、PINを英字・記号を含めるなどの複雑な文字列にすることが推奨されます(普段からPIN入力を人に見られないようにすることも重要)。
▼Windows Helloの確認と設定手順
[設定]-[アカウント]-[サインインオプション]とクリック。
Q. 便利そうな無料ソフトを見つけたので、導入しても良いでしょうか…?
「業務に必須のアプリ以外は入れない」ことが鉄則になるので、無料ソフトの導入は基本NGです。Web上から任意のアプリ(プログラム)をダウンロードして開くこと(インストール・実行)は、マルウェアに感染する可能性が拭えません。情報漏えい・ランサムウェア・乗っ取りなどの被害が発生する可能性があります。
「安全と言われていたフリーウェアが後日、自動アップデートでマルウェアになった」という事例もあるため、あらゆるWeb上のアプリは悪意が含まれる・あるいは悪意を実行するプログラムになる可能性があります。
なお、Web上で表示される「この動画を再生するのためのツール・プラグイン」などもプログラムであるため、クリックして導入してしまうとマルウェアに感染する可能性があります。
業務遂行において特定のアプリ導入に必要性を感じる場合には、システム担当者(セキュリティ担当者)に問い合わせて確認することが賢明です。
コラム:偽警告への注意と対策
Webブラウズ中に「パソコンがウイルスに感染している」「システムに問題がある」「至急電話」などのメッセージ表示や警告音が止まらないなどの場合には、すべて「偽警告(フェイクアラート)」です。慌てず、また表示に対するアクションは行わず(どのボタンをクリックしても悪意に侵される可能性がある)、Webブラウザーを閉じるようにします。
なお、悪意のあるWebサイトを開いてしまった場合、一般的な手順でWebブラウザーを終了できないことがあります。そのような場面では、ショートカットキー「Ctrl」+「Shift」+「Esc」キーを入力して、「タスクマネージャー」の[プロセス]から該当アプリを右クリックして[タスクの終了]を選択します。
ちなみに、このような「偽警告」が表示されてしまう原因の多くは、業務に必要のないサイトにアクセスした結果です。このような意味でも、「不要なアクセスをしない」という日々の心がけはお仕事におけるセキュリティ対策になります。
ちなみに偽警告とはいえ、パソコンがマルウェアに感染していないか心配な場合には、自らが導入済みのウイルス対策機能(セキュリティプロバイダー)のウイルススキャンを実行して、マルウェアがないことを確認します。
・・・
一見騙されてしまいそうなほど、作りこまれた偽警告の画面。タスクマネージャーから強制終了する方法も覚えておきましょう。次回は、テレワークとリモートワーク時に必須なセキュリティの基本について。最近ぐっと増えた公共施設のWi-Fi(公衆無線LAN)ですが、注意点はあるのでしょうか。これらの内容を質問していきたいと思います。お楽しみに。
▼これまでの「今さら聞けないセキュリティマナー」
・OSのセキュリティはどう確保する?
・アンチウイルスとセキュリティ全般を確認するには?