セキュリティ意識はチョコのように甘い？

「バレンタインのプレゼント」と称して街頭で配られたCDを、どのくらいの人が自分のコンピュータにロードしてしまっただろうか？

[Jim Rapoza，eWEEK]

　「バカなことをするやつがバカなんだよ」――ママがいつもわたしに言っていたことだ。

　コンピュータに関して人々があまり利口でないことを示す一例が飛び出してきたのは、それほど遠くない昔、ロンドンでのことだった。「The Training Camp」というITトレーニンググループのメンバーが、巷の人々がコンピュータセキュリティを賢く実践しているかどうか試してみることにしたのだ。

　メンバーたちは「バレンタインデーCD」と称するものを街頭で配った。彼らは朝、オフィスに向かう社員たちにこの銀のディスクを手渡した。

　このCDは実はバレンタインのプレゼントではなかった。The Training CampのメンバーはこのCDを使って、おしゃれなパンツをはいて奇妙なロンドンなまりで話すこの人たちが、知らない相手からもらったCDをPCに入れてしまう間抜けなのかどうかを見極めようとしたのだ。案の定、CDをもらったロンドンの労働者の多くが、職場のコンピュータにこれを入れてしまった。中には、銀行やなんかで働いている人もいた。

　明らかに、彼らはセキュリティに関して賢明とは言えない。知らない人からCDをもらって、PC――職場のでも、自宅のでも――にロードしてはいけないということを、彼らは知っておくべきだった。

　だが、愚かなのは社員の側だけではない。雇い主もあまり利口ではなかった。彼らがeWEEK Labsの親切な人たちの言うことを聞いていれば、社員のコンピュータを――なんと言うんだったか――ロックダウンして、古いCDのソフトをロードしたり、さらには情報ハイウェイからソフトをダウンロードできないようにするべきだと知っていたはずだ。

　これらの会社が、知らない人からもらったCDをロードした社員をあまり快く思わなかったのは確実だ。だが彼らは、自分たちが誰をバカ呼ばわりしているのかをよく考えるべきだろう。

　もちろん、こうした多くのセキュリティ問題はもうちょっと賢くコンピュータや電子メール、インターネットを使えば避けられるものだが、こうした悪の種の幾つかは、人のだまし方がうまくなってきている。だからそれほど間抜けでない人でも、だまされて危険なサイトをクリックしたり、クレジットカード番号などの情報を教えてしまったりすることがあるのだ。

　少し前から話題になっているフィッシングの手口を例に考えてみよう。フィッシングといっても、釣り竿とミミズを持ってナマズを捕まえに行くわけではない。悪党がメールアドレスやWebサイトを本物の銀行やカード会社のもののように見せ掛けるインターネット詐欺のことだ。

　SANS Instituteの聡明な人たちが説明しているように、利口な悪党たちは、多くの賢明なインターネットユーザーさえもだますフィッシング攻撃を考え出した。

　この悪質なフィッシャーたちは、あたかも標的のクレジットカード番号を知っているかのように見せ掛けた電子メールを書いたため、このメールは完全に個人あてのように見えた。さらにひどいことに、彼らはセキュアなWebサイト技術を作っている会社をだまして、偽のサイトがユーザーのブラウザから本物に見えるようにすることもできた。

　この種の手口に引っかかった人をバカと呼ぶのは良くない。聡明なセキュリティ専門家のアドバイスに従った多くの人が、まだまだこういった詐欺にだまされるだろう。

　もちろん、こうしたフィッシングメールを偽物と見破る方法はある。最大のポイントは、メール内に受信者の名前が書かれておらず、単に「お客様各位」になっていることだ。銀行からの電子メールを受け取っている人は誰でも、こんにちわと書いてある部分（なんと言ったか、あいさつ文だったか）にいつも自分の本名が書かれていることを知っている。

　このようなメールが届いたときに、最初に自分の名前が書かれていなかったら、そのメールには何かがあるのかもしれない（とは言え、利口な悪党がフィッシングメールに受信者の名前を入れる方法を考え出すのは時間の問題でしかないだろう）。

　だから忘れてはいけないが、世の中にはいろんなタイプのバカがいる。時にユーザーは利口とは言えないことをする。時に企業は、少々間抜けなユーザーを守れるほど賢明でないこともある。そして、時に悪党はとてもずる賢いため、賢くあろうと最善を尽くす人たちの足下をすくうことができるのだ。

原文へのリンク