PR

 まず最初に訂正です。
 先週のフィッシングの語の由来のところで「Password Hacking」とお話しましたが、それは誤りでした。正しくは「Password Harvesting Fishing」=パスワードを捕獲する釣り、です。すいませんでした。ここにお詫びして訂正しておきます。

 以前にもお話しましたが、今どきのウイルスの中にはウイルス対策ソフトウエアをすり抜けてしまうものも少なくありません。わたしがそのときお勧めしたのは、ダブルクリックでファイルを開く習慣を改めて、「ファイル」の「開く」から選択するという、いわば「習慣づけ」でした。
 ここで前言を翻してしまうようで恐縮ですが(笑)、実は「ファイル」の「開く」から選択できるファイルにも何かが仕込まれてしまう可能性もあるのです。……あー、もしかしたらここでもう混乱されているかも知れませんね(笑)。順を追って説明しようと思います。

 ここ最近、いわゆるOffice関係のソフトウエア(マイクロソフト製品に限らず)に、立て続けに脆弱性(セキュリティホール)が発見されています。Office関連というのは、ここではワープロ、表計算などのソフトウエアのことを指しているが、どちらかと言えばこれまでは「脆弱性」とはあまり縁がない存在でした。しかし、以下のように昨年あたりからは無縁などと言っていられなくなってきています。

筆者注:※を付けた項目はMicrosoftUpdateを月1回第2水曜日にきちんと実行していれば、基本的には個別にパッチを当てる必要はありませんが(MS07-002のように後から修正版が出ることもありますが。)、その他のものは個別に修正パッチを適用する必要があります

 こうした「脆弱性」を悪用すれば、まさしくウイルスと同じことができるのです。あなたのパソコンの中に潜み、キーボードによる入力をすべて記録して悪人に送りつけたり(キーロガー)、迷惑メールを大量に発信したり(ボット)、他の攻撃対象を探し感染したり(ワーム)するわけです。
 この手の脆弱性を悪用するファイルは、それこそ花子や一太郎、WordやExcelのファイルとしてやって来ます。つまり、「ファイル」の「開く」メニューから開いていたとしても、感染してしまうわけです。まったく、溜息が出ちゃいますね(苦笑)。

 ……なんだお前、嘘言ってるのか、と言われそうなので補足しておきますと、「ファイル」の「開く」メニューを使ってファイルを開く習慣をつける、というオススメ操作が変わるわけではありません。しかしそれ以外にも、OS関連だけでなくOffice関連製品も含むアップデートであるMicrosoftUpdate(WindowsUpdateにoffice製品のUpdate機能を加えたもの)が必須である、ということになるわけです。とはいえ、このブログの読者の方々ならば、きっちり毎月第2週にはアップデートを実施されていることでしょう。それ以外の製品にも気を配り、こまめに修正パッチを当てられていることでしょう(ですよね(笑)?)。
 問題は、アップデートでも追いつかないものが存在する場合です。例えば上記リストの中にも、「JVNVU#167928 Microsoft Word の文字列処理に関する脆弱性」という未だ修正パッチが提供されていないものがあります。つまり、現時点では、Wordのファイルを開くだけで何らかの危険に晒される可能性がある、ということなのです。そして今後もそういう、修正パッチが追いつかない事態が出来(しゅったい)することが想定されるのです。

 というのも、明らかに悪い人たちは一般ユーザーのカネになる個人情報を狙い始めているからです。市場ができている、と言っても良いでしょう。そういう状況下では、新たに発見されてメーカーが未だ対応していない脆弱性の情報というものが非常に価値があるわけです。そして、発見者にすれば正義感や義務感からメーカーに教えて上げるよりも儲かったりするわけです。もちろん、黒いお金ですけどね。
だから、今後ますます、未修正の脆弱性を悪用した文書ファイルが出回る可能性は高くなるでしょう。

 となると、ウイルス対策、習慣づけ、MicrosoftUpdateという三重の対策に加えてもうひとつ、「添付ファイルには気をつけましょう」という心構えみたいなものが必要になってくると思います。いやあ、「気をつけましょう」なんて漠然とした言い方、ほんとうはしたくないんですけどね(笑)。

 それ以前に、そもそも必要でなければ添付ファイルにしなければ良いとも思います。極力平文のメールで送る、これだけでリスクはかなり減りますよね。それでも表計算のデータなど、どうしても平文のメール以外で情報を送らざるを得ないのであれば、ファイルの一時預かりサービスを利用してはいかがでしょうか?一時預かりのサービスは簡単なユーザー登録が必要だったりしますが、これはほんの少しだけ面倒である代わりに、機械的なばらまきを防ぐ効果があります。さらに言えば足が付きやすいため、悪い人にはいささか都合が悪いとも言えるでしょう。
 最初はちょっととまどうかも知れませんが、慣れれば逆に大きなファイルも受け渡しできますし(出張が多く、出先から細い回線でアクセスしがちな筆者にとっては、メールの添付で大きなファイルをいきなり受け取ってしまったときは泣きたくなります(苦笑))、安全面と含めてメリットが多いと思います。

 「メールへのファイル添付」という便利な機能は、便利なだけに悪用されやすいとも言えます。残念なことではありますが、もしかしたらそろそろその機能をあきらめなければならなくなりつつあるのかもしれません。

 筆者が知っている国内のファイル受け渡しサービスは以下の通りです。