PR

 先週末、広島でセキュリティキャンプキャラバンという催しを開催していました。以前ちらっとご紹介したイベントの最終回ですが、全国7カ所、途中弾丸ツアーみたいなノリもありつつ、なんとか無事に終えることができました。コラム上ではありますが、各地で開催にご協力いただいた、学校や組織の方々にお礼を申し上げたいと思います。あたかもグルメツアーのごとく(笑)美味しいものを食べまくり、現地の美女とも知り合いになることができましたし(何)、あの「まつもとゆきひろ」さんともお会いできたし、非常に充実した(笑)ツアーだったと思います。

 ツアーの中でわたしは「セキュリティ基礎」を担当し、普段パソコンやインターネットを使うときにどういうことに注意すべきなのか、ノートパソコンを保護するにはどうしたらいいのか、というような話をしました。しかし、そこで話していた内容は、実は「利用者性善説」に基づいていたのかもなあ、と思えてきたんですよ。
 つまり、わたしが想定していた受講者像は、「危ないサイトに自ら行ったりしないマジメな人」であり、夜中に┣━┫なサイトを見に行ったりしない、そういうプロフィールだったのです。

 いつも気をつけてはいるんですが、人間はやはりどこか想像にワクをはめてしまいがちなところがあり、自分がそうだから他人もそうだ、と思い込んでしまうんですね。わたし自身が非常にマジメで、怪しいサイトを好んで徘徊したり、ましてや脆弱性を見つけたりするなどとんでもないと思うほうなので、余計そうだったのかもしれません(あ、この件ツッコミは受け付けませんので(笑))。

 しかし、みなさんも薄々おわかりだと思いますが、実際にはごく普通の利用者が、怪しいサイトに好んで飛び込んだり、ヤバそうなリンクを進んでクリックしたりしてしまうようです。まあ、そうでなければこんなにIPAに相談事は寄せられてこないでしょうけどね。
 ただ、相談に来られる全員が全員┣━┫なサイトが大好き!ということではないのかな、と思います。というのも、最近怪しいサイトへの誘い口として増えてきているのは、あからさまに怪しいとかではなく、例えば「女子アナ」や「芸能人」、あるいは「お宝画像」などなど、そういうキーワードで検索する人を想定してブログなどにリンクを貼ったり、あるいはバナー広告に見せかけたりしながら誘い込む手口が出てきているからです(でもまあ確かに、「お宝映像」というキーワードにピンと来て反応してしまう時点で、自ら危険に飛び込んで行っている(苦笑)とも言えるわけですが……)。

 そしてもう一つ言えるのは、われわれ啓発する側が「怪しいサイトに行くな」と警告しているのに、じゃあその「怪しいサイト」はどんなものなのか、ということをはっきり提示できていない、ということもあるのではないでしょうか。しかし、「怪しいサイトはこういうところです」と簡単に定義・表現するのは難しいですし、できたとしても今度はその裏をかかれてしまうことにもなりかねません。
 啓発する側も適切で具体的な注意点を提示できていないし、誘い口も巧妙化してる、という状況では、被害者が増えるのも無理はないと言えるのかも知れません。

 となると、これまでわたしのプレゼンでは「そもそもどうやったら危険に遭遇する確率を減らせるのか」ということをお話していたのですが、むしろ必要なのは「やられてしまったようだけど、その後どうすればいいのか?」「うっかり誘い込まれつつあるみたいなんだけど、どう判断すればいいのか?」ということなのかもしれないですね。

 事後対策については第1回でも触れましたが、もう一度詳しく検討してみましょう。

 有無を言わせずいきなり料金請求画面に誘導されてしまったような場合には、払う義務はありません。そもそもサービスを売る側は、電子消費者契約法という法律に沿って、利用者にわかりやすい形できちんとサービスの内容と対価を説明し、「これから先は支払うことになりますよ、いいですか?」という念押しを行った上でお金を取ることが求められています。逆に言えば、そのプロセスがなく、いきなりお金を請求することを禁じているわけですが、ワンクリックで飛ばされる、などというやり方は、この法律に沿っているとは到底言えませんので、払う必要はないのです。

 しかし、詐欺というものは、いつも仕掛ける側の方が勉強熱心ですから(苦笑)、相手がこういう法律のことを良く研究している場合もあります。例えば、ついウッカリ「OK」とか「はい」と押してしまいそうな確認ウインドウを出したり、法律に沿っていると言えるか言えないか、どうにも微妙な線を狙ってくるわけです。いろいろ操作していてそういうウインドウや画面が出てきたら、そこでいったん立ち止まっていただきたいですね。事後策というか、そこが最後の一線ですのでねえ。
 押してしまってからしまったと思って利用規約などを熟読したところで、相手の有利になることしか書いてあるはずがありません。そういう状況になりそうなタイミングを察知できる嗅覚があるのなら、ぐんぐん進んでも構わないと思いますが、そうでなければうかつに触らない、これが鉄則でしょう。

 とはいえ、それでもまだ先に進んでしまう人が少なくないのでしょうね(苦笑)。

 その先に進んだ場合、最近ではデスクトップに「お金払え画面」が常駐(いつも出ている)ようになってしまうこともあるようです。また、画面で請求されただけの場合でも、そこに至るプロセスによっては、パソコンに何かを仕込まれてしまっている可能性があります。そうなると残念ながら、普遍的な対策はなく、個別に事後処理するしかありません。
 そのような場合には、それこそIPAやお近くの消費生活センターまでお問い合わせいただきたい。それでも、IPAや消費生活センターが把握していないようなサイトを踏んでしまった場合には、最悪の場合、そのパソコンはOSを再インストール、データはすべて破棄が望ましい、ということになるでしょう(まあ、運が良ければウイルス対策ソフトウエアが怪しいモノを引っかけてくれるかもしれませんが、それも100%ではないことはこのコラムでご紹介したとおりです)。逆に言えば、そういう覚悟があるのなら、どうぞ踏んでください、ということなのですけどね。

 結局はどこで踏みとどまれるか、ということになります。やはり少なくとも年齢確認を始めとする、さまざまな確認を求めるような画面が出てきたら、おそらくそこが最後の一線です(そういうのが出てこないようなサイトは無視しても構わないわけですね)。そもそも「突撃」しないことがもちろん良いと思うのですが、「突撃」するのなら「踏みとどまるべきポイントを常に意識する」。それだけは肝に銘じておきましょう。