情報漏洩対策を考える上で、パソコン内に記録される情報について一定の認識は必要になります。例えパソコンで個人情報を扱わないとしても、普段何気なく使用しているパソコンにはユーザーの意識しない所で様々な重要な情報を記録しています。
このページでは、一般の方が普段意識されることのないであろうパソコン内に記録される情報と、それらが流出した場合のリスクについて考えます。
インターネット関連のアプリケーションの代表は、WEB ブラウザ、次いでメールの送受信を行うメーラーになると思います。その他、FTP クライアントや News リーダー、メッセンジャーといった P2P アプリケーションなどサービスを利用するための様々なアプリケーションが存在します。
インターネットアプリケーションの多くは、サービスに接続する際、ユーザーID や パスワードといった認証コードを記憶しておくことが出来るように作られています。
例えば、メールを受信する度にユーザーID とパスワードを入力している人はいないでしょうし、ホームページの更新を行うためにFTPクライアントにその都度、アクセスコードを入力している人はいないでしょう。
これらのアプリケーションが保存しておく認証コードの場所は決まっており、万が一、メールサーバへのアクセスコードが流出すれば、企業であれば機密情報漏洩に直結しますし、メールでやり取りされる全ての情報が外部に流出する事を意味します。
特にホームページ閲覧に使用するブラウザには注意が必要です。ホームページ上で認証を必要とするサービスは様々で、ブラウザはこれらの認証コードをブラウザに記憶させることで次回からの入力を省略する機能を持っています。
利便性は向上しますが、パソコン内部にアクセスコードを保存する事になるため危険性が増すことになります。(ノートパソコン盗難など)
参照 => Firefoxにセキュリティ・ホール,記憶させたパスワードを盗まれる恐れ
FireFox や Opera などのWeb ブラウザは、マスターパスワードを設定する事でこれらの情報を暗号化し、起動するたびにマスターパスワードを求めるようにする事が出来ます。(IE 6 にはない) しかし、これらのマスターパスワードを解析するツールも出回っており、盗難時における対策としては弱いです。ないよりは、ある方が安全です。
Cookie とは、サイトへサクセスした際にブラウザがパソコン内に記録するファイルの事をいいます。Cookie はWEBサイト側から一方的に保存され、また、一方的に Cookie ファイルを取り出させるという特徴をもっています。
この Cookie の仕組みを利用する事で、WEBサイトは様々なサービスを提供できるようになります。例えば、 "折りたたみメニュー" や "文字の大きさを設定" する機能が WEBサイトにある場合、一度設定した内容を記録しておく場所が必要になります。そうでなければ、ユーザーはその都度、文字の大きさを変更する必要があるからです。
参照 => Yahoo!JAPAN にみる Cookie のプライバシーポリシー
このようにサイト特有の一時的な情報を保存し、WEBサイト側が Cookie を自動的に引き出して前回の状態を維持したページを表示しています。つまり、利便性を提供するために Cookie は重要な役割を果たしています。
この Cookie は、有効期限や記録される内容は WEB サイトによって異なります。特に重要なのが、Cookie を認証として利用するケースです。Cookie に ID や パスワードを記録しておく事で、次回から認証の手間を省略する事が出来ます。
インターネット上のサービスではよく利用されている仕組みで、思い当たる方も多いかと思います。認証の手間を略いている裏では、サイト運営者はブラウザを通して Cookie に含まれる認証情報を一方的にダウンロードして、照合作業を行っている事になります。
パソコン内にある Cookie はその発行元しか取り出せないように作られていますが、この外部から取り出せてしまう機能を悪用し、第三者へ Cookie を送信させる攻撃も存在します。具体的にはフィッシングサイトへ誘導し、クロスサイトスクリプティング という手法を用います。
これらの対策は、Web サイト側がセキュリティに配慮した仕組みを提供する必要があります。例えば、ログイン後、一定時間が経過するとログアウトするサイトでは、Cookie 内の認証情報を一定時間をおいて削除しています。また、ログアウトした場合も、認証情報は削除されます。このような安全対策が行われているかは、一般の方には判断が難しいという問題があります。
Cookie 内に認証情報を残さないための対策が必要となります。サービスを利用した後は、必ずログオフする習慣をつけるようにして下さい。
上記、Cookie は、Web サイトの利便性を高める上で様々な使い方があります。中でも漏洩して問題になるのが、上記、Cookie 内に認証情報が記録される Cookie です。
不特定多数が利用できるパソコン、例えば、インターネットカフェ から認証が必要な WEB サイトへアクセスする場合、Cookie 情報としてパソコン内部に知らない間に情報が記録される可能性があります。
個人の所有しないパソコン以外での、認証を必要とするインターネットサービスの利用は避けた方が賢明です。
仕組みを理解しており自分で記録された情報を消せる方であっても、キーロガーのような盗聴ソフトウェアが仕掛けられている可能性もあるため、このようなパソコンを使用してネットショッピングやネットバンクを利用は避けるべきです。
第三世代と呼ばれる U3規格に対応している USB メモリでは、アプリケーション環境を他のパソコンへ持ち運ぶことが出来ます。相手のパソコン内に一切情報を残さない仕組みを持つUSBメモリの利用も対策として有効かと思います。
Cookie は、ブラウザのバグ・セキュリティホール(特に Internet Explorer ) により外部へ流出してしまう事も過去に何度も発生しています。この cookie による常用流出の可能性は、cookie を利用できる全てのブラウザに対しても可能性があります。
クレジットカード情報が Cookie に記録されてしまっては、直接、経済的なダメージを被ることになります。カード情報の入力を次回から省略させるため、このような事をする稚拙なネットショップ運営者も存在するかも知れません。
OS のセキュリティ パッチ と同様に、WEB ブラウザも度々セキュリティ・ホールが発見されますので、常に最新のパッチを適用し、最新のブラウザを使用するようにして下さい。
メールなどでフィッシングサイトへ誘導し、クロスサイトスクリプティング という手法で、パソコン内の Cookie を第三者に盗まれる可能性があります。
フィッシングサイトに誘導されないようにするには、安易にメールのリンク先へアクセスしないなど普段から警戒する必要があります。また、ログインした後は、必ずログアウトする習慣を付け、Cookie 内の認証に関する情報を残さないようにして下さい。
Cookie の有効期限はサイトにより異なります。特に重要なサイトである場合、セッション終了時(ブラウザを閉じる)に Cookie が切れる必要があります。(一度、ログイン状態でブラウザを終了させて、再度アクセスすればわかります)
ネットバンクなどでは、一定時間が過ぎると自動的にログアウトするようになっており、これらの安全対策は、サイト側から提供される必要があります。そうでないサイトは利用すべきではありません。
クロスサイトスクリプティング攻撃を行うには攻撃対象者を誘導する必要があり、手口は巧妙化する一方です。メールは容易に送信元を偽る事が出来る上、内容も巧妙化しています。メールの内容に ID やパスワードの再入力を求める記述がある場合は、特に注意する必要があります。
次々と現れるフィッシングサイトの情報収集は困難なため、FireFox では早い段階からフィッシングを行う既知のサイトをブラックリスト化し警告を出す機能を搭載しています。(IEは7から、Operaは9.1から)
ちなみに、FireFox 2.0 を使用してこちらのサイトへアクセスすると、偽装サイトの疑いがある警告がでます。(FireFox の入手先は、上記リンクを参照してください)
また、これらのフィッシング対策を行うセキュリティソフトウェアや、ISP 側で対応する動きも出てきています。(一般の方が個別に行う対策としては困難と思われるため)
フィッシング対策ツールを導入したから安全になると言う訳ではありません。可能性を減らすだけであり、注意は怠らないようにする必要があります。
市販の パーソナル ファイアウォール 製品の中には、パソコン内から外部へ出て行くパケットを常に監視して、事前に登録された情報が外部に出て行くのを防止する機能を持つ製品があります。
参照 => 総合セキュリティ ソフト ウイルス / 不正侵入他 ~ 個人・SOHO
Cookie の通信規制を行うのではなく、特定の情報が含まれるパケットを見つけると通信を阻止するという事です。万が一、クレジットカード情報などが記録されていた場合は、一定の効果があります。
この方法は得策ではありません。 現在、Cookie に対応していないブラウザは存在しません。また、どのブラウザも Cookie を無効にしたり、削除する事は可能ですが、一般の方が規制してしまうと思わぬトラブルとなる事の方が多いです。
Cookie は上記、認証だけに利用される訳ではありませんので、全てを削除してしまうと確実のように思えますが、利便性が極端に低下する弊害もあります。
また、IE 6 や FireFox などのブラウザは、特定のWebサイトに対して Cookie の制限を設けることが出来ます。Web サイトの中には、ルールに順わない Cookie を利用しているケースもあり、これらはブロックすべきです。
SpywareBlaster を使用する事で、IE 6 や FireFox が持つ 特定サイトの Cookie 禁止リストに一括してブラックリストにあるサイトを登録する事も出来ます。
IE 6 の Cookie に関しては、以下のサイトが参考になります。
参照 => Cookie ファイルの処理方法を設定するには
参照 => @IT:検証:IE 6のプライバシ管理機能
Cookie はユーザーがどのサイトへアクセスしているか把握する目的でも利用される事があります。スパイウェアツールは、度が過ぎた Tracking Cookie をスパイウェアの対象として検出、駆除する場合があります。
インターネット広告は、アフィリエイトの認知度が上がるにつれ、個人のWEBサイトでも当然のように見かけるようになりました。これらの広告はサイト内には存在せず、広告配信会社へリンクする形で広告を表示しています。
このサイトでも広告を出していますが、コンテンツに関連するお勧めできる広告しか表示していません。
異なるサイトへアクセスした場合、そのサイトでも同じ広告配信会社の広告が掲載されていると、広告配信会社は Cookie を履歴書として利用する事で利用者のサイト巡回状況を把握する事が出来るようになります。これが Tracking Cookies と呼ばれる Cookie の利用方法です。
当然ですが、巡回状況を把握できるのは広告配信会社のみであり、広告を掲載しているサイトは知る事が出来ません。広告が表示されているサイトには、広告は存在していないからです。
Cookie には、識別するための任意の ID が自動的に割り当てられるだけなので基本的に個人と結びつける事ができませんが、例外もあります。例えば、広告配信を行っている会社(アフィリエイト サービス プロバイダ)に契約して広告を配信している場合、契約の際に個人情報を登録している事になります。
この場合、Cookie を提供する広告配信事業者は、アフィリエイト広告収入を得ているユーザーに対して Cookie ID と関連付けることは可能です。
LinkShare は老舗のアフィリエイト広告配信業者ですが、LinkShare の Tracking Cookie (LinkSynergy)をスパイウェアと認識しているセキュリティソフトは多く、 SpywareBlaster や Spybot でもスパイウェアと判定されています。
具体的な例を挙げると、Spybot を利用した場合、LinkShare の Cookie はブロックされる上、スパイウェア駆除ツールを使用した場合、LinkShare の Cookie は削除されます。このことが広告収入を得る側にとっては良からぬ結果を招くことがあります。
Cookie は、成果報酬型の広告配信サービスにおいては、Cookie を利用して成果をカウントしています。そのため、Cookie が削除されると実際に売上に貢献しているのにも関わらず、報酬を得ることができなくなってしまいます。
つまり、実際には LinkShare の広告を配信して、売上が発生しているにも関わらず、報酬が支払われないケースが非常に多いのではないかと思われます。 これらの広告を配信しても正当な収益は得られず、広告主と ASP が不当な利益を上げている可能性も考えられます。
自分の経験上、Amazon や バリューコマースに比べてもクリック率は高いにも関わらず、LinkShare の広告が収益に結びつく事は殆どありません。Cookie が影響しているのではないかと思っています。 個人的にはあまりお勧め出来ない ASP です。
少し、セキュリティから話しが脱線してしまいましたが、マーケティングのために利用される Cookie であって一般の方は、個人情報が特定できる訳ではありません。仮に漏洩しても害が及ぶ Cookie ではありません。
インターネットを介して提供されるサービスは様々で、サービスの重要性に比例して求められる安全対策も重要になります。しかし、インターネットを介して提供されるサービスは、全て同じ仕組みを利用しているため、行うべきセキュリティ対策は共通します。
これらのセキュリティ対策を考える上で重要なポイントは、自分で行える対策とそうでない対策がある事を認識しておく必要があります。
WEB 上で提供されるフリーメールを例に説明すると、Infoseek や GooMail は通信経路を暗号化する仕組みは提供していませんが、 Google が提供する Gmail は、メールの送受信、双方に通信経路を暗号化する接続方法を提供しています。(WEBメールもMailクライアントを使用する何れの場合も)
通信の盗聴による認証コードの流出は、利用者がいくら努力しても行う事は出来ません。上記、Cookie に関する問題も Cookie 認証を提供するサイト運営者が、Cookie 内に認証情報を残さないような仕組みを提供している必要があります。
特に有料サービスであるホスティングサービスにおいては、ビジネス、趣味など用途によっても、事業者が提供するサービスに対して安全な対策が行われているか十分検討する必要があります。
契約者を増やす事を優先し、十分な対策を講じないで 「ビジネスに最適」 と宣伝している事業者が多いのも実情です。ホスティングサービス選びのポイント、及び、お勧めできるホスティングサービスは、以下で紹介していますので参考にして下さい。
参照 => 失敗しない 【レンタルサーバ】 の 選び方・アドバイス・比較
いずれにせよ、認証コードはパソコン内に記録され、これらのインターネットサービスへのアクセスコード流出は、大きな被害をもたらす結果を招く事を認識する必要があります。また、手法や流出経路は様々で一定の理解と総合的な対策が求められます。
このコンテンツで紹介している見出し一覧は、以下を参照して下さい。ページ右メニューにも一覧表示しています。
参照 => 目次 : 個人・機密情報の保護・管理・対策について