→個人情報とセキュリティ対策~3つの感染経路を防ぐ~

個人情報とセキュリティ対策
個人情報保護方針(プライバシーポリシー)を掲載しなくてはいけないことはおそらく理解していると思いますが、 ここではさらに踏み込んで個人情報保護とセキュリティ対策についての概略を解説しておきましょう。

ネットショップが成功してリピーター顧客が増えれば増えるほど、個人情報保護は重要となり、かつ落とし穴になってしまう可能性のある法律です。自らのビジネスの利益ばかりだけでなく、顧客の個人データも重要である認識を持ちましょう。問題が発生してからでは、遅すぎます。その点を考慮に入れて、セキュリティ対策の概要を把握してください

ネットショップに必要なセキュリテイの基礎知識
ここでは、ネットショップを実際に運営する人が持っていなければならないセキュリティの基礎知識について述べます。セキュリティ上の問題になる要因には、コンピュータ・ウイルスと不正アクセス、人為的なミスと情報漏洩の3つが主なものです。

●コンピュータ・ウイルスとは
人為的につくられた悪質なプログラムのことをいいます。現在、既知のウイルスだけでも少なくとも6万個は存在し、しかも毎日新たなウイルスが作成されて増加しつづけています。そして、それらのウイルスの約95~ 98%は、電子メール等からの感染だといわれています。

●感染した場合の主な症状
ウイルスは、電子メールの添付ファイルや、webサイトからダウンロードした無料コンテンツ、フロッピーデイスク、CD‐ ROMなどから侵入します。

もしも、インターネットで日常的に他のホームページを開覧していたり、電子メールや他から持ち込まれたフロッピーディスクなどをウイルスチェックをしないままの状態で使用しているとすれば、感染する危険性が大きいので注意しましょう。以下に、感染した場合の主な症状を紹介します。

◆コンピュータの性能が低下し、動作速度が遅くなる。
バックグラウンドで不正な操作が実行されている場合にこのような症状が表れることがあるので注意が必要です。

◆モデムの使用頻度が非常に高くなる。
コンピュータを実際に使用していないにもかかわらず、ファイルのダウンロード時のように外付けモデムのインジケータが激しく点滅するような場合、不正コピーされたソフトウェアが動作している可能性があります。

◆コンピュータが異常動作する。
アプリケーションが正常に動作しない場合や、ファイルの内容が判別できない(読めない)状態になったり、保存したデータファイルが使えなくなる場合には注意してください。

その他には、「ファイルが破壊・削除される」、「プログラムやファイルのメモリが勝手に増える」、「よくフリーズする」、「MOドライブやプリンターなどが動かなくなる」、「ハ一ドディスクの基本設定がリセットされる」などの症状が出る場合もあります。このような症状のときには、早めにワクチンソフトを使っ てウイルスチェックをするのが確実です。また、まだ感染はしていなくてもディスクに感染ファイルが存在する場合があり、注意が必要です。ウイルスを含むファイルの主な見分け方として、次のようなことがあげられます。
異常な拡張子のついたファイルが存在する。今まで見たことのないファイルが存在する。

「異常な拡張子のついたファイル」とは、たとえば「thanks.txtexe」など、拡張子が2つ続く場合などです。実はWindowsには初期設定で拡張子を表示しない設定(非表示設定)になっているため、「thanks.txt」とあたかも正常な文書ファイルのように表示されてしまいます。ウイルス制作者は、実行型ファイルであることを表す「.exe」を隠し、単なるテキスト文書「txt」だと欺くことで、ユーザーの勘違いを誘って実行させ、ウイルス感染させようとしているのです。したがって、これを見破るために拡張子の非表示設定を解除して拡張子をすべて表示するようにしておくことが大事です。

●ウイルスに感染した場合の対処方法
感染した場合の対処方法は、ウイルスのタイプ、各個別の性質によって異なります。ウイルスを発見した場合は、まずそれがどういう種類のウイルスかを確認することが大事です。すでによく知られているウイルスなら、それを見分けるための特徴や、感染時の症状、回復のための対処法などが必ず公開されています。

しかし、新種のウイルスに対して正しい知識を持たずに対処するのは危険です。発見したウイルスについての情報が不足している場合は、lPA(情報処理振興事業協会)のセキュリティセンター、もしくは各ワクチンソフトウェアメーカーの専門家などに相談し、適切な処置を講じることが、被害を最小限に抑える秘訣です。

●感染による拡大を防ぐためには
ウイルスに感染した後の基本となる緊急対処法について述べておきます。まずウイルスに感染したことがわかった時点で、次の2つの行動をとることがポイントです。
① 感染による被害の拡大を防ぐ
② ウイルスを駆除する

その時点でワクチンソフトもなく、症状を見ても素人目にはどの種類のウイルスかがわからない場合でも、まずは物理的にネットワークをインターネットと切り離す(パソコンと電話回線を繋いでいるケーブルを抜く)ことが肝要です。

もちろん、LANの場合も同様です。このことは、その時点でウイルスの種類がわからなくても、ウイルスが自己増殖して、登録されているメールアドレスに自己のコピーを自動送信するタイプが多く存在するため、その被害拡大防止策となります。

●ウイルスを駆除するためには
次に、ウイルスの駆除方法としては、基本的にはワクチンソフトによる検知と駆除が望ましいのですが、ワクチンソフトがインストールされていない場合には、疑わしいファイルを自分で見つけ出して駆除することになります。

その場合、発見の時点で、まだその感染したプログラムが実行される前、すなわちウイルスが活動する前の状態であれば、各ワクチンソフトウエアメーカーが提供しているウイルス検出サービスを活用することも可能です。これは、インターネットを通じて簡易版のワクチンソフトウェアが無償で提供されるサービスです。まずはそれをダウンロードして、疑わしいファイルに対して実行し、ウイルスであるかどうかを確認することができます。こうしたサービスを活用すれば、当該ウイルスの駆除方法を知ることができ、被害の拡大防止に役立てることができます。

正当なアクセス権限を持たずに、外部からインターネットなどのネットワークを通じて情報システムに悪意を持って不正なアクセスを行い、機密情報を盗んだり、Webページを改ざんしたりする者を「クラッカー」と呼んでいます。「ハッカー」と呼ばれることもありますが、本来ハッカーには悪い意味はなく、コンピューター技術に長けた人の尊称であるため、悪意を持って他人のコンピューターに侵入する者をクラッカーと呼んで区別しています。

クラッカーの目的は単なるいたずらであることが多いのですが、自己顕示のためにWebページ改ざん行為を行ったり、破壊や妨害などさまざまな目的で攻撃を仕掛けてくることがあります。また高度なテクニックを持ったクラッカーは、製品やサービスの開発前のコンセプトや開発途中の技術的情報、製品の価格決定に関する内部情報などを盗み出すこともあります。場合によっては競合相手の企業から依頼されるなどにより、明確な目的意識のもとに不正侵入を行います。残念ながら不正アクセスの予防には万全な対策というものはありません。しかし基本的な対策はしっかりと実行しておくことが大切です。

その1つが「ファイアーウォール」の設置です。ファイアーウォールとは、一般的には、内部のネットワークヘの不正侵入や破壊行為、Web、DNS、FTPサーバなど外部への公開サーバの防御などを行うため、内部ネットワークと外部ネットワークをつなぐルータとの間に設置されます。そして、通過するネットワークトラフィックを監視し、ルールに基づいた正当な通信のみを行えるようにする一方、不正な動きを検知する働きをもつ装置(コンピュータまたはソフトウエア)のことをいいます。
万全ではないにせよ、こうした基本的な対策を施すことがセキュリテイの第一歩です。

●メール送信時の操作ミス・設定ミスに注意
最近、メール送信時の操作ミスによって顧客情報を漏洩させてしまうことがしばしば起こっています。つまり、本来は「Bcc:」で送るべきところを、「to:」や「Cc:」の部分に各顧客のメールアドレスを列挙して送ってしまうミスです。このことにより、送信された全員に全送信者のメールアドレスが表示され、悪意ある者に盗まれてしまいます。しかし、そのことの重大性に気づいていないことも多いのが現状のようです。

電子メールのアドレスが全員に知られることによる危険度は想像以上のものがあります。
たとえば、DMなどのスパムメール、メール爆弾やデマメール、なりすましメール、さらにネットストーカーなどの被害に遭う可能性は十分あり得るのです。
また、メーリングリスト(ML)での設定ミスによる情報漏洩事故などもあります。MLは、事業者が顧客に対して「お知らせ」などの情報提供を行う場合にも使われていることが多く、その際、管理者である事業者のミスにより思わぬ個人情報の漏洩事故が起こります。こねは、MLの設定において、返信先を項目の中で、「管理者宛」に設定変更をしておかないと、登録者からの返信が「全員宛」となってしまうことから起こる事故です。

そして、このことが思わぬ事件につながることがあります。たとえば、ある商品を購入した人を対象に「お知らせメール」を送るため利用されているMLで、返信メールが登録者(当該事業者の顧客)全員に配信されることを知った悪意あるユーザーが、その業者を偽装し、「アンケートに協力した人全員にプレゼントが当たる」といった偽りのメールをMLあてに送信することで、偽りのプレゼントサイトに誘導することができます。

何も知らない登録者はプレゼントの魅力に引かれて、つい個人情報を記入してしまい、その偽りのWebサイト管理者は、個人情報を盗み出すことができます。このように、ほんの小さなミスが重大犯罪につながる危険性があるのです。
日々の業務として多くの人にメールの同報送信を行ったり、MLをコミュニケ一ション手段に利用したりしているネットショップは、以上のことをしっかりと理解し、事故が起こらないように注意しておかなければなりません。

● Webの不備とその放置による情報漏洩にも注意
個人データがネット上に流出していたことが発覚する大事件が後を絶ちません。データの中身は、住所、氏名、電話番号のほかに、その個人にとって重要なプライベート情報であったりします。ネットを通じて個人情報が漏れるケースでは、Webサーバーのセキュリティ設定でミスを犯していることが主な原因と思われます。特定のアドレスを入力すると、パスワードなしで個人情報に到達できる状態になってしまうようなサーバー設定をしてしまうのです。

担当者のミスによって、ディレクトリ内部がすべて閲覧できることもあれば、書き出されるCSVファイルなどの一部が閲覧できる状態となっていることもあり、さまざまなパターンでの情報漏洩が確認されています。こうした情報漏洩は、個人情報を適切に扱わなければならないネットショップなど業者側の手で、必ずくいとめなければなりません。

●パソコンの廃棄や譲渡等を行う際にも注意が必要
パソコンの廃棄や譲渡等を行う際にもしっかりとした対策をとっていないと、ハードディスク上の重要なデータが流出するというトラブルが発生する危険性があります。
日頃から利用されているパソコンの中には、会社内のデータや重要な個人情報など、さまざまな機密情報が記録されています。リース期間の更新や新製品への買い換えなどで、古いパソコンを廃棄もしくは譲渡する際には十分気をつけなければなりません。

パソコンの廃棄・譲渡の際には情報漏洩を防ぐためにデータを消去しますが、その場合、一般的に「データを〔ゴミ箱〕に捨てる」、「〔削除〕操作を行う」、「〔ゴミ箱を空にする〕コマンドを使って消去する」、「ハードディスクを初期化(フォーマット)する」、「付属のりカバリーCDを使い、工場出荷状態に戻す」などの作業が行われます。
しかし、この作業では、ハドディスク内に記録されたデータのファイル管理情報が変更されるだけで、本来のデータは残っている状態にあります。つまり、パソコンのハ― ドディスクに記録されたデータは、廃棄の際にデータを消去する作業を行ったとしても、データが消去されたように見えるだけで、実は特殊なソフトウェアを使えば読み取ることができるのです。このような事実を知らずに不用意にパソコンを廃棄した結果、機密情報が漏れたという事件がしばしば発生しています。
そうした事態を回避するためには、主に専用ソフトウェアを購入するか、もしくは、パソコンメーカーやパソコン販売店が提供するデータ消去サービスを利用(有償)するなど、後で漏洩事件となって信用を失うことのないように気をつけましょう。こうしたことへの配慮もネットショップを運営する上で大切なことです。


感染経路① 電子メール
ウイルスの感染経路のほとんどが電子メールによるものです。電子メールで感染するウイルスは、 電子メールに添付された文書ファイルに組み込まれていることが多く、そのため最近のメールソフトでは添付ファイルを開こうとすると 「ウイルスに感染している恐れがあります」などというアラートが表示されるのです。「顧客とは添付ファイルのやりとりはないから安心」と思われるかもしれませんが、最近ではHTMLメールにもウイルスが組み込まれるようになりました。顧客のなかには、HTMLメールを使っている人もいます。それゆえ、注意が必要なのです。

感染経路② サイトからのファイルのダウンロード
感染経路として次に考えられるのが、FTP、HTTPサイトからファイルをダウンロードして発生するウイルス感染です。インタ一ネットには無数のサイトでさまざまな情報が発信されており、なかにはウイルス感染したファイルを公開しているサイトもあります。何気なく閲覧したサイトにウイルスが仕込まれていることも多いので、注意が必要なのです。

感染経路③ メディアからの感梁
CDーROMやフロッピーディスクからの感染もあります。たとえば友人や知人、取引先のパソコンが知らぬ間にウイルスに感染してしまい、 データをメディアコピーするときにウイルスに感染することもあります。メディアをもらったときはもちろん、メディアを誰かに提供するときも、しっかりとウイルス対策ソフトでチェックすることをオススメします。

ウイルスに感染すると?
ウイルスに感染すると、どのような症状が発生するのでしょう?これにはさまざまなパタ一ンがあります。たとえば、文書を勝手に書き換えたり、 なかには勝手に消去したり、 文書を保存できなくするようなプログラムがウイルスに書き込まれている可能性があります。

そして、最悪の場合は、パソコンが起動しなくなってしまうこともあるのです。
こんな状態では売上もガタ落ちです。また、顧客にも迷惑をかけてしまいます。十分に気をつけたいところです。
ウイルスの影響を避けるには、解説した感染経路や余計なファイルに手をつけないことが重要です。

しかし、 メールの送受信をしないわけにはいかないでしょうし、うっかり内容のよく分からないファイルをダウンロードしてしまうこともあるでしょう。
そこで、 ウイルス対策ソフトをかならず導入しなくてはいけません。 ウイルス対策ソフトにはさまざまな種類があり、会社で利用するグルーブウェア用のものから、個人ユースのパソコン用のものまで、各メーカーから事業規模・用途に合わせています。

スパイウエア
スパイウェアは実際にはどのような活動をパソコン内部で行うのでしょうか? まずスパイウェアのメインの活動は、無理やり広告ページを表示したり、勝手にブラウザのスタートページを設定変更したりします。検索バーやツールバーといったコンポーネントを勝手にブラウザに追加してしまうこともあります。しかし、スパイウェアが一番恐ろしいのは、ユーザーの目に見えない裏側で行っている活動です。裏でのスパイウェアの活動は、ユーザーのキーストローク。つまり入力履歴などを記憶して送信したり、 インターネットを使ってどこのホームページにアクセスしたのかを調べるために、 ブラウジング履歴収集して送信するなどしています。
 
対応策
対応策としては「スパイウェア対策ソフト」を導入するといいでしょう。スパイウェア対策ソフトは、市販のソフトもありますが、フリーウェアも複数あります。有名なソフトとして、「AD-AWARE」や「SpyBot」があります。




ナビ