Yahoo!メールがセキュリティー機能強化

参照：
（１）ヤフーの０５年９月１３日付プレスリリース＞http://docs.yahoo.co.jp/info/pr/release/2005/0913.html
（２）機能強化概要＞http://promo.mail.yahoo.co.jp/power_up/

2005年9月13日ヤフー株式会社は、月間利用ID数が1000万件を超えた国内最大のメールサービス「Yahoo!メール」の機能強化を発表した。「フィッシング詐欺」対策や迷惑メール対策などのセキュリティー機能が中心に強化されている。

機能の拡充は、「Yahoo!メール」全利用者向けに４機能、Yahoo! BB会員向けに３機能の合計７つの機能強化である。

＜全利用者向けの機能の拡充＞
１）イメージブロック（新機能）
・悪意のある迷惑メール送信者は、HTMLメールの画像にアクセスがあったことをメールの送信者に知らせることができる仕掛けであるウェブビーコンを悪用して、迷惑メールを送る。
・イメージブロックを有効にすることで、安全を確認してから画像にアクセスが可能になる。

２）「DomainKeys（ドメインキーズ）」の認証結果表示対応（新機能）
・送信ドメイン認証技術（＊注参照）である「DomainKeys（ドメインキーズ）」の認証結果を受信メールの発信者欄に表示する。
・メールの発信者情報から得られる発信元のサーバー情報を受信側で確認できる新機能である。
・フィッシング詐欺などに利用されるドメイン名詐称の防止が目的である。

３）「受信拒否」「フィルター」の設定数拡大
・多くの要望があった「受信拒否」と「フィルター」の設定数を大幅に拡大した。
　　・「受信拒否」 100件　⇒　200件
　　・「フィルター」　15件　⇒　 50件

４）外部メール機能の機能強化
・これまで受信だけだった外部メール機能を拡張し、「Yahoo!メール」経由で任意のアドレスから送信できるようにした。
・他のプロバイダや会社のメールアドレスを、「Yahoo!メール」で一元管理が可能になる。

＜Yahoo! BB会員向けの機能の拡充＞
１）迷惑メールフィルタープラス（ベータ版）（新機能）
・迷惑メールフィルターに学習機能を持たせた。
・利用者ごとの判定基準ができるため判定精度が向上する可能性がある。

２）セーフティーアドレス（新機能）
・いつでも追加・削除が可能なサブアドレスを最大10個まで持つことができる。
・大切なメールにメインアドレス、それ以外にはセーフティーアドレスと使い分けることにより、迷惑メールの悪影響を少なくできる。

３）メール保存（新機能）
・送受信したメールをフォルダ単位で自分のパソコンにダウンロードし、バックアップ保存できる。

（注１）「DomainKeys（ドメインキーズ）」をメールサーバーに導入すると、メールを送信する際、暗号化された電子署名が自動的に添付されます。そのメールを受信するサーバーは、受信の際に、添付された署名の内容が送信者欄に記されたドメインから来ているかを照合します。送信元のメールアドレスを偽装したフィッシングメールや迷惑メールは正しい署名を添付できないため、届いたメールが偽装メールであるかの判断が受信側で可能となり、フィッシング詐欺や迷惑メールへの対策の一つとして有効に活用できます。

また、今回の機能強化ではないが、「Yahoo!メール」では、2005年7月より「Yahoo!メール」のアカウントIDより送信されるメールに対して「DomainKeys（ドメインキーズ）」により認証を付与している。将来的に、Yahoo! JAPANのシステム管理者から送信するすべてのメールの送信元認証を「DomainKeys（ドメインキーズ）」で行う予定だという。

（注２）ウェブビーコン（出典: フリー百科事典『ウィキペディア（Wikipedia）』）
ウェブビーコン(web beacon)とは、ウェブバグ(web bug)とも呼ばれる、HTMLを利用したメールやウェブページの閲覧者を識別する仕組みのこと。

ウェブページやHTMLメールに閲覧者(またはページ)を識別する符号を付加したimg要素を埋め込み、そのimg要素を解釈・表示する際に生ずるサーバーへのリクエストに乗って閲覧者(またはページ)識別符号がimg要素に記述された画像が存在するサーバーに伝達されることにより、埋め込まれたページがどの閲覧者によって開かれたのか(またはどのページが閲覧されたのか)という情報を収集することができる。

使用される画像としては縦横共に1ピクセルの透明色GIFファイルが多くクリアGIFと呼ばれることもあったが、サイズ等を問わず画像一般に仕掛けることができる。ウェブページに使用した場合は第三者がそのページのアクセス状況を把握することが可能であり、HTMLメールに使用した場合は送付先の電子メールアドレスでメールがきちんと閲覧されているかどうか確認することができる。特にメールに使用した場合は特定のメールアドレスの利用者の行動を対象者に知られることなく把握できる技術であり、プライバシーに敏感な人からは反感を買っている。

迷惑メール送信者が有効なアドレスを識別するために利用している可能性も指摘されている。

個人情報に絡むニュース２件（恐喝と売買）

ここ３連休の間に個人情報に関する２種類の犯罪ニュースを目にした。
恐喝未遂事件と個人情報の売買に関するニュースである。

９月１７日（土）付朝日新聞のニュース記事では、NTTコムウェアの業務委託会社の社長が委託された業務で扱う８５万件の個人情報を元に３億円を要求したというニュースである。やや、信じがたいニュースである。

また、９月１９日（月）夕方のTVニュースで個人情報（住所、氏名、メール・アドレス、趣味、商品購入記録など）の売買に関するニュースが放送されていた。そのニュースでは、個人情報が１件２５－３０円の値段で売られていた。
前出の８５万人分の個人情報であれば、単純に計算（３０円＊８５万人）して２５５０万円である。
こまった、世の中になったものである。

売買取引ニュースに出てきた個人情報購入者は製品やサービス販売目的のダイレクト・メールを発信する目的でメール・アドレス・リスト又は住所録をほしがっていた。ただの住所録では価値が少なく、氏名・住所と一緒に病名や趣味などの情報が付いていると高いそうである。例えば糖尿病患者の一覧とか、特定の商品の購入者リストがたまたま話題に上っていた。
特定の病気であれば、その病気に効果のある市販薬や医療器具の販売を目的としたDMを送るにしても販売効率が大幅に高くなるはずである。

参考：ＡＳＡＨＩ．ＣＯＭ０５年９月１７日（土）付ニュース記事「ＮＴＴコムの事務受託し「顧客情報流す」と恐喝未遂容疑」＞http://www.asahi.com/national/update/0917/TKY200509170190.html?ref=rss

ボットとは何か（２）

２．ボット感染ルートと予想されるボットの悪事

感染ルートとして以下のものが挙げられる。
１)ウイルスメールの添付ファイルの実行による感染
２)ウイルスの埋め込まれた不正なサイトの閲覧による感染
３)コンピュータの脆弱性を突く、ネットワークを通じた不正アクセスによる感染
４)他のウイルスにバックドアを設定された場合、そのバックドアからネットワークを通じて感染
５)ファイル交換(PtoP)ソフトの利用による感染
６)IM(インスタント・メッセンジャ)サービスの利用による感染

ボットは感染したＰＣから以下のような悪事を働く可能性がある。

１）スパムメール送信活動 (多量のスパムメールを送信する)
２）DoS攻撃などの攻撃活動 (特定のサイトへのサービス妨害攻撃を行う)
３）ネットワーク感染活動 (コンピュータの脆弱性を狙った不正アクセスによる感染活動)
４）ネットワークスキャン活動 (感染対象や脆弱性を持つコンピュータの情報を集める)
５）スパイ活動 (感染したコンピュータ内の情報を外部へ送信)
６）その他、司令された処理

ボットとは何か

ボットとは、コンピュータ・ウイルスの一種で、感染したコンピュータをインターネットを通じて外部から操ることを目的として作成されたプログラムである。

ボットは、感染したＰＣの中で外部からの指示を待ち、与えられた指示に従った処理を実行する。
この動作が、ロボットに似ているところから、ボットと呼ばれている。

ボットは、ＰＣ利用者が感染していることに気付かないようにするために、さまざまな手口を用いている。
例えば、
・ウイルス対策ソフト（ワクチンソフト）が最新のウイルス定義ファイルを取り込むことを妨害する。
・ウイルス対策ソフト自体を止める。

自分のＰＣの動きがおかしいなと思ったら、ボットに感染していないか調べる必要がある。

参考：独立行政法人 情報処理推進機構（ＩＰＡ）セキュリティセンター2005年9月5日公表記事「ボット対策について」＞http://www.ipa.go.jp/security/antivirus/bot.html

ファーミング（ｐｈａｒｍｉｎｇ）とは

ファーミング（ｐｈａｒｍｉｎｇ）という言葉は、農場を意味する「ｆａｒｍｉｎｇ」と、手口が洗練されているという意味の「ｓｏｐｈｉｓｔｉｃａｔｅｄ」を組み合わせて作ったと言われている。

ファーミングはインターネットで基本となる技術である「名前解決」を悪用している。「名前解決」とは、インターネットのＵＲＬをＩＰアドレスに変換することであるが、その方法にはｈｏｓｔｓファイルによる「名前解決」処理とＤＮＳサーバーによる「名前解決」処理と２つがあり、ファーミングはいずれの方法も悪用している。
ファーミングの代表的な手口は次の通りである。

（１）攻撃者は、ネット利用者のＰＣやＤＮＳサーバーの「名前解決」の設定情報を変更する。

（２）ネット利用者は、ホームページ（以下、ＨＰという）を見るためにそのＨＰ
のＵＲＬを入力する。

（３）「名前解決」の設定情報が変更されているため、正しいＵＲＬを入力しても偽のＨＰのＩＰアドレスに変換され、偽のＨＰがＰＣに表示されてしまう。この偽のＨＰは本物のＨＰとそっくりに作成され、それと気づかずに入力したした場合個人情報が攻撃者に渡ってしまう。

ファーミングは、偽のＨＰに誘導する点においてはフィッシングと同じであるが、「名前解決」の技術を悪用しているため、正しいＵＲＬを入力しても偽のＨＰに誘導される点が特徴である。

攻撃者が悪用する具体的なファーミング手口には次の３つがある。

①ネット利用者のＰＣ上のｈｏｓｔｓファイルを変更する方法
・ＵＲＬをＩＰアドレスに変換する（名前解決）には、まずネット利用者のＰＣ上のｈｏｓｔｓファイルが参照される。このファイルを変更することによってネット利用者を偽のＨＰに誘導する。ネット利用者は自分のＰＣのｈｏｓｔｓファイルが変更されていないかチェックしてこの手口を防止することが可能となる。

②インターネット上のＤＮＳキャッシュポイゾニング
・攻撃者が目的のＤＮＳサーバーのキャッシュ・メモリー上の変換情報を変更して、ネット利用者を偽のＨＰに誘導する。ＤＮＳサーバーを変更するためにネット利用者には回避策はない。表示されたＨＰの画面で本物か偽者のＨＰかを見分けるしかない。

③偽のＤＮＳサーバーの設置（ＤＮＳサーバーの管理上の問題）
・攻撃者が廃止されたＷＥＢサーバーのＵＲＬを取得し、悪意のあるＤＮＳサーバーを設置し、ネット利用者が廃止されたＷＥＢサーバーを見に来たときに悪意のあるＷＥＢサーバーに誘導する。ネット利用者は表示されたＨＰの画面で本物か偽者のＨＰかを見分けるしかない。

参照：
（１）警察庁のＨ１７年９月２日付け分析レポート「ネットワーク技術を悪用した個人情報の漏えいに注意」＞http://www.cyberpolice.go.jp/detect/pdf/H170902_leak.pdf

フィッシング(phishing)とは

フィッシング(phishing)という言葉は、釣りを意味する「ｆｉｓｈｉｎｇ」と、手口が洗練されているという意味の「ｓｏｐｈｉｓｔｉｃａｔｅｄ」を組み合わせて作ったと言われている。

米国では２００３年から被害が発生している。

フィッシングの代表的な手口は次の通りである。

（１）攻撃者は、実在する金融機関などを詐称した偽メール（フィッシング・メール）を不特定多数のネット利用者に送付する。
この偽メールは、ＷＥＢページでの個人情報入力を要求し、そのＷＥＢページへのリンク先として偽のＵＲＬが書かれている。
偽のＵＲＬは本物の金融機関のＵＲＬに良く似たものになっている。

（２）偽メールを受け取ったネット利用者は、メールの案内に従って本文中のＷＥＢページへのリンクをクリックする。

（３）表示された偽のＷＥＢページ（フィッシング・ページ）は本物のＷＥＢページに似ており、個人情報を入力した場合、攻撃者にそのデータが渡ってします。

フィッシング・メールはウィルス・メールではないため、ネット利用者のＰＣに導入されたウィルス対策ソフトでも検知できない。

フィッシングに使用される手口は、特に難しいものではなく、ソーシャル・エンジニアリングによるところが大きい。

ソーシャル・エンジニアリングとは、フリー百科事典『ウィキペディア（Wikipedia）』によると次のようである。

「ソーシャル・エンジニアリングは、人間の心理的な隙をついて個人が持つ秘密情報を聞き出す方法のこと。
元来はコンピュータ用語で、コンピュータ本体に被害を加えることなく、パスワードを入手し不正に侵入（クラッキング）するのが目的。この意味で使用される場合はソーシャルハッキング、ソーシャルクラッキングとも言う。以下のような方法がよく用いられる。
　・システム管理者などと身分を詐称してパスワードを聞きだす
　・本体を操作する人の後ろに立ち、パスワード入力の際のキーボード（もしくは画面）を凝視する。
　・パスワードが書かれた紙を盗み見る。
現在はパスワードだけではなく、クレジットカードなどの番号を盗んだり、家族に詐称して金を振り込ませる（オレオレ詐欺）など詐欺の手口にも使われる。」

参照：
（１）警察庁のＨ１７年９月２日付け分析レポート「ネットワーク技術を悪用した個人情報の漏えいに注意」＞http://www.cyberpolice.go.jp/detect/pdf/H170902_leak.pdf
（２）フリー百科事典『ウィキペディア（Wikipedia）』＞http://ja.wikipedia.org/

ネット詐欺容疑2被告再逮捕

茨城県警生活環境課と同県警土浦署は7日、住所不定、無職、川原誠（33）と同、無職、小山理奈（23）（いずれも不正アクセス禁止法違反罪で公判中）の両被告を詐欺と同法違反容疑で再逮捕した。

他人のIDを使ってインターネットオークションにバッグなどを架空出品し、金をだまし取っていたとしている。
被害は全国29都道府県で340件、約8000万円にのぼる見込み。

参考：ＭＳＮ毎日新聞０５年９月９日付記事「ネット詐欺：容疑2被告を再逮捕　29都道府県で被害8000万円」＞http://www.mainichi-msn.co.jp/keizai/it/network/news/20050908org00m300088000c.html

デジタル社会推進シンポジウム２００５

０５年９月８日（木）、ＮＰＯ「セキュアなデジタル社会を推進する会」主催で、「デジタル社会推進シンポジウム２００５」が国連大学ウ・タントホールで開催された。

後援は総務省、経済産業省、警察庁、防衛庁、法務省、厚生労働省、文部科学省、国土交通省、東京商工会議所、日本経済新聞社、毎日新聞社、日刊工業新聞社、（財）日本情報処理開発協会、情報セキュリティ大学院大学である。

内容は午前９：３０から午後５：００まで盛り沢山であった。
９：３０－１０：００開会講演「情報倫理から見た情報セキュリティ」情報セキュリティ大学院大学学長　辻井重男氏
１０：００－１０：５０基調講演「セキュアなデジタル社会の展望と課題」東京大学大学院情報学環教授　須藤修氏
１１：００－１２：００講演「個人情報保護法施行後の課題とその対策」ＩＮＳ（株）副社長　岩見守和氏
１３：００－１４：００講演「重要インフラを始めとするサイバーセキュリティの現状と対策のポイント」元金融ＩＳＡＣ緊急時対策部門副議長Ｊａｓｏｎ　Ｈｅａｌｅｙ氏
１４：００－１４：５０講演「デジタル社会に於けるセキュア・アプリケーションーＦｅｌｉＣａによる実現の例」ソニー統括部長　森田直氏
１５：０５－１７：００パネルディスカッション「デジタル社会への日本の情報セキュリティ戦略」
　　経済産業省商務情報政策局情報セキュリティ政策室長　頓宮裕貴氏
　　総務省総合通信基盤局電気通信事業部調査官　秋本芳徳氏
　　警察庁生活安全局情報技術犯罪対策課長　坂　明氏
　　防衛庁航空機通信電子課長・内閣参事官　青木信義氏
　　日本経済新聞社編集委員兼論説委員　関口和一氏
　　東京大学大学院情報学環　須藤修氏

日本政府・学界の情報セキュリティの指導的立場の方々の講演をこれだけまとめて聞ける機会はめったに無い貴重なセミナーであった。

気になったセンテンスを以下に箇条書きとする。

・情報セキュリティは総合科学である。
・ボットネット対策が現下の緊急課題である。
・環境報告書と同様の位置づけで情報セキュリティ報告書を考えるべきである。
・行政として対応が不足しているのは個人ユーザーに対する啓蒙である。
・今後五年で情報通信のインフラは電話交換機からＩＰルーターに世界規模で置き換えが起こるが、日本通信機器メーカーは遅れていないか。
・個人ユーザーは身の回りの安全確保は自己責任で対応すべきである。
・行政府はこう使うと安全安心であるという使用方法の開発推進と啓蒙が責務である。
・個人情報保護法は利用を推進するための規制であるが、規制が突出し本来の目的である有効利用が後退しているのは問題である。
・各国政府はＳＯＡ（Ｓｅｒｖｉｃｅ　Ｏｒｉｅｎｔｅｄ　Ａｒｃｈｉｔｅｃｔｕｒｅ）とＸＭＬの採用で大きく動いているが、日本はこの理解が遅れている。
・ネット社会はもう後戻りできないところまで利便性を享受している。人間はネット社会と共生する必要がある。

参考：NIKKEI_NET IT_Plus2005年7月27日付記事「セキュアなデジタル社会を推進する会、電子政府・電子自治体の情報セキュリティ推進など支援【発表資料】」

ネットオークション詐欺

またもネットオークション詐欺が発生した。

被害者は山形県の４２歳の男性で、１４万円の釣竿のネットオークションに応募して、落札できなかったという。その後、電話で「落札者が辞退した」と連絡があり、お金を振り込んだという。

典型的なネットオークション詐欺である。
ネットオークションを利用するときは気をつけよう。

参考：2005年9月2日付記事「ネットオークション　詐欺で14万円被害　山形の男性届け出」

ワンクリック詐欺への対処法

独立行政法人 情報処理推進機構（ＩＰＡ）から2005年 8月16日付けの新着情報として「クリックしただけで料金請求された場合の対応方法について」（参照２）が発表されている。

相談できる組織や、無料のセキュリティ・チェックのサービスをしているサイト情報も載っているので、参考になる。

内容は以下のとおり。
1.料金請求への対応
2.パソコンに不正プログラムが埋め込まれた恐れがある場合の対応
3.今後のセキュリティ対策

参考：
（１）ＩＰＡのホームページ＞http://www.ipa.go.jp/
（２）ＩＰＡの2005年 8月16日付新着情報「クリックしただけで料金請求された場合の対応方法について」＞http://www.ipa.go.jp/security/ciadr/oneclick.html

対策製品事例（２）

コンピュータ・アソシエイツ株式会社（以下CA） は、０５年８月２９日、「ISPパートナープログラム」の日本展開を発表した。

「ISPパートナープログラム」は、多くの会員を抱えるＩＳＰ、ネット銀行／証券、ＥＣサイト、オークション・サイトなど、会員ユーザがインターネットを介して金銭の取引や決済を行なうネット・サービスを提供する事業者を対象に、CAが全世界で展開するプログラムだ。

以下の４製品を含め、CAの個人・SOHO向けeTrustセキュリティ全製品の通常版製品またはSDK（ソフトウェア開発キット）を、各事業者のニーズに応じて特別なライセンス・オプションによって提供する。

（１）ウイルス／ワーム対策ソフトウェア「eTrustアンチウイルス」
（２）スパイウェア対策の「eTrust PestPatrol アンチスパイウェア」
（３）迷惑メール対策の「eTrustアンチスパム」
（４）ファイアウォール製品の「eTrustパーソナル ファイアウォール」

北米においては2003年より同プログラムを展開しており、米Yahoo!のユーザ向けサービスに採用されている。
また、日本でも、ニフティ株式会社が運営する「＠nifty」内のセキュリティ・サービス「常時安全セキュリティ24」において5月より提供が開始された「スパイウエアクリーナー」のスキャン・エンジンとして、「eTrust PestPatrol アンチスパイウェア」が採用された。

参考：
（１）コンピュータ・アソシエイツ（株）2005年08月29日プレスリリース >http://www.caj.co.jp/press/2005/08/isp_partner_program.htm
（２）日経産業新聞2005/08/29版記事「ＣＡ、スパイウエア対策ソフト、接続事業者向け販売強化―売上高７億円見込む。」
（３）コンピュータ・アソシエイツ（株）ＨＰ＞http://www.caj.co.jp/
用語：
ＩＳＰ＝Ｉｎｔｅｒｎｅｔ　Ｓｅｒｖｉｃｅ　Ｐｒｏｖｉｄｅｒ（インターネット・サービス・プロバイダー）
ＥＣ＝Ｅｌｅｃｔｒｏｎｉｃ　Ｃｏｍｍｅｒｓ（電子商取引）

中小企業対策

ＩＴセキュリティの対策実現方法は事業者と非事業者に分けて考える必要がある。
事業者の場合も、大企業と中小企業、個人事業者では対策へのアプローチが異なる。

中小企業の場合、情報セキュリティ対策は大きな課題となりつつある。
楽天の個人情報漏えい事件が教えたことは、情報漏えいの影響はＥＣサイト事業者にとって死活問題になると言うことである。

ポイントは２点である。
一つ目は、中小企業のセキュリティ・レベルでビジネス上の選別が行われること。
二つ目は、情報漏えい事件が発生した場合中小企業にとって致命的な影響を受ける可能性があること。
ポイント①に対する対策は、ＩＳＭＳ認証などの第三者認証を得ることが推奨されている。
ポイント②に対する対策は、ＩＳＭＳで決めたセキュリティ対策を確実に実施することである。

一方、個人事業者の場合はどうであろうか。ＩＳＭＳは組織体のセキュリティ管理を目指しているので、個人事業者には馴染まない。
個人事業者の場合、ポイント①に対する対策は自分の知識を磨くことである。
ポイント②に対する方策は次の通りである。
１）日常の作業にセキュリティ対策を組み込んでおく。
２）万が一の時にはＩＴコンサルに相談できるようにしておく。
これは、税務、法律のコンサルに相談するのと同じでＩＴコンサルとのコネクションを持っておく必要がある。

非事業者は、とにかく自己防衛に努めることである。

参考：
（１）＠ＩＴニュース2005/8/27付記事「ゼロから分かる中小企業の情報セキュリティ対策法 」＞http://www.atmarkit.co.jp/fbiz/cbuild/serial/smb/02/01.html

対策製品事例（１）

「デジタルガーディアン」
・デジタルガーディアンは、米国Verdasys社が開発した企業向けの情報漏洩対策ソリューション。
・特に2005年4月より施行される「個人情報保護法」対策として利用可能なソリューション。

販売元：株式会社理経
機能概要：
１）操作履歴取得機能：ネットワークから切り離されたPCの履歴を収集する。
２）操作の制御機能：アプリケーションやファイルなど様々なレベルにおけるポリシーが設定できる。
３）操作履歴のレポート機能
４）警告表示機能：不正操作に対してリアルタイムで警告画面を表示する。
５）バージョン3.0の新機能：
①ネットワーク経由のアップロードやファイル編集など、②新しいイベントタイプの検出、
③各レポートの CSV 出力、④ライセンスキーシステムの搭載

参考：
（１）Japan.Internet.com 2005年8月26日付記事「理経、情報漏洩対策の「デジタルガーディアン DG3.0」を発売」＞http://japan.internet.com/webtech/20050826/4.html（２）株式会社理経ＨＰ＞http://www.rikei.co.jp/index.html

対策ソフト開発５年で１００億

出展：０５年８月２７日（土）産経新聞１１面
タイトル：新種ウィルス、対策ソフト開発へ、総務・経産省、５年で１００億円見込む

総務省と経産省は２６日、新種のウィルス「ボットプログラム」の国内感染状況の調査や、対策ソフトの開発に乗り出す方針を固めたという。

「インターネット接続業者などと共同で、感染者に通知する仕組みを作り、ウィルス駆除につなげる。関連予算として５年間で約１００億円を見込んでおり、来年度予算の概算要求に両省で計約２０億円を盛り込む。」

「ボットプログラムはウィルスの最終進化形といわれ、電子メールなどを通じて感染する。感染したパソコンは、スパム（迷惑）メールの送付元になるなど、他人の意のままに操られる。」

総務省の今春の調査によると「推定で４０万から５０万台パソコンが感染している」ことが判明したという。このウィルスが厄介なのは感染していることに気づきにくい点だという。市販の対策ソフトでも検知しにくいそうである。

早く手を打ってほしい。

スパイウェアの新たな攻撃方法

スパイウェア攻撃と対策の果てしない「もぐら叩き」現象が予想される。

最近、日本の銀行でもスパイウェアによってＩＤ，パスワード情報が盗難され、悪用された事件の報道があった。米国では、スパイウェア対策の一つであるキーロガー防止対策に対する新たな攻撃が始まっている。

参考記事によると次のようになっている。
「一部の銀行などはキーロガーに対抗し、ソフトウエア・キーボードを採用したが、その裏をかくのがスクリーンスクラッパーだ。これらの金融機関はサイトにキーボードの画像を表示し、マウスでキーをクリックさせることでパスワードを入力させる。本物のキーボードを使わないため、キーロガーを回避できるはずだった。ところが、スクリーンスクラッパーは、クリックの瞬間にスクリーンショットを撮り、犯人に送信してしまう。」

いずれにしても、セキュリティ対策は万全と言うことは有り得ない。

それでも、新たな対策は出来るだけ採用するようにし、Ｗｉｎｄｏｗｓのセキュリティ・パッチ更新を日常のネット利用関連作業の一部とあきらめ、粛々と実施するしかない。
ネット犯罪を予防するにはそうするしかない。

また、ネット犯罪に巻き込まれたときの対策も最低限実施する必要がある。
万一に備えて、バックアップを定期的に取ったり、ネット利用に必要な機器（回線、モデム、ＰＣそのもの等）を出来るだけ２重化しておくことである。

参考：ＭＳＮ毎日ニュース2005年8月24日付記事「フィッシング：キーロガー、スクリーンショットを使う手口が増加」＞http://www.mainichi-msn.co.jp/keizai/it/network/news/20050824org00m300070000c.html