トロイの木馬(キーロガー)
現在もっとも多いのが、キーロガーを使った不正アクセスです。手口などから、組織的に不正アクセスをしているグループがいくつかあると推測されます。キーロガーの感染源サイトは主に中国と台湾に置かれており、そうしたサイトへの誘導するリンクをBBSやブログにスパムとして書き込むのは、ほとんどが 163data.com.cn からです(2006年までは cndata.com.cn でしたが、2007年から163data.com.cn にドメイン名を移行しているようです)。
OSやブラウザの脆弱性を悪用して、感染源となるサイトのページを開いただけでウィルス感染させようとします。OSのパッチが最新でなかったり、ブラウザにInternet Explorerを利用している場合に、感染の危険性が高くなります。ただし、未パッチの脆弱性がすぐに悪用されたこともありますし、Real Playerの脆弱性を悪用したタイプのものも存在します。プラグインの脆弱性を悪用された場合には、OSやブラウザが最新であるかどうかにかかわらず、プラグインが最新でなければ感染してしまいます。
新種の亜種作成の頻度は非常に高く、「ウィルス更新状況」を見るとわかるとおり、ほぼ毎日のように更新されています。つまり、ウィルス対策ソフトの対応が追い付かず、検出できない場合もしばしばあるということです。
次のようにさまざま方法で感染源となるサイトへアクセスさせようとしたり、感染を広げようとします。
- BBSやブログのコメントへの無差別書き込み。リンク集をたどって書き込み先を探し、他人のブログ記事やコメントをコピーして、それらしい文章を装って書き込む。
- Wiki内のリンクを感染源サイトのアドレスに勝手に書き換える。
- 自動登録型のリンク集に、感染源となるサイトを登録。
- GoogleやYahoo!で「lineage」や「リネージュ」をキーワードとして検索したときに、広告サイトとして表示されるよう登録。
- PlayNCブログのメッセージ機能により、PlayNCブログ開設者に感染源へのリンクの書かれたメッセージスパムを送信。
- メールフォームからスパム送信。
- 不正アクセスにより取得したアカウント名とパスワードでPlayNCブログにアクセスし、ブログ内容を改竄。つまり、ある日ふつうのプレイ日記が感染源に。
- 不正アクセスにより、一般のサイトを改竄しウィルス埋め込み。過去の例では、価格.comやリネージュ攻略通信といったよく知られたサイトも被害に。
- 感染型のウィルスの場合、次のような方法で感染を広げる。
- ネットワーク内にWindowsアカウントのパスワードが設定されていないPCがあれば、そのPCに感染。
- WinnyなどP2Pソフトによりウィルスを拡散。
感染したファイルを知らずに配布すればさらに被害拡大。過去の例ではベクターのサーバが感染し、過去に例のない大規模な被害となった。
セキュリティカードを使っていても、現状ではウィルス感染したら100%不正アクセスの被害に遭うと考えてください。セキュリティカードが有効なのは、ネットカフェなどでIDを盗まれることへの対策としてだけと考えた方が良いでしょう。キーロガーは進化してきており、キー入力を記録すると同時にデスクトップの画像をキャプチャしたり、キー入力の様子を動画として送信する機能のあるものまで出ているそうです。現状のクライアント仕様では、1組でもセキュリティカードの数字とパスワードの組合せがわかれば、ログインすることができてしまいます。
このような攻撃に対しては、「怪しいリンクを開かない」だけでは対策になりません。OSのパッチを最新にしたり、ウィルス対策ソフトを利用するのはもちろんのこと、IPフィルタを導入するなど複合的な予防が必須です。
ソーシャルクラック
他人の善意を悪用したり、騙したりという、古典的で、しばらく前までは主流だった手口です。現在主流でないと言っても、被害件数が減ったわけではなく、全体件数が増えたために割合として見ると下がっているというだけです。おそらく今後も、なくなることはないでしょう。
この手口では次のように、さまざまな方法でIDとパスワードを盗み出されます。
- オフ会などで親しくなって互いの家を行き来するようになり、家のPCにキーロガーをインストールされ、IDとパスワードを盗まれる。
- NCJの名前を騙ったメールが来て、ユーザ確認のためにアカウント名とパスワードを返信するよう求められる(いわゆるフィッシング詐欺)。
- 友人(あるいは恋人)にパスワードを聞かれ、教えてしまう。
対策としては、とにかく他人にパスワードは絶対に教えない、公式サイトのマイアカウントのページ以外では決してパスワードを入力しない、という点を胆に命じておくことです。いかなる理由があろうとも、NCJからパスワードを訊ねられることはありません。個人のパスワードなんか知らなくても必要ならNCJはデータを書き換えられますし、本人確認するのにパスワードは使っていません。NCJはメールや住所や電話番号など、他の個人情報を使って本人確認します。
たとえキーロガーをインストールされても被害を未然に防げるよう、スパイウェア対策とファイアウォール導入はしておきましょう。
キーロガーなどのペスト(スパイウェアとも呼ばれる)は、ウィルス対策ソフトだけでは検出できないことが多いものです。必ずスパイウェア対策ソフトも併用しましょう。また、万一検出できなかった場合でもデータを盗まれるのを防止するため、ファイアウォールも導入し、適切に設定しておきましょう。
ネットカフェ
以前からよく聞くのが、ネットカフェ利用時にIDとパスワードを盗まれ、被害に遭うケースです。
NCJ公認のネットカフェでも、店員にキーロガーを仕掛けられていることもあるそうです。ネットカフェを利用する場合には、必ずPlayNCアカウントに移行し、利用が終わるたびに新しいセキュリティカードを発行してもらいましょう。
きちんと運用されているネットカフェでは、利用者が変わるごとにPCを初期化することになっていますが、面倒なこともあり実際には初期化されないことも多いようです。リネージュをインストールしたフォルダ内(通常はC:/Program Files/Lineage)にある lineage.cfg というファイルにアカウント名が記録されていますので、利用後は念のためlineage.cfgを削除しておきましょう。このファイルに記録されているのはアカウント名だけでパスワードは記録されませんが、アカウント名だけあっても、できれば他人には知られないよう気をつけるべきです。アカウント名だけでも知られてしまうと、パスワードクラックによってパスワードを破られる危険性が、格段に高くなるからです。
パスワードクラック
単純なIDやパスワードを利用している場合、パスワードクラックの被害に遭うことがあります。
MUというオンラインゲームでは、パスワードクラックにより2004年12月に1000人を超える規模の被害があったことが、MUの公式ニュースでアナウンスされています。MUのケースでは、公式サイトのユーザ登録ページを利用してパスワードクラックが行われたそうです。リネージュの公式サイトにもマイアカウントに、IDとパスワードを入力するページがありますから、同じクラックツールを利用して狙われる可能性が十分にあります。
もし、何もした覚えがないのに「認証キーのお知らせ」というメールがNCJから送られてきた場合、パスワードクラックによりパスワードが破られています。不正アクセスされる前に、大至急パスワードを変更ましょう。
他人にパスワードを変更されてしまった場合には、公式サイトのマイアカウントにある「パスワードを忘れた時」でパスワード変更しましょう。きちんとメールの受け取れるメールアドレスが登録してあれば、オンラインで即時にパスワードを変更できます。
予防策としては、使用しているパスワードが次のいずれかに該当する場合、至急パスワードを変更しておきましょう。
- アカウント名と同じ。
- 英文字のみ、あるいは数字のみ。
- 辞書に載っているような単語(英単語や日本語のローマ字表記含む)、アイドルやアニメキャラクターの名前。
- 7文字以下。
変更後のパスワードには、もちろん安全なパスワードをつけてください。