■夏の夕暮れとセキュリティ
夏の夕方は大好きだ。心地よい風が吹いたりするとなお良い。夕焼けが西の空いっぱいに広がっていたりすると、もっと良い。しかし、夏も終わりに近づくと、夏の夕方も少しヒンヤリして、寂しさを伴ってくる。サザンのバラードなんてBGMにかかっちまうと、そりゃあもう、寂しさひとしおだな。閑話休題。

前回の「メールは覗かれる」というテーマは意外と反響が大きかったぞ。元々、一般のメールは、現実社会のハガキのようなもの。たくさんやりとりされているから、いちいち他人宛のハガキを読んでいるヒマはないけれど、読む気になれば簡単に読まれてしまうという話。だから実際に覗いているヤツが身近にいるか否かは別にして、そういう恐れがあることは自覚しておく必要があるのだ。

現実の社会では「玄関のドアに鍵をかける」「知らない人が出入りする部屋には大切なものを置きっぱなしにしない」「見知らぬ人には住所や名前をむやみに教えない」「町中でクレジットカード番号を大声で言わない」・・そんなことはどれも普段の常識として身に付けている。だけども、インターネットではどうだろうか? パソコンと向き合い、キーボードで情報を入力しているせいか、ひとりだけの、安全でプライベートな世界のように錯覚してしまう。セキュリティに関する普段の常識についていえば、インターネットも実社会とまったく同じだ。インターネットとの出入り口に鍵をかけ、盗られては困る情報を放置せず、プライベート情報はむやみに教えない・・・もちろんその心づもりはできている、という人も多いだろう。でも、インターネットは新しく不慣れな世界であること、実態や仕組みが目に見えにくいことなどの理由により、近づく危険に気が付かなかったり、知らず知らずのうちに危険地帯に入り込んでしまっているということが起こりうる、のである。

■自動受信設定をする前に!!
ディスプレイ画面の小さい窓からしか見えないインターネット・・その仕組みというのは実に解りづらい。毎日使っているメールですら、その仕組みを完全に理解するのは難しい。例えば、メールを使うにはユーザIDとパスワードが必要だ・・・そうだよね?・・・そう、思っている人も多い。しかし、パスワードを使うのは受信のときだけだ。
え? じゃあ、送信って誰にでもできちゃうの?
僕の名前で誰かがメールを送れちゃうの?
送れちゃうのよ。いわゆるメールのなりすまし。ヤバい話だよね。
しかし、そんなことをしたら社会が混乱するじゃない(笑)?
そうなんです。だからプロバイダや企業のシステム管理者は、なりすましを予防するための様々な予防策をとっている。ポピュラーなものに「受信を行ってから××分以内だけ送信を許可する」というもの。受信にはパスワードが必要だから、受信を行ってからまもなく送信されたメールは本人が出したメールだろうな、というわけ。世の中のメーラには送信するときに必ず受信をしてから送信するメーラがある。そういうメーラを使っている人は、そういう仕組みにすら気付いていないかも知れないが・・ま、とにかくこれで安心、誰かになりすまされる恐怖はなくなった。
ん? 本当にそうだろうか?

メールの自動巡回機能というのがある。常時接続の環境にはことさら利用されている機能だ。例えば、メーラが15分や30分に一回、定期的にメールサーバにアクセスし、メールが届いていたらパソコンまでダウンロードしてくる機能だ。しかし、このメールの自動巡回機能がプロバイダのセキュリティ対策を無にしてしまう。せっかく「受信を行ってから30分以内だけ送信を許可する」という仕組みになっているのに、メーラは必ず30分ごとに自動巡回するから、結局、なりすましの機会を与えることになってしまうわけだ。

プロバイダによっては、「同社のアクセスポイントからログインした人だけがメールの送信ができる」とか更に「ログインする時のユーザIDをメール送信時にチェックして本人であることの認証を行う」などのチェックを入れているところもあるので、利用しているプロバイダや企業のメールサーバが、なりすましのためにどのような制限を設けているかを調べておこうね。

インターネットマンが執筆した セキュリティの教科書　好評発売中 体系的に学ぶ インターネットセキュリティ 神崎洋治、西井美鷹著　 日経BPソフトプレス 1,890円。 ・ファイアーウォールのしくみ ・ウイルス、ワンクリック詐欺 ・プライベート画像や機密情報流出事件 などを体系的に解説、しくみや対策を初心者にも解るようにていねいに、かつ、詳しく解説。 >>詳細を見る 　NEW amazonで購入する

■起動してしまえばプライバシー情報や履歴は丸見え
「なりすまし」なんてしたら、すぐに逆探知されるから、やるヤツなんていないんじゃないの? という疑問を持つ人もいるだろう。半分は正しい。自分がロクに知識もないと自称するなら、真似事でもやらない方がよい。怒られる。
しかし、確信犯は自分の情報、すなわち痕跡を残さずになりすます。詳細は「第157回:ボクワ・スパム・メール・ナンテ・オクッテイナイ　の巻 〜ある日届いた苦情のメール〜」を読んでもらうと解るが、他人のサーバにとりついてメールを発信することもできるから、知識のあるストーカーに狙われると、つけ込まれてしまうのである。

インターネットにばかり気を取られていると、実は危険はもっと身近にもあることを前回も解説した。友人の笹川涼子さん(仮名)の実話を例にすると、残業でひとり残っている同僚が涼子さんのパソコンを夜な夜な起動し、中身を詮索していたという恐ろしい話がある。Windows98/Meの場合、起動時に表示されるログイン画面はセキュリティのためのものではなく、ユーザを切り替えるためのもの。すなわち、パスワードを入れているから安心と思っていると大笑い、覗き魔は高笑いだ。ログイン画面で「キャンセル」をクリックすればだれでも起動できる。
単行本を執筆してまで推奨しているWindows98/MeとWindows2000/XPを1台のパソコンで活用する方法も、この点においては諸刃の剣。いくらWindows2000/XP側でアクセス権を設けても、Windows98/Meで起動されてしまえば中身は見られる危険がある。

「Windows」フォルダの「Temporary Internet Files」フォルダ。ブラウザで徘徊し、表示したデータが蓄えられている。
容量の少し大きいファイルをクリックするとホームページがブラウザに表示される。

では、夜な夜な起動して詮索していた同僚、マイク心斎橋(仮名)氏は、いったい涼子さんの何を覗き見していたのだろうか?

マイク心斎橋(仮名)談
そんな怪しいことはしてないっスよ。メールを起動して、今日はどんな会話してまんのかなー、とか、会社が引けたらどこ行くのかなー、顔文字多いナーとか、見ますね。えぇ、見ますよ、そりゃあ。結構、いろんなこと書いてますねー、OLは。僕のこと「油すまし」ってあだ名付けているのを知ったときは、うれしくて背筋が冷たくなったスよー。

なんて怪しいんだ、マイク氏!! そんなこっちゃ、メールだけじゃないだろう?

マイク心斎橋(仮名)談
彼女はねー、会社からいろんなホームページにアクセスしてるんですよ。仕事と全然カンケーないページばっかね。ひどいでしょー。

おまえの知ったことか、マイク氏!! だいたいなんでそんなこと知ってるんだ?

マイク心斎橋(仮名)談
Internet Explorerの履歴を見てアクセスしたページを追跡するですよ。ワクワクですねー。くっだらないページばっかり俳諧してるんですよねー。でも、登録会員ページなどではプライバシー情報が満載で、読みがいがありますねー。

会員ページはパスワードでブロックされているだろー?

マイク心斎橋(仮名)談
「オートコンプリート」機能っていうんですか? ひと文字入れるだけでユーザIDは出てくるし、パスワードまで「******」で自動入力されるから、どこでも入っていけますわ。どうしても入れない場合は、「Windows」フォルダの「Temporary Internet Files」フォルダを覗くんですよ。そこには表示されたページがまんまセーブされているので、パスワードなんて知らなくても、じっくり検証できるス。

なにが検証だか。マイク心斎橋っ、いったい、そんなことをして何になるというんだ。人の行動を追跡する、しかも相手がOLなら、まんまサイバーストーカーじゃないかっ!! はぁはぁ。ちなみにサイバーストーカーとは、個人情報を詳細に調べていやがらせをしたり、情報を他人に漏らして、不快な思いをさせる輩をさす。

しかし、オートコンプリートは大変便利な機能だ。ログイン画面のホームページで、ユーザIDにひと文字入れただけで、過去に入れたIDがリスト表示され、選択すると自動的にパスワードが入ったりする。便利だ・・・だが、マイク心斎橋にとっても便利になってしまうのである。オートコンプリートは検索エンジンなどで探したキーワードなども記憶しているので、他人に見られる可能性がある場合は要注意だ。「美少女」とか「お菓子系」とかのキーワードで検索したことがある人は、オートコンプリートを削除して情報隠滅しておけよっ!! いや、そもそもWindows98/Meは危険なものだから、Windows XPに変えて貰うように会社に掛け合おう・・・ってそりゃあ、難しいよなぁ。

オートコンプリート機能。数字や文字を一文字入力すると、過去に入力したキーが自動表示される。複数ある場合は一覧表示され、選択するだけで良いので実に便利な機能だ。しかし、セキュリティ上は多少の難がある。上の例は銀行のサイトなので、オートコンプリートでは口座番号しか表示されないが、サイトによってはパスワードも自動入力されるページもある。

Windows98の画面。オートコンプリートは「インターネットオプション」の個人情報欄の「オートコンプリート」ボタンをクリックして設定を操作する。パソコンを他人に貸し出したり、逆に友人のパソコンや、大学やインターネットカフェのパソコンを使ったときはオートコンプリート履歴をクリアしたい。