インターネットの登場により、Macを使うメリットは以前よりもはるかに大きくなりました。同時に、リスクも多少増加しました。しかし、基本的な予防策を講じれば、そうしたリスクを管理するのは難しくありません。
危険なダウンロード
脅威: Macを標的としたトロイの木馬の最も一般的な感染源は、インターネットからダウンロードされた海賊版ソフトウェアです。2009年には、攻撃者がApple iWork '09とAdobe Photoshopの違法コピーを公開し、すぐにファイル共有ネットワーク上で拡散しました。これらの海賊版プログラムをダウンロードしてインストールした際に感染したユーザーもいれば、友人から「無料」のコピーを入手してインストールした際に感染したユーザーもいます。
次に多い感染源は、様々な服装をした人物の写真や動画を閲覧するために、新しいQuickTimeプラグインや特別なアプリケーションのダウンロードを促すサイトです。最後に、無料ソフトウェア、特にギャンブルソフトやシンプルなゲームにトロイの木馬が仕込まれているケースも見られます。これらのトロイの木馬は、他のトロイの木馬と同様に、あまり人気のないサイトやオンラインフォーラムに出現する傾向があります。
できること:商用プログラムの無料コピーを探そうとしないでください。QuickTimeプラグインやビデオビューアは、その出所が正当であることを絶対的に確信できる場合を除き、無作為にダウンロードしないでください。ソフトウェアをダウンロードする際は、フォーラムやあまり知られていないソースは避けてください。プログラムについて疑問がある場合は、オンラインで簡単に検索し、より一般的なダウンロードサイトにも掲載されているかどうかを確認してください。
もう1つ役立つ点があります。Snow Leopardには、ファイル隔離機能の一部として基本的なトロイの木馬チェック機能が搭載されています。専用のウイルス対策ソリューションを導入すれば、より強力な保護を実現できます。しかし、悪意のあるMacソフトウェアに遭遇する確率は非常に低いため、特別なニーズがない限り、そのような投資はお勧めしません。(特別なニーズについては、「Macセキュリティ:ウイルス対策」をご覧ください。)
クロスサイトスクリプティング
脅威:クロスサイトスクリプティング(XSS)は難解に聞こえるかもしれません。しかし、これはウェブサイトにおける最も一般的な脆弱性です。XSS攻撃では、悪意のある人物が、ユーザーが信頼しているウェブサイトに密かにコードを追加します。そのコードはブラウザを騙し、通常は実行しないような動作をさせます。例えば、信頼すべきではないJavaScriptの実行、悪意のあるコードのダウンロード、アカウント設定の変更、ログイン情報の漏洩などです。この手法は、Facebook、Google、Microsoft、Yahooといった有名企業に対しても利用されています。
できることXSS対策は難しいですが、不可能ではありません。Firefoxをお使いの場合は、人気のNoScriptアドオンを使って、サイトごとに実行を許可するスクリプトを指定できます。(注意:NoScriptは非常に効果的ですが、同時に混乱を招くこともあります。毎日のブラウジングでどれほど多くのスクリプトに遭遇するか、驚くことでしょう。)より簡単な方法は、金融サイト用とそれ以外のブラウジング用にそれぞれ別のWebブラウザを使用することです。別のブラウザを使用することで、信頼できないサイトがクロスサイトスクリプティングを使って銀行口座や小売口座に侵入するリスクを軽減できます。(詳しくは、私の記事「Super Safe Surfing(安全で快適なサーフィン)」をご覧ください。)
脅威:犯罪者はソーシャルネットワーキングサイトを好みます。クロスプラットフォームで信頼関係に基づいており、セキュリティ上の欠陥が多々あるからです。友人リストを介して拡散するソーシャルネットワーキングワーム、スパムメールや偽広告の送信に利用される連絡先メールアドレスを盗む攻撃者、システムを乗っ取るためのブラウザ直接攻撃などが見受けられます。また、ソーシャルサイトにウィジェットやアプリケーションをインストールし始めると、実質的にブラウザ内で任意のプログラムがあなたの情報に完全にアクセスできるようになるのです。
できること:ソーシャルネットワーキングサイトに情報を投稿する際は、全世界に公開したくない情報は掲載しないでください。また、サイトにインストールを許可するアプリケーションについても慎重に検討してください。特にFacebookでは、アプリケーションがアクセスする情報を常に制御できるとは限りません。
サイトにシングルサイトブラウザ(SSB)を使用することも検討してみてください。Firefox用のPrismのようなツールを使えば、そのサイト専用のスタンドアロンブラウザを作成できます。こうすることで、潜在的な攻撃をSSB内に隔離できます。FirefoxにPrismアドオンをインストールし、対象のソーシャルネットワーキングサイトにアクセスして、「ツール」→「ウェブサイトをアプリケーションに変換」を選択するだけです。すると、そのサイト専用のブラウザがアプリケーションフォルダに保存されます。
ピアツーピア共有
脅威:ピアツーピア(P2P)ファイル共有は、大容量ファイルの配布やダウンロードに非常に効果的です。しかし、研究者たちはP2Pネットワーク上に大量の機密情報が存在していることを発見しています。例えば、公務員がP2Pソフトウェアを搭載した自宅のコンピュータに機密性の高い法律文書や政府文書を保存していたケースがあり、それらのファイルがP2Pネットワーク上で発見されました。私自身の調査でも、納税申告書からパスポートのスキャン画像まで、あらゆる情報が確認されています。
P2Pファイル共有自体が悪いわけではありません(レコード業界や映画業界がそう主張するかもしれませんが)。ただ、うっかり共有すべきでないものをうっかり共有してしまうことが非常に多いのです。
P2Pサービスを利用する場合は、Azureusなどの一般的なプログラムを使い、機密ファイルを含まないフォルダのみを共有するように設定してください。これらのプログラムの多くは、ダウンロード先として設定したディレクトリを自動的に共有するため、P2P専用のディレクトリを作成し、アプリケーションの設定を定期的に確認することをお勧めします。
