パソコンの遠隔鋒作ってそんなに簡単にできるんですか?②トロイの木馬、CSRF、まとめ
※トロイの木馬とは
ここでは、最近の遠隔操作事件で使われた(と言われている)手口を見てみましょう。この事件ではいろいろな手口が組み合わせて使われましたが、私たちがふだんの生活でまず注意したいのがトロイの木馬です。
これらはウィルスと言われていて、それでも大きな間違いではありませんが、厳密に言うとウイルスは悪意のあるソフトウェア(マルウェア)の一カテゴリでしたよね。
トロイの木馬は、ウイルスとは別のカテゴリに属するマルウェアで、その特徴は有用なソフトウェアのふりをする(ふりだけでなく、実際に有用なソフトウェアの機能もちゃんと持っている)ことです。
それはゲームかもしれませんし、写真の加工ソフトかもしれません。動画を見せてくれるソフトのことだってあるでしょう。私たちはそうと気づかず、トロイの木馬をダウンロードして使ってしまいます。すると、有用なソフトの陰で、密かに別機能が動き出し、個人情報を漏洩したり、迷惑メールを送ったりという迷惑活動が始まります。
つまり、トロイの木馬はソフトウェアとして二重構造になっているわけです。もちろん、有名なトロイアの木馬の故事にちなんだ命名です。
ソフトウェアは通常、そのソフトウェアをインストールした人の権限で動作します(パソコンの場合です。スマートフォンなどでは、利用者の権限の方が制限されていることがあります)。クラッカーの視点で考えると、一度有用なソフトウェアだと信じさせ、インストールさせることができれば、パソコンの前に座っている利用者と同じだけのことを、自分の作ったトロイの木馬にさせることが可能です。
パソコンにおける利用者の権限は絶大です。個人のパソコンであれば(多くのケースでは、会社のパソコンだって)、重要情報の閲覧から、メール、メッセージの送受信、システム設定の変更、果てはソフトウェアのアンインストールまで、できないことはないと言えます。
トロイの木馬はこれらの宝の山を利用者と同じように使えるわけですから、掲示板に犯行予告を書き込むくらいのことは造作もありません。
※CSRFとは
では、知らないソフトウェアをインストールしなければ安全でしょうか?
1つ感染経路が減ることは確かです。感染の確率も下がるでしょう。しかし、ソフトウェアのダウンロードとインストールだけが感染の経路ではありません。
パソコン遠隔操作事件で使われた他の手口に、クロスサイト・リクエスト・フォージェリー(CSRF)があります。意味がわかりません。IT系の用語はしようもないものが多いですが、これは頂点の斜め上を行くくらい理解困難です。ジェリーって何だ、トムに追っかけられるのか。
実はCSRFは通信の乗っ取りの手口のひとつです。
会員制サイトなどは、ログインをして使います。ものを買うにしろ、恥ずかしい相談をするにしろ、勝手に人に買われたり、見られたりしたら大変ですから、ログインによって本人であることを確認するわけです。ログインの方法としては、ユーザーID&パスワード方式が主流でしたよね。さすがに、お金を動かすサービスや、プライベートなサービスを本人確認なしで提供するサイトは激減しました。
パスワード方式の欠点は、パスワードという知識を知っているか否かで本人かどうかを確認するため、非常に漏れやすい性質を持っていることでした。パスワードが陳腐なものであった場合、推測することも簡単です。
そこで、パスワードを複雑にしたり、使い捨てにしたりといった対策が考えられたわけです。ここには、パスワードは漏れやすいけど、バレなければ安全を維持できるという前提があります。
そのひとつがCSRFです。CSRFはログイン中であることを逆手にとって、通信を乗っ取ってしまいます。
※こまめにログアウト
ログインして使うサービスであれば、何にでも応用可能です。この攻撃の被害者になると、ログイン中のショッピングサイトで、意図しない買い物をさせられてしまうかもしれませんし、非公開にしている写真やプロフィールを全国公開されてしまうかもしれません。
正規の利用者がログインして可能なことは、そのログインを乗っ取るクラッカーにもすべて可能になってしまうのです。おそろしい攻撃方法です。
CSRFに対応するすべはあるでしょうか?
ログイン中であることを悪用した攻撃ですから、必要がなくなったらすぐにログアウトするのはいいアイデアです。クラッカーがどれだけ攻撃してきても、乗っ取るべきログイン中の通信がないのですから、攻撃は不発に終わります。これだけでも、CSRFの危険性を格段に減らすことができます。
他にも、書き込みや送金などの重要な作業を行う場合には、たとえログイン中であっても再度パスワード確認を行うなどの方法がありますが、これは利用者だけでどうにかなるものではなく、掲示板サイトやショッピングサイト側の対策が必要です。利用者にとってはちよっとめんどうなのですが、こうしたサイトが今後増えていくでしょう。
モノを買ったり情報を書き込んだりする手順がそのようになっているサイトを好んで使うというのも、利用者側の立派な対策の1つです。いずれにしろ、ログイン中は並行して余計な作業をせずに、さっさと仕事を終わらせてログアウトした方がよいでしょう。
※まとめ
・トロイの木馬は有用なソフトウエアのふりをするマルウェアです。
・アンドロイドのアプリ(トロイの木馬)で1000万件という個人情報が流出しました。
・パソコン遠隔操作事件で使われた手口の一つにクロスサイト・リクェスト・フォージェリー(CSRF)があります。
・CSRFによるパソコン乗っ取りを防ぐには、会員制サイトからこまめにログアウトすることが重要です。また、罠ホームページに誘導されそうな怪しいリンクをクリックしてはいけません。
何故、学習効果の高いマンツーマンスクールが少ないのか?
マンツーマンだとスクールの儲けが少ないから、英会話スクールはやりたがらないんです!
英会話スクールの仕組みとして、小さい金額でも6人とかのレッスンを
すれば、1度のマンツーマンレッスンの2倍以上の収益が出ます。
また、マンツーマンレッスンは先生一人を生徒に独り占めされてしまうため、その一人のレッスン料金が高くなり負担を負わせてしまう割に、スクールの儲けも少ないなど」、得が少ないのがシステムの現状です。
じゃあなんでマンツーマンの英会話スクールはあるの?
それでもマンツーマンレッスンを専門にしているスクールがあるのは、マンツーマンレッスン主体のスクールがビジネスではなく教育面を重視しているスクールだからといえます。
なおかつ、金額として格安でマンツーマンレッスンを行っているAtlasと7アクトは業界で一番ユーザーのことを考え、教育を重視しているのがよくわかります。
マンツーマン専門の英会話スクール口コミ一覧
- Atlasマンツーマン英会話
- アップルK
- 英会話ビギン
- ET NAVI
- イングリッシュビレッジ
- Eigo pass
- エイム
- Enjoy lesson
- GABA
- GLOBE
- ロゼッタストーンラーニングセンター(旧sala英会話)
- 7アクト
- Senseinavi.com
- Talkmete
- ネイティブ先生ドットコム
- ハッピー英会話
- ハロー先生ドットコム
- My-sensei.com
- ランゲージハウス札幌
- b私の英会話
- One UP マンツーマン英会話
口コミは、当サイトが集めた情報と、外部サイトに掲載されている情報をもとにデータを登録しております。