最近「遠隔操作ウイルス」なんてのが話題になって、そこから警察の誤認逮捕が取りざたされたり犯行声明と思われる文書がTBSと弁護士に送りつけられたりと、なんだかスゴイ展開になってますね。
んで、少し前に警察庁のサイトに掲載された「遠隔操作ウイルスの被害に遭わないために!」という注意喚起文がこれまたスゴイと一部で話題になってたりして。
警察庁は12日、「遠隔操作ウイルスの被害に遭わないために!」と題したメッセージをサイト上に掲載した。国民に対する注意喚起となっており、内容は以下の通り。
つまり何がスゴイかっていうと、一番被害に遭いそうな人への注意喚起になってないってところですね。「あやしいサイト」「信頼のおけないプログラム」が判別できないから被害に遭うワケでして。「ファイアウォールってなに?」という人も多いでしょうし。遠隔操作ウイルスは新種だったんでOSやアンチウイルスを最新にしてあっても防げなかった、なんてニュース記事もありましたねぇ。
さらには、犯行声明によるとウイルスだけでなくクロスサイトリクエストフォージェリ(CSRF)も用いたと言ってますね。私も詳しいコトは知らんですが、罠が仕掛けられたWEBページやHTMLメールを開いただけでアヒョーってなっちゃう仕掛けらしいです。怖いですね。
こーなってくると、WEBにあんま詳しくないレベルの人も含めて注意喚起するとしたら、「WEB上のリンクは信用するな、アドレス帳に登録してある人や身に覚えのあるところ以外からのメールは開くな」という話になるんだろうなぁと。
まずWEBページのリンクなんてのは信用しないのが基本で、信用できる理由があるときだけクリックする。一番クリックしちゃいけないのは不特定多数が書き込めるページのリンク。2chに貼られたリンクなんてのはその代表だし、信用できるブログであってもそのコメント欄に貼られたリンクは信用しない。WEBなんてブラックリスト的な考えよりホワイトリスト的な考え方するべき。基本みんな真っ黒で、その中から信用できるところだけクリック、みたいな。
じゃあどんなリンクなら信用できるかっていうと、まずそのWEBサイト自体が有名あるいは昔から知っているところで、かつ限られた権限を持つ人間しか書き込めないであろうスペースにあるリンク。これも完璧じゃ無いっちゃ無いんですが、少なくとも警察に誤認逮捕される可能性はガクンと減ると思います。天文学的な確率くらいには。
じゃあ検索エンジンのリンクはどうなるんだって話にもなっちゃうワケですが、これはまぁそこそこ信用してもいいのかなと。Googleとかだってそういう攻撃サイトや偽装サイトの存在には常に目を光らせてアルゴリズムを更新しているハズだし、実際攻撃サイトやウイルス配布サイトを仕込むとしたら証拠を残さないためにパッと公開して掲示板とかで晒して適当に踏まれたらパッと消しちゃうんじゃないかな、と。なので検索エンジンにインデックスされる可能性は低そうな気が。
注意すべきは、検索エンジン経由でたまたま訪れた初見サイトの中にあるリンク。なので、たまたまなにかのキーワードでググったらこのブログにたどり着いたって方は、このブログ内のリンクを迂闊に信用すべきじゃありません。例えモロ見え画像公開中とかってリンクがあってもホイホイクリックすべきじゃありません。
まー「なんでこっちがそんなに気を使わなくちゃならんのじゃ、警察が誤認逮捕とかしなけりゃ済む話やろが」って説もあるんですが、しかし警察庁が上記のような注意喚起文を公開しちゃったりしているところからも推して知るべしっていうか、でも警察が「誤認逮捕の反省を踏まえ今後一切被疑者の逮捕をしません(キリッ」とか言い出しても困るワケなので、やはりユーザーサイドの自衛というかリテラシーも必要になってくるのだと思います。
しかしそうは言っても寒い日は一人部屋に籠もり癒やしを求めてあやしいサイトのリンクをクリッククリックしてしまう夜もあるワケで、そういった主に男の習性も含めて考えると極めて困難な問題と言わざるを得ませんねまったくもう。
