目次:
Webサイトは、ブラウザやブラウザプラグインのセキュリティホールを使用して、これらのサンドボックスからエスケープすることができます。悪意のあるWebサイトは、ソーシャルエンジニアリングの手法を使ってあなたを騙そうとします。
安全でないブラウザプラグイン
ブラウザーを介して侵害されたほとんどの人は、ブラウザーのプラグインを通じて侵害されます。 OracleのJavaは、最も危険で最も危険な原因です。アップルとFacebookは最近、悪質なJavaアプレットを含むWebサイトにアクセスしたため、社内のコンピューターが侵害された。彼らのJavaプラグインは完全に最新であった可能性があります。最新バージョンのJavaには未パッチのセキュリティ脆弱性がまだ残っているため、問題ではありません。
あなた自身を守るためには、Javaを完全にアンインストールする必要があります。 MinecraftのようなデスクトップアプリケーションでJavaが必要なのでできない場合は、少なくともJavaブラウザプラグインを無効にして自分自身を保護する必要があります。
他のブラウザプラグイン、特にAdobeのFlash PlayerとPDFリーダーのプラグインでは、定期的にセキュリティ上の脆弱性を修正する必要があります。アドビは、これらの問題に対応してプラグインを修正する上で、Oracleよりも優れていますが、新しいFlashの脆弱性が悪用されていることはよく聞きました。
プラグインはジューシーなターゲットです。プラグインの脆弱性は、すべての異なるオペレーティングシステムでプラグインを使用して、すべての異なるブラウザで悪用される可能性があります。 Flashプラグインの脆弱性を利用して、Windows、Linux、またはMacで動作するChrome、Firefox、またはInternet Explorerを利用することができます。
プラグインの脆弱性から身を守るために、以下の手順に従ってください:
- 古いプラグインがあるかどうかを確認するには、FirefoxのプラグインチェックのようなWebサイトを使用してください。 (このウェブサイトはMozillaによって作成されましたが、Chromeやその他のブラウザでも動作します)。
- 期限切れのプラグインを直ちに更新してください。インストールした各プラグインに対して自動更新が有効になっていることを確認して更新してください。
- あなたが使用しないプラグインをアンインストールします。 Javaプラグインを使用しない場合は、インストールしないでください。これにより、コンピュータが悪用される可能性のあるソフトウェアの量である「攻撃面」を減らすことができます。
- ChromeまたはFirefoxのClick-to-Playプラグイン機能を使用することをお勧めします。これは、特にリクエストした場合を除いてプラグインが実行されないようにします。
- お使いのコンピュータでウイルス対策を使用していることを確認してください。これは、攻撃者があなたのマシンに悪質なソフトウェアをインストールすることを可能にする、プラグインの "ゼロデイ"脆弱性(パッチされていない新しい脆弱性)に対する最終防衛線です。
ブラウザのセキュリティホール
Webブラウザ自体のセキュリティ脆弱性により、悪意のあるWebサイトがコンピュータを侵害する可能性もあります。 Webブラウザは主にプラグインの行為やセキュリティ上の脆弱性を浄化しており、現在のところ妥協の主な原因です。
ただし、ブラウザを最新の状態に保つ必要があります。古いバージョンのInternet Explorer 6を使用していて、評判の悪いWebサイトにアクセスした場合、Webサイトはブラウザのセキュリティ上の脆弱性を悪用して、不正なソフトウェアをインストールする可能性があります。
ブラウザのセキュリティ上の脆弱性から身を守ることは簡単です。
- Webブラウザを更新したままにしておきます。主要なブラウザのすべてが自動的に更新を確認するようになりました。保護された状態を維持するには、自動更新機能を有効のままにしてください。 (Internet ExplorerはWindows Updateを通じて更新されます.Internet Explorerを使用している場合は、Windowsの最新情報を常に最新の状態に保つことが重要です)。
- コンピュータ上でウイルス対策を実行していることを確認します。プラグインと同じように、マルウェアをコンピュータに侵入させるブラウザのゼロデイ脆弱性に対する防御の最終行です。
社会工学のトリック
悪意のあるWebページは、マルウェアをダウンロードして実行することを騙そうとします。彼らはしばしば "ソーシャルエンジニアリング"を使用してこれを行います。つまり、ブラウザやプラグイン自体を妥協することではなく、誤った口実の下でそれらを許可するようにシステムを妥協することを試みます。
このタイプの妥協は、あなたのウェブブラウザだけに限られているわけではありません。悪意のある電子メールメッセージは、安全でない添付ファイルを開く、または安全でないファイルをダウンロードすることを騙そうとします。しかし、多くの人々が、アドウェアや不快なブラウザツールバーから、ブラウザで行われる社会工学的なトリックを介して、ウイルスやトロイの木馬に感染しています。
- ActiveXコントロール :Internet Explorerは、ブラウザプラグインにActiveXコントロールを使用します。 ActiveXコントロールをダウンロードするように指示するウェブサイトがあります。これは正当な可能性があります。たとえば、Flashビデオを初めてオンラインで再生するときに、Flash Player ActiveXコントロールをダウンロードする必要があるかもしれません。ただし、ActiveXコントロールはシステム上の他のソフトウェアと同様で、Webブラウザを離れて残りのシステムにアクセスする権限を持っています。危険なActiveXコントロールを押す悪意のあるWebサイトでは、一部のコンテンツにアクセスするためにコントロールが必要だと言われるかもしれませんが、実際にコンピュータに感染する可能性があります。疑わしいときは、ActiveXコントロールを実行することに同意しないでください。
- ファイルの自動ダウンロード 悪意のあるWebサイトは、EXEファイルや別の種類の危険なファイルを、実行することを期待してコンピュータに自動的にダウンロードしようとします。特にダウンロードを要求せず、そのファイルが何であるかわからない場合は、自動的にポップアップするファイルをダウンロードして、どこに保存するかを尋ねます。
- 偽のダウンロードリンク :広告ネットワークが悪いウェブサイトや海賊版コンテンツが見つかったウェブサイトでは、しばしばダウンロードボタンを模倣した広告が表示されます。これらの広告は、実際のダウンロードリンクになりすまして、探していないものを人々にダウンロードさせようとします。これにはマルウェアが含まれているなどのリンクがあります。
- "このビデオを見るにはプラグインが必要です" :ビデオを再生するために新しいブラウザプラグインまたはコーデックをインストールする必要があるというWebサイトを見つけた場合は、注意してください。たとえば、Netflixでビデオを再生するためにMicrosoftのSilverlightプラグインが必要な場合など、新しいブラウザプラグインが必要な場合がありますが、再生できるようにEXEファイルをダウンロードして実行することを望んでいる評判の悪いWebサイト彼らのビデオには、あなたのコンピュータに悪意のあるソフトウェアを感染させる可能性があります。
- 「あなたのコンピュータが感染している」 :コンピュータが感染しているとの広告が表示され、EXEファイルをダウンロードして駆除する必要があると主張している場合があります。このEXEファイルをダウンロードして実行すると、コンピュータがおそらく感染します。
これは包括的なリストではありません。悪意のある人々は常に人々を欺くための新しい方法を模索しています。
いつものように、アンチウィルスを実行すると、誤って悪質なプログラムをダウンロードした場合、あなたを守ることができます。
これは、平均的なコンピュータユーザー(さらにFacebookやAppleの従業員)がブラウザを介してコンピュータを "ハッキング"させる方法です。知識は力であり、この情報はあなた自身をオンラインで保護するのに役立ちます。
