スパイウェアにやられた

いやはや参った。
ネットサーフィンをしていて動画を見ようとクリックしたら異様な警告画面が現れ、あっという間にパソコンの動きがおかしくなった。
ウイルスと違って、メールを通じて他者のパソコンにまで感染が広がらないのだけマシだったとも言われているが、それでもパソコン内部に蓄積された個人情報が流出するのではないかと気が気でなかった。
もちろん、Nortonのantivirusで駆除を試みるが、全く歯が立たず、Spybot-S&Dというスパイウェア駆除ツールも効き目なし・・・

いやはや困ったと思っていたら、ご丁寧にも英語のメッセージが出て、○○をクリックして、アンチスパイウェアのソフトをダウンロードしろというダイアログボックスが現れる。
英語が全く理解できなければ問題ないのだが、簡単な英文だから私にも理解できる。
藁にもすがる思いで、それをクリックするともっともらしいウェブサイトに繋がる。
ところがこれが罠なのだ。

あるサイトはファイルをダウンロードしようとするだけで、Nortonが即座に反応し、ダウンロードを遮断、別のサイトは無事にファイルをダウンロードでき、インストールが完了し、駆除ツールが作動すると、ライセンスを取得せよ、というメッセージが出る。
それに従って、進むとクレジットカード番号を入れるところが出てくる。
ここがキーロガー(key logger)になっているのだ。
よく文面を読むと、ライセンスを取得するのに、なぜ商品が発送(shipping)されてくるのか、価格が全く違うのはなぜか、という疑問を感じるのだが、あせっていると思わず進みたくなるような画面構成になっているのだ。
さすがに、購入(purchase)のボタンを押す前に気づいたが後の祭り。
そこで入力したクレジットカードは、見に覚えのない請求がカード会社のウェブ明細に現れた瞬間に解約しなければならないハメになった。

もちろん、パソコンはショップのPC-Dockに持ち込み、時間をかけてスパイウェアを駆除してもらうことにした。
自分でやるなら最初からリカバリーするしかないかもしれないからね。
ウェブサイトを見るともっと悪質なスパイウェアがあるようで、私のところにきたものはそれらに比べればマシだったのかもしれないが、皆様くれぐれもご注意を・・・

EM・ONEαでモバイル海外投資

EM・ONEαでモバイル海外投資！
過日、ヨドバシカメラで新しいモバイル端末を探していたら、外見はPDAだが、ディスプレイに映し出される画面や通信速度はまさにパソコンと同じようなものが見つかった。
価格は95,000円のものが2年契約＋今月末までのキャンペーン価格で29,800円。
毎月の通信費が6,000円というのが痛いが、無線LANによる通信速度の速さを考えれば許せるのではなかろうか。（EMモバイルブロードバンドサービスエリア）
何より気に入ったのは、これが自宅のパソコンが故障したときに、十分予備端末として使えるものだったからだ。

ところで、私もそうであるが、海外の金融機関に口座を開いて投資している人の中にはモバイル端末（携帯電話やPDA）から投資ができればいいと思ったことがあるだろう。
自宅でリアルタイムに取引できる人はいいが、私のようなサラリーマンは特に日中に市場が開いている国、例えば香港の金融機関へのアクセスに大きな制約がある。
特にHSBC香港での株の売買は、時間外取引は指値(Limit Order)しかできない。
普通株の場合はそれでも問題ないが、短期勝負のワラントはそれだと機動性がない。
運良く日本の12:00-13:00は香港市場（Morning Session 10:00-12:30 Afternoon Session 14:30-16:00で日本時間は+1時間）の前場が開いているときだから、市場動向を見ながら成り行き注文(Market Order)を入れられるのだが、そうするためには、自分のパソコンを持って会社に行くか、会社のパソコンからこっそりアクセスするしかない。
前者は仕事柄自分のパソコンを持ってビジネスをしている人は別として、はっきり言って面倒くさい。
後者は昨今の会社のセキュリティの強化も相まって、下手をすれば査定に響き、場合によってはクビになる。

そこで、3年前に買ったシャープのZaurus SL-C3000でHSBC香港とTD Ameritradeにアクセスを試みると、ログインすらできない。
入っているブラウザ(NetFront 3.1)がそれぞれのsystem requirements（動作環境）を満たしていなかったためだ。
まあ、それほど頻繁に取引するわけではないし・・・と思ってヨドバシカメラのフロアをうろうろしていると、このEM・ONEαがあったというわけだ。
29,800円というのが、3年前にZaurusを買ったときに比べて半額以下だったので、何の気なしに見ていると、売り場のお姉さんが近づいてきた。
そこで、インターネットだけやらせてもらったら、懸案のHSBC香港とTD Ameritradeの口座にも難なくログインできるではないか。
もちろん、即断即決で買ってしまったのは言うまでもない。

ところで、これで海外口座にアクセスするときには注意がいる。
EM・ONEαにはブラウザが2種類入っているが、それをOpera Browserに標準設定することと、ディスプレイメニューを「PCモード」にすることの2点だ。
そうしないとパソコン画面とは違ったものになってトレードメニューが展開しない。
それだけ注意すればＯＫだ。

ちなみに、先月23日の「今日の一言」で書いたレーシック手術後の問題点、「視力が安定するまでは一種の老眼現象が出る」といったことは幸いにも徐々に改善傾向にある。
そうでなければ、新しいモバイル端末を買おうなんて全く考えなかっただろう。
正月休み明けまでは携帯メール見るのさえ苦痛だったし、いちいち老眼鏡をかけてまで外出先でパソコンをいじろうとは思わないしね（笑）
まあ、これについては別の機会にレポートしようかと思うので、今日のところはそういうことで・・・

英語掲示板閉鎖

私の友人のはなまち氏が2007年1月18日に英語練習掲示板なるものを立ち上げて早2ヶ月、来訪者に英語がスラスラ読み書きできる方が数人いるようでなかなか盛況である。
一方、私も自らの英語の勉強と海外旅行先でご一緒した外国人との交流がいっそう深まれば（開設当時は日韓ワールドカップの年でもあった）という感じで2002年4月に英語版の掲示板を立ち上げてみたものの、相手からはせいぜいメールが来る程度だった。
本当に偶然に来てくれた人もいたが、多くは検索エンジンを通してやってきた観光業者の宣伝、考えてみれば、私だって相手のウェブサイトを紹介されて、そこの掲示板に書きに行くかと思えば、まあ、こんな程度のものであったかとも思う。

その掲示板であるが、ニフティが提供していたマルチタイプのメッセージボードが管理画面は日本語、訪問者投稿画面は日英のバイリンガル対応となっていたので、非常に管理がしやすかったので使っていたのだ。
それが今年の7月末でサービスを打ち切るので、新しいタイプのものを使って欲しいとのこと。
今までの投稿データも移行できるとのことだが、英語環境のものはないという返事だった。
おそらく需要が少なかったのであろう。
はなまち氏は日本語掲示板のCGIプログラムの部分の一部を英語に直して使っているようだが、スパム投稿に悩まされているようだし、私はそこまで苦労して英語版を設置するつもりもない。
ここ数日、ネットサーフィンをしながらプロバイダーが提供している既製の無料掲示板(Free Message Board)を探してみたものの、やはりスパム対策が厄介なようだ。
とりあえず、これもいい経験だったと思って一旦、英語掲示板は閉鎖することにした。
まあ、5年間の過去ログはダウンロードできたので、それを弊サイトにarchiveとして保存することにした。
すべては思い出の彼方というわけだ。

訪問者が自薦サイトを貼れるリンクのページ

弊サイトのトップページの上部には「訪問者が自薦サイトを貼れるリンクのページ」へのボタンが設置してある。
ここは今から約4年前にbenricgi.comさんが提供していた既成の訪問者ウェブサイト登録システム（自動リンク集）を使っていて、そこそこ利用してくれていたのだが、今年の夏になって「ページを表示できません　検索中のページは現在、利用できません。Webサイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。」のアクセス不能メッセージが出るようになった。
自分で設置しておいて何だが、ここはあまり重視していなかったので、次は大丈夫だろう、くらいにしか思わなかった。
もしかするとメールで何かメッセージが来ていたのかもしれないが、毎日100件を超えるスパムメールに埋もれて間違って消してしまったのかもしれなかった。

そして、アクセス不能が毎日続いたとき、私はあせった。
サーバーが移転したのかと思って、検索エンジンにかけたが、出てこない。
当たり前だ。
いくら無料といえども顧客は私だけではない。
事実、以前にサーバーが移転したときはブックマークを変更してくれ、というメッセージがあったのだから。
これは、管理者がいなくなってしまったのだな、と思った。

今でこそ、Yahoo!ブックマークのページに自分のパソコンに登録した「お気に入り」をアップロード（インポート）できるが、私はそちらはほとんど何も使っていなかったのだ。
あまりにパソコンに登録したブックマークの数が多く、ほとんど使わないものは探すのが面倒なので自動リンク集に入れて放っておいたからだ。
実際に訪問者が登録してくれたウェブサイトを含め、約150件のデータベースがパーになってしまった。

そこで今度はKent WebさんのCosmo Navigatorというデータ収集加工のCGIプログラムを使わせてもらうことにした。
4年前にはそんなことを考えもしなかったのだが、最近では既成のCGIを使ってページを作ることは苦ではなくなったのだ。
また一からやり直しというハメにはなったが、やはり人任せはリスクがあるということを身に染みて感じた今日このごろである。

*********************************************************
＜お詫び＞

かつて弊サイトの訪問者ウェブサイト登録システム（自動リンク集）をご利用いただいた方には大変申し訳ありませんが、貴ウェブサイトの登録データはすべてなくなってしまいました。
訪問者が自薦サイトを貼れるリンクのページを設置し直しましたので、またのご登録をいただければ幸いに存じます。
*********************************************************

新手のフィッシング詐欺

今朝のITmedia Newsで、電話を使った新手のフィッシング詐欺が報告されていた。
セキュリティ企業のソフォス(Sophos)によると、偽のE-mailで指定された電話番号にかけると、あたかも本人確認のための自動音声システムが如き装ったフィッシング・システムに自分のクレジットカード番号を入力するように誘導されるとのこと。

ようやく旧来型のフィッシングメール対策が消費者側に浸透した頃には新手の手口が出てくるといったまさにイタチゴッコの様相を呈している。
この自動電話システムを使ったフィッシング詐欺への対策はただ１つ、これは極めてオーソドックスな原則とも言えるもので、インターネットが普及する以前から言われていることだ。

自分の意思に関わりなく相手側から積極的にクレジットカード番号や暗証番号を聞いてくるときは詐欺である。

要するに、クレジットカード番号をウェブサイトに入力する際は、自分が何かウェブサイト上で買い物をするという能動的な行為があって、その後で相手から決済方法としての入力を求められるはずである。
従って、この原則に該当しなければ、詐欺である可能性は非常に高いと言えるだろう。
まして正規の業者を相手に電話の自動応答サービスで入力を求められることは今のところないはずだ。
そして、従来型のフィッシングメール対策でも言われていることだが、自分が暗証番号やクレジットカード番号を登録しているウェブサイトは必ずブックマークをして、そこからアクセスした後に、カスタマーサービスに電話をかけ、あるいはE-mailで真偽を確認することだ。

今のところ電話を使ったフィッシング詐欺は、オンライン決済サービスのPayPalで報告されているだけらしいが、アメリカで生まれた詐欺の手法が日本で広まるのも時間の問題だろう。
特に、アマゾンや楽天などのオンラインショッピングサイトを愛用している人は注意が必要かもしれない。

最後に私が肝に銘じていることを紹介しよう。

現物を売買すること以外のサービスとは、自分に代わって自分のために仕事をしてくれることである。
当然、それに対しては直接間接を問わず対価が発生するものであり、その原則に当てはまらないものは、自分に対する好意である場合を除いて、ほとんどの場合は詐欺である。

関連サイト

・電話でクレジットカード番号盗む新手のフィッシング (2006.7.8)
・電話番号も信頼できない？新たなフィッシングの手口 (2006.5.1)

ウェブサイト管理者のためのスパムメール対策

私のサイトは元々ウェブサイト公開用ということで作ったアドレスを使って、いわゆる「お問い合わせ用」としている。
そういうことだからスパムメールは来るのが承知の上でサイト上にもリンクを貼った。
最初はそれほどでもなかったのだが、おかげさまで今ではアクセス数も50,000に迫ろうかという勢いになり、それに伴いスパムメールも増加の一途を辿っている。
わずか2～3日旅行に出て、メールボックスを放ったらかしにしておくと、まとまなメールまで消しかねない勢いで削除しないと追いつかない。

ところが先刻、サーバーの管理者のシーサイドネットからメールが届き、サービス強化ということでウェブメール機能が付加されることになるというお知らせを受けた。
元々無料のメールアドレスはシーサイドネットから付加されていたのだが、かつて、ウェブメール機能のないアドレスへの着信が、ウイルス付きスパムメールが原因でメールボックスからダウンロードができなくなり、プロバイダの推奨する無料メーラーを入れろと言われ、アドレスを解約した記憶があったので、ウェブ上で不要なメールを削除できないプロバイダのアドレスは利用を慎重にしていたのだ。
つまり、私は年明けには連絡用のアドレスを新しいものに移行し、今の連絡用のアドレスは捨てアドレスにしようかと思っているのだ。

しかし、ウェブメール機能があっても何も防御をしないで新しいアドレスに移行しても何の意味もないので、いろいろ探してみた。
商用サイトなどはフォームメール（CGIプログラム）を使っているところが多いし、個人サイトだとアットマークを全角にしたり、ほかの表記（アットマークとかat markなど）にしている人もいる。
迷惑メール対策のブログやサイトを見ると、メールアドレスをロゴ化（画像）にして読ませないというものもあった。
いずれにしろ完全に有効なスパム対策ではないが、何も対策を取らないよりマシだろうという管理者サイドの気持ちの表れだと思う。
ちなみに、女性が管理者と思えるサイトはメールアドレスを最初から載せない、というところもあった。
これだと自分の過失で別ルートから漏れない限り、ほぼ完全なスパム対策となるが、掲示板やブログを設置していなければ、新しい交流の目を自ら摘む可能性もあるだろう。

私の場合、フォームメール（CGIプログラム）の設置をするほど需要があるわけではないし、かといって少ないとはいえ、サイトの感想やリンク依頼のメールを送ってくる人がいる以上、そういった人の利便性も損ないたくない。
そこでスパム対策としては一番不完全そうだが、まともな訪問者に不便さを感じさせないのが、HTMLのエンティティ化によるスパム防止策（Email Address Encoderを使うこと）である。
ホームページに公開するメールアドレスなどを広告業者に収集されるのを防止するためのソフトウエアで、ウェブサイトに埋め込むアドレスを、私の今の公開アドレスであれば、エンティティコード変換(encoding)して

aba58140@nyc.odn.ne.jp

という一見無意味な文字列に変えて、スパム業者(spammer)のメール収集ソフト(spider)に拾われないようにするものだ。
これを使って、「ウェブサイトに関する感想やご意見はこちらまでお願いします。」と書いてみよう。
見た目は普通の文章だし、アドレス部分をクリックすれば、貴方のメールソフトは正常に動くはずだ。
ところが、スパイダーと言われる検索プログラムは、HTMLテキストを読むので、メールアドレスの部分が無意味な記号の羅列を読むことになる。
ちなみに視覚障害者用の読み上げソフトも同じなので、そのあたりは別の配慮が必要になるだろう。
あと、上記の例は、「こちら」というものを使ったが、このようにメールアドレス(aba58140@nyc.odn.ne.jp)をダイレクトに表記する場合は、後でHTMLテキストを直接編集し直さないと、要は、aba以下の部分をaba5以下に置き換えないと何の意味もなくなるので注意が必要だ。
ちなみにHTMLテキストを置き換えても見た目は変わらないので検証してみよう。

しかし、これには最大の欠点がある。
それは訪問者がメール収集ソフト(spider)でなく、業者そのものだった場合は、簡単に収集されて流されてしまうということだ。
ただ費用対効果の点でそんなことをしている奴は少ないだろうと思うしかないだろう。
あと、これはHTMLエンティティ化のプログラムを使うということだ。
もうおわかりだろう。
逆をやられれば何の意味もないということだ。
当然、そういうプログラムもあることだろう。
スパム業者がそれを使うかどうかの問題でしかない。
まあ、何をやっても気休めにしかならないかもしれないね。
一番いいのは・・・「メールアドレスを最初から載せない」ってか。

*********************************************************
後日、弊サイトの掲示板に「かじ」さんから「HTMLエンティティ化のプログラムはウェブサイト開設1年経過後も効を奏しているとの投稿をもらった。
スパムメールに悩んでいるウェブサイト管理者には朗報とも言えるだろう。
ただ、くれぐれも現在のメールアドレスを変更した後でやることと、画像などにリンクするのでなく、直接メールアドレスを記述したものをリンクするときは、HTMLソースをチェックして、そこも変更をかけることの2点を注意しよう。
********************************************************

フィッシング詐欺にご用心

今日の読売新聞で偽ヤフーのサイトを作ってフィッシング(Phishing)の詐欺を行なっていた会社員が逮捕されたという記事（PDFファイル）があった。
また、6月10日にはIT Pro Securityのサイトで「フィッシングの標的になる前に、国内ユーザーは意識を高めるべき」という記事もあり、この件について取り上げてみようと思った。

2004年12月23日の「今日の一言」でも書いたように、フィッシング(Phishing)の詐欺に限らず、ネット上の犯罪に対して絶対的な防止策はないのだ。
また繰り返すが、基本的事項として、メールで貼り付けられているリンク先から直接個人情報を入力させるものは、すべて詐欺と思って構わないということに尽きるだろう。
特に、自分自身がサイト上で登録したアドレス以外に着信するメールは完全に詐欺である。

要は、オンライン取引の場合はトップページからアクセスして、セキュアーサイトに入るという警告のダイアログボックスが開き、そこから先に進んで初めて口座番号やパスワードを入力することになっているのだから、正規のメールなら、いきなりURLの表示があるのではなく、トップページへ誘導し、そこからの指示(direction)が示されているはずだ。

このことから自衛策は

・オンライン取引を行なうためのメールアドレスは、友人たちとの通信などで使うアドレスとは違うもので、かつ、それは有料プロバイダで取得したものであること。理由は、無料プロバイダは契約した時点で第三者へ流れるものであり、スパム業者へ流れる危険性も高いからである。

・IDやパスワードを入力するようなサイトは自分自身のパソコンの「お気に入り」に登録すること。よく使うサイトはトップページのURLを暗記して、ダイレクトに打ち込むことができるのが望ましい。

・著名な企業のサイトは「企業名＋co.jp（ドメイン）」が基本なので、もし、メールで送られてきたURLにアクセスしても慌てずに、バックスペースでURLの一部を消し、トップページに戻してアクセスし直す。

・セキュアーサイトのURLは https:// から始まることを認識する。

IT Pro Securityの記事にもあるが、セキュアブレインの山村元昭チーフテクノロジーオフィサーによれば、日本の被害が少ないのは、「（フィッシングをやる）組織が日本の実情や日本語を知らないため」ということだが、実情を知れば、集中的に狙われる可能性があるという。
犯罪と、殺伐とした拝金主義だけアメリカナイズされる日本、私が書いたように「IT社会で一番便利になったのは詐欺師」かもしれないのだ。
詐欺師が一番好きなのは、「一から十までくん」、いわゆる何でも手取り足取りやってもらわないと気がすまない、それがサービスだろ！と言っているタイプの人間か、面倒くさがり屋なのだ。
つまり、「そういう方がいるから我々は飯が食えるのです」と言うのは旅行会社の添乗員だけではないことを覚えておいた方がいいだろう。