完璧な世界では、ブラウザを介してコンピュータが感染する方法はありません。ブラウザは、信頼できないサンドボックスでWebページを実行し、コンピュータの他の部分からWebページを分離することになっています。残念ながら、これは常に発生するとは限りません。
Webサイトは、ブラウザまたはブラウザプラグインのセキュリティホールを使用して、これらのサンドボックスを回避できます。悪意のあるWebサイトも、ソーシャルエンジニアリングの戦術を使用してあなたをだまそうとします。
安全でないブラウザプラグイン
ブラウザを介して侵害されたほとんどの人は、ブラウザのプラグインを介して侵害されています。 OracleのJavaは、最悪で最も危険な原因です。 AppleとFacebookは最近、悪意のあるJavaアプレットを含むWebサイトにアクセスしたため、内部コンピューターが侵害されました。彼らのJavaプラグインは完全に最新である可能性があります。最新バージョンのJavaにはまだパッチが適用されていないセキュリティの脆弱性が含まれているため、問題ではありません。
あなた自身を守るために、あなたはすべきです Javaを完全にアンインストールする 。 MinecraftのようなデスクトップアプリケーションにJavaが必要なためにできない場合は、少なくとも 身を守るためにJavaブラウザプラグインを無効にする 。
他のブラウザプラグイン、特にAdobeのFlashプレーヤーとPDFリーダーのプラグインも、セキュリティの脆弱性に定期的にパッチを適用する必要があります。 Adobeは、これらの問題への対応とプラグインへのパッチ適用においてOracleよりも優れていますが、新しいFlashの脆弱性が悪用されていると聞くのは今でも一般的です。
プラグインはジューシーなターゲットです。プラグインの脆弱性は、すべての異なるオペレーティングシステムのプラグインを使用して、すべての異なるブラウザで悪用される可能性があります。 Flashプラグインの脆弱性は、Windows、Linux、またはMacで実行されているChrome、Firefox、またはInternetExplorerを悪用するために使用される可能性があります。
プラグインの脆弱性から身を守るには、次の手順に従ってください。
- 次のようなWebサイトを使用します Firefoxプラグインチェック 古いプラグインがあるかどうかを確認します。 (このWebサイトはMozillaによって作成されましたが、Chromeやその他のブラウザーでも機能します。)
- 古いプラグインはすぐに更新してください。インストールしたプラグインごとに自動更新が有効になっていることを確認して、更新を維持します。
- 使用しないプラグインをアンインストールします。 Javaプラグインを使用しない場合は、インストールしないでください。これにより、「攻撃対象領域」(コンピューターが悪用できるソフトウェアの量)を減らすことができます。
- ChromeまたはFirefoxのClick-to-Playプラグイン機能の使用を検討してください。これにより、特に要求した場合を除き、プラグインが実行されなくなります。
- コンピューターでウイルス対策を使用していることを確認してください。これは、攻撃者が悪意のあるソフトウェアをマシンにインストールできるようにするプラグインの「ゼロデイ」脆弱性(パッチが適用されていない新しい脆弱性)に対する最後の防御線です。
ブラウザのセキュリティホール
Webブラウザ自体のセキュリティの脆弱性により、悪意のあるWebサイトがコンピュータを危険にさらす可能性もあります。 Webブラウザーはその動作を大幅にクリーンアップしており、プラグインのセキュリティの脆弱性が現在、侵害の主な原因となっています。
ただし、とにかくブラウザを最新の状態に保つ必要があります。パッチが適用されていない古いバージョンのInternetExplorer 6を使用していて、評判の悪いWebサイトにアクセスした場合、そのWebサイトはブラウザのセキュリティの脆弱性を悪用して、許可なく悪意のあるソフトウェアをインストールする可能性があります。
ブラウザのセキュリティの脆弱性から身を守るのは簡単です。
- Webブラウザを最新の状態に保ちます。すべての主要なブラウザが更新を自動的にチェックするようになりました。自動更新機能を有効のままにして、保護を維持します。 (InternetExplorerはWindowsUpdateを介して自動的に更新されます。InternetExplorerを使用している場合は、Windowsの更新を最新の状態に保つことが非常に重要です。)
- 実行していることを確認します アンチウイルス お使いのコンピュータで。プラグインと同様に、これは、マルウェアがコンピューターに侵入することを可能にするブラウザーのゼロデイ脆弱性に対する最後の防御線です。
ソーシャルエンジニアリングの秘訣
悪意のあるWebページは、マルウェアをダウンロードして実行するようにだまそうとします。彼らはしばしば「ソーシャルエンジニアリング」を使用してこれを行います。言い換えれば、ブラウザやプラグイン自体を危険にさらすことではなく、偽りのふりをしてシステムを危険にさらそうとします。
この種の侵害は、Webブラウザだけに限定されるものではありません。悪意のある電子メールメッセージが、安全でない添付ファイルを開いたり、安全でないファイルをダウンロードしたりするように仕向ける可能性もあります。ただし、多くの人は、アドウェアや不快なブラウザツールバーから、ブラウザで行われるソーシャルエンジニアリングのトリックを介してウイルスやトロイの木馬に至るまで、あらゆるものに感染しています。
- ActiveXコントロール :InternetExplorerは ActiveXコントロール そのブラウザプラグインのために。どのWebサイトでも、ActiveXコントロールのダウンロードを求めるメッセージが表示されます。これは正当な場合があります。たとえば、Flashビデオをオンラインで初めて再生するときにFlashプレーヤーのActiveXコントロールをダウンロードする必要がある場合があります。ただし、ActiveXコントロールは、システム上の他のソフトウェアとまったく同じであり、Webブラウザを離れてシステムの残りの部分にアクセスする権限を持っています。危険なActiveXコントロールをプッシュする悪意のあるWebサイトは、一部のコンテンツにアクセスするためにコントロールが必要であると言っている場合がありますが、実際にはコンピューターに感染するために存在している可能性があります。疑わしい場合は、ActiveXコントロールを実行することに同意しないでください。
- ファイルの自動ダウンロード :悪意のあるWebサイトがEXEファイルを自動的にダウンロードしようとしたり 別の種類の危険なファイル あなたがそれを実行することを期待してあなたのコンピュータに。特にダウンロードをリクエストしておらず、それが何であるかわからない場合は、自動的にポップアップして保存場所を尋ねるファイルをダウンロードしないでください。
- 偽のダウンロードリンク :悪い広告ネットワークのあるWebサイト、または海賊版コンテンツが見つかったWebサイトでは、ダウンロードボタンを模倣した広告がよく見られます。これらの広告は、実際のダウンロードリンクになりすまして、人々をだまして探していないものをダウンロードさせようとします。このようなリンクにマルウェアが含まれている可能性は十分にあります。
- 「このビデオを見るにはプラグインが必要です」 :ビデオを再生するために新しいブラウザプラグインまたはコーデックをインストールする必要があると言っているWebサイトに出くわした場合は、注意してください。 Netflixで動画を再生するには、MicrosoftのSilverlightプラグインが必要な場合など、新しいブラウザプラグインが必要になる場合がありますが、評判の悪いWebサイトで、EXEファイルをダウンロードして実行して再生できるようにする必要がある場合彼らのビデオでは、彼らがあなたのコンピュータを悪意のあるソフトウェアに感染させようとしている可能性が高いです。
- 「あなたのコンピュータは感染しています」 :コンピュータが感染しているという広告が表示され、クリーンアップするにはEXEファイルをダウンロードする必要があると主張する場合があります。このEXEファイルをダウンロードして実行すると、コンピュータが感染する可能性があります。
これは完全なリストではありません。悪意のある人々は、人々をだますための新しい方法を常に探しています。
いつものように、ウイルス対策を実行すると、悪意のあるプログラムを誤ってダウンロードした場合に保護するのに役立ちます。
これらは、平均的なコンピューターユーザー(およびFacebookやAppleの従業員でさえ)がブラウザーを介してコンピューターを「ハッキング」する方法です。知識は力であり、この情報はあなたがオンラインで身を守るのに役立つはずです。
