よく聞く議論ですね。

よく聞かれる質問でもあります。

Windows Defenderは、Windows10の一機能として提供されているウイルス対策機能の一部ですが、ブラックリスト型のウイルス対策としてはとても優秀な部類に入ります。

ですが、利用者の考え方やスキルによっては不十分なセキュリティ対策といわざるを得なくなります。

Windows10は、ざまざまなセキュリティ機能が実装されており、その一部がウイルス対策機能として機能します。

たとえば、「Smart Screen」という機能があります。

安全でない可能性のあるWebアクセスや実行形式ファイルのダウンロードなどをラベル付けする機能といえばいいかもしれません。

これらの機能を一通り理解して使う分には、Windows10のセキュリティ機能は十分な性能を持っているといっていいと思います。

しかし、なぜ安全でないと判断されたのかなど十分な情報が提供されなかったり、既定値では過去のログが記録されなかったり、考え方によっては不親切です。

サードパーティ製のセキュリティソフトやセキュリティサービスはこの点を補完する機能を多かれ少なかれ持っています。

ブラックリスト型のウイルス対策ソフトを使う分には、（最低限クリアすべき基準はありますが）検知率はあまり気にする必要がないと思います。

今日現在のウイルスは、ばら撒かれ始めてから数分から数十分で感染し情報を盗み出すため、ブラックリスト型ウイルス対策ソフトではほとんど対策になりません。

なので、そのほかの防御機能がいかに充実しているか、そこがポイントになります。

どの製品が自分のパソコンの使い方に合っているかは、体験版で体験して決めるべきでしょう。

カスペルスキー、ESET、TrendMicro程度は試した方がいいでしょうね。

ネットに接続していないと進化を発揮しないウイルス対策ソフトも多いので、ほとんどオフラインで使いという人は、TrendMicroなどの常時ネット接続を前提にした製品は向かないかもしれません。

フリーソフトのウイルス対策ソフトを使うくらいなら、Windows Defenderの方が安心して使えると思います。

そんな感じでしょうか。

飲み屋で7Payの話をしたら盛り上がって、どんな調査をしたんだろうという話になりました。

公開されている情報だけだとセキュリティをかじった人間からすれば、「本当に調査したの？対策は？本当にできているの？」という内容なのですが・・・

少なくも、パスワードリスト攻撃に対する対策は「全員のパスワードの強制リセット」ではないということは、セキュリティ業界では常識です。

「悪用が確認されたアカウントのロック＆パスワード変更の依頼」のはずなので、「全員のパスワードの強制リセット」を行ったということは、「悪用されたアカウントを自力では特定できなかった」と言っているようなもので、「傷口を広げる」行為だと言えるでしょう。

話はもどって、調査のやり方です。

ここでは、サーバ側の調査のことですね。

一般的に、コンピュータで犯罪行為が行われた際の調査のことを「フォレンジック」といいます。

日本語では「鑑識」といいます。

警察がよくやっている鑑識です。

ここで話をするのは、あくまで一般論だし、語り始めると本が一冊二冊かけるので、入口のところと大事な考え方について書きたいと思います。

まずは、パスワードリスト攻撃に関する調査です。

一般的にパスワードリスト攻撃は、

・特定の通信元（IPアドレス）から、複数のアカウント・パスワードの組み合わせで認証を試みる行為

です。

なので、WebアクセスログというWebサーバに記録されているログを使います。

金銭を扱うサイトでは、パスワードリスト攻撃はほぼリアルタイム（攻撃と同時に）知得する仕組みを構築するのが常識ですが、詳細の調査はやはり、Webアクセスログを使います。

この時、認証ログ（ログインの成功・失敗を記録したもの）やデータベースアクセスログ（データベースに行われた問い合わせや書き込みを記録したもの）などを併用して調査します。

私の経験では、まともなログを記録しているシステムであれば、この調査はそんなに時間がかかりません。

次に、悪用に関する調査ですが、悪用が確認されている場合真っ先に行うことがあります。

それは、証拠保全です。

外部からの悪用の場合、外部との接続を絶ち、悪用された状態の完全な状態を改ざんができない状態で保持します。

この証拠保全が十分に行われていないと、裁判になったときに証拠として認められない可能性があります。

証拠保全を行ったら保全された情報は直接触らず、複製を取って調査作業を行います。

この際に重要なのは、「時系列」です。

「時系列」は行われた「悪用」を時間順に並べて矛盾のない「物語」を構築していくのに重要です。

調査結果として出てくるのは、この「矛盾のない物語」です。

ここで矛盾があると裁判で確実に負けます。

犯罪を立証できなくなるからです。

では、7Payの事例では、この「矛盾のない物語」が語られているでしょうか。

残念ながら「No」です。

Twitterで「他では使っていない最大の長さのパスワードを使った。チャージ用も異なるパスワードだった。」という証言に対して、反証を提示できていません。

また、記者会見でも「チャージ用パスワードを認証用パスワードと同じにしている人が多くいた」という趣旨の発言をしていますが、矛盾のない物語としては、「悪用されたアカウント全てについて認証用パスワードとチャージ用パスワードが同じであることが確認できている。」と回答できる必要があります。

まぁ、セキュリティをかじっている人なら、７Payの記者会見は「全くの時間の無駄」であったと言えるでしょう。

いまだに、Omni7には未知だが悪用されている脆弱性が潜んでいる可能性があり、パスワードリセットは「さらなる情報漏えい」につながる可能性もあると考えています。

Omni7を安心して使えるようにちゃんとした調査をしてほしいものだと思います。