さて、まずは主流の攻撃とも言える、能動的攻撃について述べた。今度は、これから主流の座を奪うかもしれない、受動的攻撃の説明を行う。

　先ほどのように、ありがちな攻撃方法を説明することで、受動的攻撃の特徴について示していく。

　今回の目標は、Windowsコンピュータにする。最終目標は、今までに受信したメールを根こそぎいただくこと。プライバシーの剥奪、および（あるならば）機密書類の入手、である。

　いろいろ手段はあるのだが、有名どころとして、Outlook＋access2000を使った攻撃を紹介する。前提はメールソフトにOutlookを使い、WWWブラウザとしてIE5.01、access2000をインストールしていること、と言うのがあるのだが、ここは説明のための紹介だから、前提は守られている、とする。

　方法は、簡単である。メールを一本、被攻撃者に送付すればよい。その前の準備として、自分でWWWページを作っておく。このページには攻撃用のコード（ファイルを転送するように作っておく）と攻撃用コードを実行させるためのhtmlファイル（objectタグを利用することで簡単にできる）をおいておく。メールには作っておいたWWWのアドレスと、いかにも開きたくなるような飾り文句を書いておく。それは被攻撃者の特徴を知る必要があるが、方法はいくらでもあろう。

　被攻撃者がメールを開き、メールに書かれたアドレスをクリックしてくれれば万事終了だ。WWWブラウザが開き、ページを開くと同時にファイル転送用コードが実行され、ファイル（ここではメールの全データ）が攻撃者の元に届く、と言うわけだ。

　もっと巧妙なものだって可能だろう。これらの分野は、いまだ、発展途上の技術と言ってよいからだ。

　どうすればよいのか。比較的多くの攻撃は、以下の対処で大きな成果を得る事ができる（，が完全ではない）。WWWブラウザのActiveXやJavaなどをoffにし、cookieもできるだけ受け取らない。そして、妙なメール、WWWページに寄りつかない、と言うことをすれば70%，これらの攻撃はふせぐ事が可能だ。

　しかし、JavaなしのWWWはけっこうつまらないものとなるだろう。ここは、まさにセキュリティと利便さを天秤にかけて欲しい。また、最近では、受信したメールを開こうとしたとたんにゲームオーバーとなる攻撃手法も見つかっている（メールクライアントのバッファオーバーフローを利用した攻撃）。そういう意味では、逃れることが難しいとも言えよう。

　最後に残る、防御方法は、「セキュリティパッチをあてる」、つまり、そういったバグやバグに近い仕様を取り除いた、安全なソフトだけを使う、と言う方法である。ただし、こと日本に関してはセキュリティパッチの公開が遅い、もしくは全く出ない、と言う難点はあるが。

　管理者としてこの攻撃を阻止できるだろうか。これは結構難しいと思う。まず、管理者としてできることはそういったメールを受け取らせない、その様なWWWページを見せない、と言うことになるが、簡単なファイアウォールでは９割方阻止できない（よっぽどよくできた思想を持つファイアウォールやきちんと設定されたものは別だろう）と見て良い。

　まぁ、まったくメールを受け取らせない、WWWを見させない、という手段もあるが、それではなんのためのインターネットか、わからないというものだ。しかし、大抵の（安い）セキュリティ製品は、そのくらいの防御しかできない。

　つまり、能動的攻撃はユーザがいい加減なパスワードをつける、等ということをしない限り、管理者の努力でセキュリティが確保できるが、受動的攻撃は、ユーザ一人一人がとにかく注意し、ブラウザ等のバージョンアップをこまめにする、これらの事をこまめにやっていくことしかないのである。つまり、ユーザがどれだけセキュリティを真摯に考えているか、これによって防御のレベルが決まってくるのである。