問題は根深い、スパイウェアのビジネスモデル：狙われる企業、スパイウェア対策事情（2/3 ページ）

[野々下幸治，ITmedia]

ウイルスとスパイウェアで異なるリスク判断

　ウイルスとスパイウェアの定義の違いは、脅威レベルの判断にも大きく影響してくる。ウイルスは一般的に脅威のレベルを「被害状況」「ダメージ」「感染力」の3つで判断するのに対し、スパイウェアは「プライバシーの漏えい」「セキュリティへの影響」「ユーザーエクスペリエンス」といった軸でリスクが判断される。

＜ウイルスの脅威レベルの判断項目＞

1. 被害状況：被害台数
2. ダメージ：感染したコンピュータに与える影響（システム破壊の大きさ）
3. 感染力：感染能力の高さ

＜スパイウェアの脅威レベルの判断項目＞

1. プライバシー：IDやパスワードなど個人情報の漏えい
2. セキュリティ：コンピュータの安全性や完全性への影響
3. ユーザーエクスペリエンス：ユーザーからコンピュータの制御を失わせる影響度

　上記の判断項目に、バックドア型のトロイの木馬を照らしてみよう。ウイルスとして考えてみると、被害状況はそれほど大きくなく、システムへのダメージも低い、そして感染力も弱い。そのため、脅威のレベルは低いものと判断される。一方、スパイウェアとして考えると、個人情報を盗み、安全性を損ない、コンピュータのコントロールを完全に奪ってしまう可能性がある。脅威レベルは非常に高いと判断される。

　ウイルスはコンピュータの視点でリスクを考え、スパイウェアはコンピュータを使うユーザーの視点でリスクをとらえる。こう考えると違いが分かりやすいだろう。同じマルウェアであっても、どちらの視点を重視するかでリスクが大きく変わってくるので、対策の際には注意が必要だろう。

スパイウェアのビジネスモデル

　金銭目的にスパイウェアが利用される、ということは広く認識されてきた。しかし、そこには2種類の経済的な利益が絡んでいることはあまり知られていない。

　1つは、被害者から直接金銭を取得するために、スパイウェアを利用するというものだ。犯罪目的で直接IDなどを取得するキーロガーに代表される。日本でも昨年オンライン銀行のIDが詐取される事件があり、広く知られている（関連記事参照）。

　あまり知られていないのは、もう1つのオンラインマーケティングの行き過ぎによるものである。こちらはスパムメールと同じで取り締まることが難しいが、米国では、大きな社会問題になっており、スパイウェアを規制するための法案が州や連邦レベルで提案されるまでの事態になっている（関連記事参照）。