SSL暗号通信を解読するスパイウェアに大学が警鐘（1/2 ページ）

多数の米大学のシステムで、Marketscoreというスパイウェアが発見されている。P2Pソフトにバンドルされ、ネットの高速化をうたうこのソフトは、SSLで暗号化された通信を解読できる。（IDG）

[IDG Japan]

　米国の大学が、SSLで暗号化された情報をのぞき見ることができる危険なスパイウェアの出現に悩まされている。専門家はこのステルスソフト「Marketscore」が、パスワードや医療・金融情報など各種の機密情報を傍受するために利用される恐れがあると警告している。

　ここ最近、多数の大学のIT部門が、Web閲覧の高速化をうたうMarketscoreソフトによる問題について警告を発している。このソフトは、独自のサーバネットワークを介してすべてのユーザートラフィックをルーティングする仕組みになっており、これがユーザーのプライバシーに現実の脅威をもたらすという点でセキュリティ専門家の意見は一致している。

　この数週間のうちに、コロンビア大学、コーネル大学、インディアナ大学、ニューヨーク州立大学（SUNY）アルバニー校、ペンシルバニア州立大学などが、Marketscoreを走らせているシステムが増えていることを指摘している。各大学はユーザーに向けに、Marketscoreに関する警告と削除するための手順を掲載している。

　このソフトはP2Pソフトの「iMesh」にバンドルされており、そこから大学のネットワークに入ってきた可能性があるとボストンカレッジのコンピュータセキュリティディレクター、デビッド・エスカランテ氏。

　このソフトを開発した同名の企業Marketscoreの本社は、米バージニア州レストンの、オンライン調査会社comScore Networksと同じ住所にある。

　comScoreのCEO（最高経営責任者）のマジド・エイブラハム氏は、Marketscoreはほかの市場調査ツールと同様に、ユーザーの同意を得て、プレゼントや便利なサービスと引き換えに情報を収集すると語る。Marketscoreの場合、ユーザーは情報と引き換えに高速化ソフトを利用できると同氏。

　このソフトに感染した大学のシステムは、数台という報告から、大規模な大学ネットワークで200台程度が感染したという報告までさまざまだとエスカランテ氏は語る。

　Marketscoreは、1月に登場した「Netsetter」と呼ばれるスパイウェアプログラムの最新のバージョンだと、Computer Associates International（CA）のeTrustセキュリティ管理担当副社長サム・カリー氏は指摘する。

　「基本的に、このソフトはユーザーのすべてのWebトラフィックを、強制的に独自のプロキシサーバ経由でリダイレクトする」（同氏）

　表向きは、Marketscoreのサーバにキャッシュされたページは、Google.comやYahoo.comなどのサイトの実際のWebサーバに直接アクセスするよりも速くロードされるため、リダイレクトによりWebサーフィンが高速化されることになっている。ただしこうしたパフォーマンス上のメリットは分かりにくい。

　「このソフトをインストールした人たちから、パフォーマンスが改善されないとの不満が寄せられている」（カリー氏）

　ボストンの独立系ソフトコンサルタント、リチャード・スミス氏も、特に多くのISPは既にダイヤルアップ会員向けにWebキャッシュを提供しているため、Marketscoreなどが主張しているパフォーマンスの改善は疑わしいとメールで述べている。

　しかし、comScoreがさまざまなISPのダイヤルアップ接続でWebサーフィン速度をテストした結果、MarketscoreソフトはほとんどのISP会員のページロード時間を40％短縮したことが示されたとエイブラハム氏は話した。

　エイブラハム氏は、ISPによっては、ダイヤルアップユーザーがパフォーマンス向上に気付かないこともあるということ、ブロードバンド利用者は高速回線でWebページがロードされるため、ページロード時間の短縮にほとんど気付かないことを認めている。

　コーネル大学のWebサイトに掲載された通知によれば、同大学のITセキュリティオフィスでは、学内ネットワークとMarketscoreサーバの間の通信を遮断している。SUNYアルバニー校の管理者も同様の措置を取っていると、大学のWebサイトで伝えている。

　Marketscoreと同様にWeb閲覧の高速化をうたっている合法的なソフトもあるが、インターネットセキュリティ専門家が懸念しているのは、Marketscoreがコンピュータ上に独自の認証機関を作る点だ。この認証機関はSSLで暗号化されたWeb通信を傍受して、トラフィックを解読し、それをMarketscoreサーバに渡してから再度暗号化して目的地へ送る。このトラフィックにはパスワード、クレジットカード番号、社会保障番号などの機密情報が含まれる可能性もあるとカリー氏は指摘する。

　エイブラハム氏は、自分の会社が、SSLで暗号化されたデータも含め、機密情報をキャプチャしていることを認めた。ただし同社は収集したデータをすべて暗号化し、匿名化してから、不正対策を施した安全なサーバに格納しているという。

　収集したデータの中にクレジットカード番号が確認された場合は、番号の最初の6けただけが保持される。このデータは、オンラインショッピングでクレジットカードがどのように使われているかについての情報をカード会社に提供するために利用される。ほかの銀行口座や社会保障番号などのデータは利用されず、たいてい破棄されると同氏は説明した。