シマンテックが解説する「スパイウェアって何?」
スパイウェアやアドウェアが、セキュリティの脅威として認識されつつある。その定義や挙動、対処法についてシマンテックが解説した。
PCセキュリティの脅威として認識されつつあるスパイウェアやアドウェア。それぞれ、どういったプログラムなのか、何が問題で、どう対処すべきかを、シマンテック法人営業事業部の野々下幸治エグゼクティブシステムエンジニアが3月9日、ワークショップで語った。
スパイウェアやアドウェアの脅威は増している。同社が集計している、悪意あるコードトップ50に占めるスパイウェアの割合は、2004年前半は4%だったが、同後半は5%にアップ。同社へ被害報告の20%をスパイウェアやアドウェアが占めるという。PCメーカーのヘルプデスクへの相談も、20%がスパイウェアやアドウェアに関するものといい、米DELLなどのメーカーも対策を迫られている(関連記事参照)。
スパイウェアやアドウェアの定義は企業によってさまざまで、統一されていないのが現状だ。同社はスパイウェアを、(1)システムの動作を密かに監視する機能を備えているスタンドアロンプログラム、(2)ユーザーのPC内の秘匿情報を取得して他PCに送信する、(3)インストール時はエンドユーザー使用許諾契約(EULA)を提供するか、インストールの選択をユーザーにゆだねている――といった性質を備えると定義。トロイの木馬やウイルス、ワームと違い、知らないうちにインストールされたり、自己増殖することはないとしている。
EULAを求めるといっても、契約書の文章は長くて複雑なことが多い。「P2Pファイル交換ソフト『Kazaa』にバンドルされているスパイウェア『Gator』のEULAは56ページ、5541語におよぶ」(野々下氏)。ユーザーの多くがEULAを読まずにインストールしてしまい、被害に遭うという。
アドウェアの定義もさまざまだ。同社の定義によると「主に広告宣伝目的で、インターネットを介してユーザの個人情報を密かに収集し、他のコンピュータに転送するプログラム」。ユーザーの閲覧するWebサイトや検索ワードなどを集め、ユーザーの嗜好に合った広告配信の参考にする。アドウェアはユーザーに無許諾でインストールされることもあるとしている。
スパイウェアもアドウェアも、Webサイト閲覧時にActive Xを使ってインストールさせたり、フリーソフトにバンドルされていることが多い。「スパイウェアやアドウェアは、フリーソフト作者が収入を得る手段の1つ。フリーソフトをダウンロードするときは気をつけて欲しい」(野々下氏)。
スパイウェア・アドウェアの脅威
スパイウェアやアドウェアによる被害は多様だ。メールアドレスなど個人情報を盗み取られたり、エラーが頻発したり、大量のポップアップ広告が出現したり、ブラウザが“ハイジャック”され、入力したURLとは違うサイトに接続されたりする。
スパイウェアやアドウェアは、別のセキュリティ問題を引き起こす可能性もあるという。「プログラムの多くはクオリティが低く、更新もほとんどない」(野々下氏)。脆弱性が放置され、ウイルスやワーム、トロイの木馬などに悪用される危険性があるとした。
スパイウェア・アドウェア対策は、ウイルス対策と同じ。クライアント側は、最新パッチを適用したり、ウイルス対策ソフトやスパイウェア対策ソフト、ファイアーウォールソフトを組み込む、スパムメールのリンクはクリックしないといった策が有効だ。ゲートウェイ側では、ファイアウォールに適切なポリシーを適用して監視したり、IDS(不正侵入検知装置)、IPS(不正侵入防御装置)による監視やブロック、Webフィルタリングなどが有効とした。
スパイウェアの定義統一は「おそらく無理」
ソフト業界で今後、スパイウェアの定義が統一されることはあるだろうか。答えはおそらくNOだ。自社のプログラムをスパイウェアに認定されたくないという、ソフト企業の思惑があるためだ。
シマンテックのスパイウェアの定義は広範で、悪意のないWebフィルタリングソフトもスパイウェアに含めてしまう。一方、スパイウェアの定義をあえて狭め、危険なスパイウェアと感じさえずにインストールを促すソフトもある。「『Grokster』は14種類ものスパイウェアをバンドルしているが、EULAには『スパイウェアではない』と書いてある」。
「スパイウェアイコール、悪意あるプログラムというわけではない。シマンテックがスパイウェアと判定したプログラムをブロックするかどうかは、ユーザーに判断して欲しい」(野々下氏)。
スパイウェアの被害を軽減するには、対策法の整備が有効と野々下氏は話す。しかし、スパイウェアの定義と同様、どこからを違法とするかの判断が難しい。協議が進んでいるアメリカでも、一部の州を除いてまだ法制化されていないのが現状だ(関連記事参照)。
関連記事
- 用語辞典:スパイウェア
- MS、スパイウェア対策ソフトのミスでオランダのサイトに謝罪
AntiSpywareのβ版に誤ってマークされたオランダの人気サイトがMicrosoftから賠償金と謝罪を勝ち取った。 - 誤解以前に知られていない「スパイウェア」の脅威
シマンテックが公表した調査結果によれば、インターネット利用暦3年以上のユーザーでさえスパイウェアを知っているのは3割未満にとどまる。 - Microsoft、スパイウェア対策ソフトを無償提供へ
ゲイツ氏はIE 7に関する方針転換を発表したRSA Conferenceの基調講演で、Giant Software買収で取得した技術を使ったスパイウェア対策ソフトをWindowsユーザーに無償提供すると明らかにした。 - スパイウェア対策法案が復活
米下院で圧倒的多数の支持を得たが、上院を通過できなかったスパイウェア対策法案が再び提出された。 - 「スパイウェア対策から周辺機器の設定まで」――Dellが拡張ユーザーサポートを計画
- 家庭用PCの8割がスパイウェアに感染――米調査
AOLとNational Cyber Security Allianceが資金提供して実施された家庭ユーザー対象のセキュリティ調査で、家庭ユーザーのセキュリティ意識の低さが浮き彫りとなった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.