あなたのPCをスパイウェアから守る――シマンテックの対策：最新セキュリティ講座 第3回（1/2 ページ）

前回は、スパイウェアが技術面だけでなく、法的な対策をも必要とすることをお伝えした。その中でシマンテックをはじめとするセキュリティソフトウェアベンダーの取り組みは各種各様ではあるものの、徐々に実を結びつつある。

[瓜生聖，ITmedia]

PR

スパイウェアをどうとらえるか――セキュリティ対策ベンダーたちの考え方

　本連載中で何度も繰り返し述べてきたことだが、スパイウェアはウイルスと異なり、インストールを行い、特定の情報を送信し、その情報を利用することをユーザー自身に同意させている場合がある。ほかのソフトウェアと一緒に配布され、いかにもそのソフトウェアに対する利用許諾であるかのように表示することはめずらしくない。たとえるならテレビを購入しただけで有料放送の受信料を支払うことに同意したと見なされるようなものだ。

　そのようなターゲットマーケティングツールの普及、およびツールを使用した広告展開といった活動自体が、その配布元の主な業務内容であることも多い。配布元にとっては会社としての生命線でもあるため、セキュリティ対策ソフトウェアによって自動的に削除・隔離されること、あるいはそもそも自社ソフトウェアをスパイウェアとして認定されること自体が企業イメージを損なう重要な問題であるとしてセキュリティ対策ベンダーに猛反発を繰り返してきた。

　そのため、セキュリティ対策ベンダーたちはスパイウェアを扱うためのガイドラインを策定し、あるセキュリティ対策ソフトではスパイウェアとされるが、別のソフトでは安全なプログラムとされる、などのブレをなくしていく必要があった。そうでないと法廷の場に持ち込まれた際に、当該のソフトウェアがスパイウェアではないという根拠にされる可能性があるからだ。

　そうして2003年10月に設立されたのがConsortium of Anti-Spyware Technology vendors （COAST）だ。当初、スパイウェア対策企業のPestPatrol（Computer Asociatesに買収）、Webroot Sofware、Aluria Software（EarthLinkに買収）の3社によってスパイウェアの定義や一般消費者への認知を目的として設立された。しかし、2005年4月15日にスパイウェアと目されていたnCaseの配布元である180solutionsの加入により加盟社がボイコット、活動休止に追い込まれている。期せずしてスパイウェア対策の難しさを露呈する事件となったわけだ。

　現在、スパイウェアの対策を講じる大きな業界団体が4つあることは前回触れた。その内容を詳しく見ると、もっとも大規模かつ活発に活動しているのがASC（Anti-Spyware Coalition）で、シマンテックのほか、MicrosoftやMcAfee、AOLなども参加している。スパイウェアの定義や共通用語集などのガイドラインの提案、スパイウェアと認定されたソフトの配布元が上訴するための手続きの策定を行っている。「上訴の手続き」というと、スパイウェアの配布元に有利な印象を受けるが、一方的に取り締まるだけでなく、取り締まられた側の権利を認め、一連の手続きを整備することで時間のかかる法廷での争いを避ける狙いがある。ちなみに、シマンテックはSpywaretesting.orgにも参加している。こちらはスパイウェアのサンプルおよびテストの標準確立を目指す、より実際的な活動内容の団体だ。

スパイウェア対策はユーザーごとに違う

　ガイドラインの策定が重要であることは先に述べた通りだが、それよりも重要なのはユーザーの利便性だ。スパイウェア対策は、言い換えればユーザーにとって不利益になるソフトの被害を食い止めることである。このため、「スパイウェアか」「スパイウェアでないか」という二元的な判断だけでは不十分だ。

　たとえば、便利なフリーソフトを自分の情報と引き替えに利用するという選択は、ある人にとっては拒絶反応を起こしても、ある人にとっては許容できるかもしれない。利用規約の内容を理解した上で同意する場合もあれば、やみくもにOKボタンをクリックしただけの場合もある。また、依存関係でほかのアプリケーションも使えなくなる場合は、スパイウェアであっても自動的に削除されるのは困ると考える人もいるだろう。

　　こういったユーザーひとりひとりのニーズに対応するためには、杓子定規な処理ではなく、セキュリティ・リスクのレベルに応じて「危険なスパイウェア」「無視してもかまわないスパイウェア」というように分類し、その上でそれぞれのリスクレベルに適切な処理を行わなくてはならない。そのため、スパイウェアの対策にはこれまでのウイルス対策ソフトウェアで培った検出技術だけでなく、正確なセキュリティ・リスクの算出が重要となる。　そこでシマンテックでは、4つの分野において段階的な判断を行っている。

スパイウェアの危険性を段階的に評価

　1つめはパフォーマンスの影響。システムが不安定になる、動作が遅くなるといった明らかなものから、ポップアップ・ウィンドウの頻発やホームページの変更など利用上の不便を招くものも含まれる。

　2つめはプライバシーへの影響。口座番号やクレジットカード番号などの個人情報のほか、ユーザーの傾向の追跡、プライバシーポリシーの欠如したEULAによる契約などがこれに当たる。

　3つめは削除の容易さだ。過去にCoolWebSearchと呼ばれるスパイウェアは非常に削除が難しく、専用のツールを必要としたほどで、1度入れてしまったが最後、なかなかアンインストールできないものはセキュリティ上のリスクとなりえる。

　そして最後は秘匿性。秘密裏にインストールされる、ユーザインタフェースを持たない、プロセスを隠蔽する、該当ソフトウェアのEULAがバンドルされる別のプログラムに対するものであるかのように見せかける、などが挙げられる。

　こうして見てみると「なるほど」と納得がいく。確かにパフォーマンスが低下せず、プライバシーへの影響がない、きちんとEULAが表示されてアンインストールも簡単、というソフトウェアであればこれは確実にスパイウェアではない、と言ってよいだろう。

　これらの判断材料をもとに、Norton Internet Security 2006では、低・中・高の3段階でセキュリティ・リスクレベルを算出し、低は無視を推奨、中は削除・隔離を推奨、そして高は自動的に削除する。これは現時点でもっとも広範なユーザーのニーズに応えられ、なおかつリスクを最小限に抑えることのできる柔軟なソリューションだといえるだろう。