2005年03月09日(水) 22時38分

スパイウェア・アドウェアの問題点とは（MYCOM PC WEB）

自らインストールしたソフトが、いつの間にか個人情報を勝手に送信していたり、Webブラウザを立ち上げるたびにポップアップ広告が大量に表示されたり--いわゆるスパイウェアやアドウェアと呼ばれるプログラムが問題になっている。米国では法整備に向けた動きも活発化しているが、スパイウェア・アドウェアにはどんな問題が存在しているのか。

「単に、情報を盗むソフトウェア、というだけではスパイウェアとは呼べない」。シマンテックの野々下幸治・法人営業事業部エグゼクティブシステムエンジニアはこう指摘、スパイウェアやアドウェアには、そもそも統一した定義がないことを問題視する。

シマンテックではスパイウェアやアドウェアを、「広義のセキュリティリスク」に分類する。いわゆる「ウイルス」は「自分自身を増殖するプログラム」、「ワーム」は「自分自身の複製を作成するプログラム」、「トロイの木馬」は「増殖も複製も行わないが、データを損傷したり、セキュリティを危険にさらすプログラム」と定義しており、それらには当てはまらないものの、セキュリティリスクをしょうじさせるプログラムとしてスパイウェアとアドウェアが分類されているのだという。

スパイウェアは、自己増殖はせず、インストールされたPCに対して破壊的な活動は行わないが、PC内の秘匿情報を盗んだり、PCの使用状況を収集するなど、インストールされたPCの活動を「密かに監視するスタンドアロン型のプログラム」とシマンテックは定義する。アドウェアはさらに限定して、Webサイトの訪問履歴やよく使う検索語などを記録、その情報をもとにユーザーの関心に合う広告を送りつけるプログラム、とする。

特に問題となるのが、トロイの木馬とスパイウェアの違いだ。いずれも増殖はしないスタンドアロン型のプログラムであり、トロイの木馬もパスワードなどの秘匿情報を盗もうとするなど、単に「情報を盗む」という行為だけ見れば、トロイの木馬とスパイウェアの間には大きな違いはない。実際、シマンテックの製品で「スパイウェア」として検出されるプログラムが、他社のセキュリティソフトでは「トロイの木馬」として検出される例もあるようで、「情報を盗むものをすべてスパイウェア、広告を出すのがアドウェアと、(プログラムの)性格で分類されがち」(野々下氏)というのが現状だ。

これに対しシマンテックは、ウイルスなどと同様にメール添付ファイルなどで、ユーザーに気づかれないように、さらにどんな動作をするプログラムか分からないようにインストールされるのがトロイの木馬と定義。スパイウェアは、エンドユーザ使用許諾契約(EULA)を提供している場合もあり、どんな動作をするプログラムか明示されている、とする。つまり、「インストールの選択がユーザーにゆだねられている」(同)。

ユーザーがインストールすることを選択したプログラムが、なぜスパイウェアとして問題視されるか。そもそもインストール時に提示されるEULAが「非常に紛らわしく、長くて複雑」(同)なため、ユーザーがEULAを読まない、わざと読まないことを狙っている、という点が挙げられる。たとえばファイル共有ソフトの「Kazaa」は、「Gator」と呼ばれるプログラムを同時にインストールさせるが、そのEULAは5,541語・56ページに及ぶそうだ。

Kazaaと同じくファイル共有ソフトの「Grokster」には、実に14種類ものスパイウェアがバンドルされ、398ページのEULAが提示されるという。そのEULAには、これらのプログラムは「スパイウェアではなく、個人情報を収集しない」とされているが、いずれも一般的にスパイウェアとしてよく知られたプログラムばかりで、しかもEULAに同意しなかった場合でも、それらのスパイウェアはインストールされてしまうという。

スパイウェアやアドウェアは一部のフリーウェア作者の収入源となっており、そのため「著名なP2P(のファイル共有)ソフトには(スパイウェアが)バンドルされている」と野々下氏は指摘する。野々下氏によれば、そのほかにも「Limewire」「Imesh」「OneMX」「FreeWire」といったP2Pソフトにスパイウェア・アドウェアがバンドルされているらしい。

スパイウェアやアドウェアは、Webサイト経由でもインストールされる場合が多い。Internet Explorerのプラグインとして働くActiveXを使ったもので、アダルトサイトでよく見られるそうだ。Webサイトを訪問するといきなりActiveXのダウンロードを促され、インストールすると、サイト閲覧の履歴などが収集されてしまう、というわけだ。また、いったんインストールされたスパイウェアが、さらに別のスパイウェアをインストールする、といった例もあるようだ。

スパイウェアやアドウェアは、「ソフトの品質が非常に悪い」(同)ため、PCの調子が悪くなったり、きちんとアンインストールができないなど、プログラムインストールに伴う二次的な問題の存在も野々下氏は強調、さらにスパイウェアがバックドアとなって、別の問題が生じる危険性も指摘する。

また、同社の調査ではスパイウェアやアドウェアは増加傾向にあり、同社に寄せられる報告のうち、20%がスパイウェアやアドウェアに関するものだったという。またPCメーカーなどのヘルプデスクに寄せられた相談の20%がスパイウェア・アドウェア関連で、そのうちの80%が実際にアドウェアについてだったそうで、野々下氏は、ヘルプデスクの負荷増加も問題点として挙げる。

スパイウェアやアドウェアは、現時点では「合法になると思う」(同)ところに問題の難しさがある。野々下氏は、スパイウェアやアドウェアへの対策のため、制度として法律による定義の必要性を指摘する。

個別の対策としては、ウイルス対策と同様に、「セキュリティパッチを適用してOSやWebブラウザを最新の状態に保つ」「フリーウェアのインストールは慎重に行う」「ブラウザのセキュリティ設定を高くするなど、セキュリティを確実にする」などを挙げている。

なお、シマンテックでは、同社のセキュリティ製品である「Norton Internet Security」と「Symantec Client Security」の次期バージョンで、スパイウェア・アドウェア対策機能を強化する考えだ。

取材画像はこちら
http://pcweb.mycom.co.jp/news/2005/03/09/002.html

スパイウェアを重大問題と公的に認定 - 多岐に渡る対応策も、定義に課題
http://pcweb.mycom.co.jp/news/2005/03/08/006.html

スパムの処理に1年で47時間、2割のPCにスパイウェア - シマンテック
http://pcweb.mycom.co.jp/news/2005/03/02/003.html

【レポート】RSA 2005 - スパイウエア対策ソフトの無償提供、IE7.0を発表 - MS基調講演
http://pcweb.mycom.co.jp/articles/2005/02/16/rsa/

SPY ACT、米上院へ再び - IT業界からの賛成も取り付け万全か?
http://pcweb.mycom.co.jp/news/2005/01/28/011.html

2004年末の10大スパイウェア発表 - キーロガーやアダルト関連など危険度大
http://pcweb.mycom.co.jp/news/2004/12/14/004.html

専門家が調べると…家庭のPC1台に平均93個のスパイウェア! ウイルスも多数
http://pcweb.mycom.co.jp/news/2004/10/26/007.html

違反者に罰金を科すスパイウエア規制法案、米下院で可決
http://pcweb.mycom.co.jp/news/2004/10/07/100.html

シマンテック
http://www.symantec.co.jp/

http://headlines.yahoo.co.jp/hl?a=20050310-00000090-myc-sci