スパイウェア

情報セキュリティ > マルウェア > スパイウェア

スパイウェア(spyware)とは、ユーザーに関する情報をユーザーが意図しない形で収集し、それを情報収集者である特定の企業団体個人等に自動的に送信するマルウェアである。

概要

狭義には、キーボード・マウスからの入力やウェブブラウザの閲覧履歴などユーザーの振る舞いに関する情報を外部に送信するソフトウェアを指すが、一般的には以下に示すものをスパイウェアとしている。

  • キーロガー等に代表される、ユーザーの操作を監視するもの
  • コンピュータ内の特定のファイル等を検索し、それらを勝手に転送するもの
  • 広告を送り付けて画面に表示するアドウェア
  • ブラウジング中に消費者が望まない特定のサイトを強制的に表示させるブラウザハイジャッカー
  • ダイヤルアップ接続時に国際電話やダイヤルQ2へ接続させるダイヤラー
  • ユーザーの承諾無しに新たなプログラム等を無断でダウンロードし導入するダウンローダ
  • ユーザーのコンピュータに重大な問題があると偽りのメッセージを出し、ソフトの購入を要求するもの

スパイウェアの定義は対策ソフトウェア会社により異なるが、積極的に広義のほうを利用する企業が多い。一部の対策側メーカーは、HTTP cookieなどプログラムファイル以外のものもスパイウェアに含めている。広義のスパイウェアは、対策側ベンダーによるマーケティング目的での拡大解釈に過ぎないとの批判もある[1]

セキュリティ企業や研究機関などによって構成されるAnti-Spyware Coalitionは狭義のスパイウェアと、広義のスパイウェアと同義語としての「潜在的に望まれない技術(Potentially Unwanted Technologies)」を定義づけている[2]

いずれの定義を取るにせよ、十分な説明を提供し利用規約への同意の元でソフトウェアがインストールされる場合は、スパイウェアと扱われない事がある。近年のアメリカでのスパイウェアの氾濫およびそれに対する法の整備が進む現状を踏まえると、利用規約に情報を送信する事を明記しなかった場合は違法となることが非常に多い。そのため、利用規約や使用許諾説明書に情報を送ると明記するソフトが増えている。

一部の無料なソフトウェア製品では、ポップアップ広告やソフトウェア上に表示されるバナー等の広告配信およびユーザーの利益となる機能を幾つか提供した上で、ユーザーの個人情報を広告会社等に提供する物もある。

十分な知識や防衛策を持たないユーザが使う機器に対し、スパイウェアは急速に、かつ非常に多く・広く蔓延している。

スパイウェアとコンピュータウイルスの違い

スパイウェアおよびコンピュータウイルスは、双方ともユーザの明示的な了解を得ずにプログラムがインストールされ、コンピュータシステムを不安定にさせる・望まない情報漏洩を起こす点においては共通しているが、その他の振る舞いには大きな違いがある。

拡散・導入プロセス

コンピュータウイルスは自己増殖能力を持ち、他のコンピュータに自分自身のコピーを広める。ウイルスが、セキュリティ対策が十分でないユーザのコンピュータに潜み、強引な手段で広く自己複製を配布するのに対し、スパイウェアは一般的に増殖機能を持たない。

スパイウェアの多くは、一見ユーザに様々な利便性を提供するように装って自らをインストールさせるか、自動的にダウンロードさせる仕掛けを施したウェブサイトの閲覧やスパムによってファイルを送りつけ、システムの欠陥を利用するなどしてインストールされる。

挙動

コンピュータウイルスには表立った形での損害を与えるものが多く、単に画面に無意味な表示をするものから、中にはキーボード操作を不能にする、システムファイルの削除、ハードディスクフォーマットなど悪質な振る舞いをするものもある。いずれも開発者の意図によってそのように設計・プログラミングされている。

一方、スパイウェアは「ユーザに知られずこっそりと情報を収集する」ことを主な目的としているため、元来表面で目立った挙動をするものはまれである。しかし、スパイウェアの中には設計上の欠陥から、コンピュータの動作に悪影響を与えるものがあり、これを見つけ削除することで動作が安定する。

スパイウェアの挙動

インストール

スパイウェアは一般的に3つの手段のいずれかによってインストールされる。

  1. 他の明らかに有用なプログラムの中に、スパイウェアコンポーネントを隠しておく方法。大抵のスパイウェア含有プログラムは無料でダウンロードでき、何らかの利便性を挙げて、ユーザーにアピールする。
  2. OSウェブブラウザセキュリティホールを利用する方法。ウェブサイト閲覧中にそれらの欠陥や安全上問題があるような仕様を利用してコンピュータ内にインストールされる。
  3. ウイルスあるいはEメールに添付されたプログラムを実行することで、ダウンロードおよびその破壊的なソフトウェアの一部機能としてインストールされる方法。比較的種類は少ないが、配信元の匿名性が高いことから迷惑メール中継などスパイウェア以外の有害機能を広げる目的で用いられる場合が多い。

動作と問題点

スパイウェアは、次のような利点を誘い文句にしてプログラムをインストールするように誘う。

He will explore the Internet with you as your very own friend and sidekick! He can talk, walk, joke, browse, search, e-mail, and download like no other friend you've ever had! He even has the ability to compare prices on the products you love and help you save money! Best of all, he's FREE!
このソフトは貴方の友人ないし親友として、あなたと一緒にインターネットを探索します! 貴方のどの友人とも違い、話したり、歩いたり、冗談を言ったり、閲覧したり、検索したり、eメールを送ったり、ダウンロードしたりすることができます! 好きな製品の値段を比べ、お金を貯めることさえできます! その上、タダなのです!

実際にインストールするとCPUメモリを消費し、システムの安定性を犠牲にしながらインターネットの利用状況を監視したり強制的に広告を画面に表示したりする。

正常に動作しているスパイウェアの多くは、ユーザーにその存在を知られないように設計されているが、アドウェアの場合は、たえず広告を画面に表示しようとしている。「インターネットを開いてウェブページを読んでいる時」や「書類を作成している時」、更には大切な友人からのメールに返事を書いている瞬間にまで、広告を画面上に表示させる。それら広告の多くは「バイアグラで素敵なナイトライフを」や「ネットカジノで一山当てよう」といった、大多数のユーザーに取っては不用か有害な物が含まれる。

インターネットの閲覧履歴やパソコン内の個人情報・キー入力等を収集するスパイウェアは、ユーザーの持つクレジットカードの番号や口座番号や特定のサイトにログインする際に利用したIDパスワード等を収集し外部に送信する。

Cookieとスパイウェアの関係

Cookieはウェブブラウザのユーザーに関する情報をクライアント側に記録する技術で、 電子掲示板電子商取引を利用する時にメールアドレス住所等の情報を何度も入れずに済むなどの利点をもたらしている。

これを利用して、ユーザーに知らせることなく複数サイトにまたがって同じcookieの内容を追跡する手法が考案された。複数サイトに広告を配信するウェブサーバサードパーティ)は、閲覧ユーザ毎にユニークなIDをCookieとして発行し、いつ・どこのサイトの・どのバナー広告を見たかを広告配信用ウェブサーバに記録する。Cookieの有効期限が切れるかユーザーが削除しない限りこのIDによる記録は行われる。

この行為そのものに問題は無いが、一部にはウェブサイトの閲覧履歴そのものを記録するトラッキング・クッキーとして利用しているところがある。また、スパイウェアが作り出したcookieをウェブブラウザに導入し、サイト閲覧の際にサーバに送信することで専用の通信経路を使わずに(言い替えればファイアウォール等の防護ソフトを迂回して)個人情報を送信するスパイウェアの存在も示唆されている[要出典]

解決方法

既知スパイウェア向け対策

既知のスパイウェアの多くは、ソフトウェアの更新やそれに対抗するソフトによってその被害を防ぐことが出来る。

ソフトウェアの定期的な更新

ソフトウェアの欠陥を利用して入り込むスパイウェアは、その欠陥を補修するソフトウェアのアップデートを導入することでその導入を防ぐことができる。しかし、そのソフトウェアの元々の仕様やその開発会社によっては十分なアップデートが必ずしも提供されるわけではない。

スパイウェア駆除ソフトウェアの導入

スパイウェアの検索・駆除を専門とするアンチスパイウェアと呼ばれるソフトウェアがある。また、近年のアンチウイルスソフトにも同等の機能を搭載するものが多い。すでにインストール済みのスパイウェアを駆除するだけでなく、常にシステムを監視しスパイウェアのインストールを未然に防ぐ機構を持つものもある。これらの開発元は絶えずスパイウェアを監視しており、スパイウェアの新種に対する対策は一般的に早い。

未知のスパイウェア向け対策

コンピュータウイルスと同様に、大きな問題を引き起こすスパイウェアの多くが「新種」であることから、#既知スパイウェア向け対策だけでは不十分である。また、スパイウェアの発生や感染から長期間経過しても有効かつ安全な駆除方法が見つからない場合もある。有効な対策が存在しないスパイウェアに対しては、バックアップを用いて復旧する方法が効果的である。

環境復元ソフトウェアによるバックアップ

環境復元ソフトウェアと呼ばれるバックアップソフトウェアの一種を用いることで導入されたスパイウェアを除去することが出来る。環境復元ソフトウェアは、スパイウェアが混入していないある時点のシステム全体をバックアップしておき、再起動や特定の操作によってそれを書き戻すことで、スパイウェアを完全に除去できる。ウイルス対策ソフトは既知のスパイウェアにしか効力を持たないが、環境復元ソフトではあらゆるスパイウェアに対して有効である。

その一方、バックアップデータに適切なアップデートがなされていないと、復旧後に既存の脆弱性を狙ったスパイウェアのインストールを許してしまう欠点もある。

インターネットカフェなど不特定の人間によって利用される多数のPCを所有する環境では、そのシステムの保全と管理の手間を軽減するソフトとして Windows Server Update Servicesや、ネットワーク経由でOSのインストールを行うWindows Server付属のRemote Installation Servicesなどの集中管理システムも用いられる。

監視システムとしてのスパイウェア

スパイウェアが持つユーザに知られることなくその振る舞いを監視する機能を逆手にとり、それをパソコンの盗難対策に役立てるソリューションがある。機密情報を保存したコンピュータやPDAが盗難されたとき、その追跡や起動の妨害、リモートからの情報消去を備えることでそれに対抗するソフトウェアが存在し、主に企業向けに発売されている。

具体的には、あらかじめ指定したプロバイダ以外の接続経路でインターネットに接続した場合には、接続経路を解析した上で、本来の所有者にそれを連絡する機能や、インターネット経由でリモート操作やデータ消去を行える機能を備えている。

過去には、一対一で操作をサポートする為にインターネット経由でパソコンをリモート操作する事のできるソフトウェアを利用して、盗まれてしまったパソコン内部の個人データを消した上で、盗んだ犯人宅から自宅へダイヤルさせ、着信履歴から盗まれたパソコンを使って居た人物の特定と、パソコンの回収に成功した例も報じられている[3]

既知のスパイウェア

  • ポップアップ表示:
    • 180 Soultions
    • DirectRevenue
    • lop(広告活動, ポップアップ表示, セキュリティ上の危険, 無作為にダイヤル)
  • ポップアップ表示(システムを破損させるか、動作を重くする恐れのある物):
    • Bonzi Buddy
    • Cydoor
    • Gator, Claria社製 (広告活動, ポップアップ, プライバシー侵害, 重大なセキュリティに於ける危険, ファイアウォールを部分的に無効化, 安定性に問題)
    • New.net (セキュリティ上の危険, 安定性に問題, 接続ができなくなる被害)
    • ShopAtHomeSelect
  • ブラウザハイジャッカー:
    • CoolWebSearch - 最も有名なブラウザハイジャッカー
    • Euniverse
    • Xupiter
  • ダイヤラ:
    • XXXDial
  • 情報を盗むスパイウェア:
    • BackOrifice
    • VX2
    • update.exe
    • Baidu
  • リアルスパイウェア
    • Human Spyware "Qualia"
  • 偽装アンチスパイウェアソフト、偽装セキュリティ対策ソフト:
    • WinFixer(「ウイルス、スパイウェアに侵されている」「システムに重大な欠陥がある」等とポップアップで示した後、別ウィンドウでシステムの脆弱性を騙り、同時にウイルス名やIPアドレス等を表示して閲覧者の不安感を煽りインストールを強要する手口で主に導入される。存在しない脅威をレポートしプログラムを購入させようクレジット番号の入力を迫る、偽装セキュリティツール。)[1]
    • WinFixerと同じ会社が作るソフトウェア(ウェブサイトでの会社名は違う)
      • WinAntiVirusPro
      • WinAntiSpyware2005
      • SystemDoctor
    • ErrorGuard
    • Spyware Nuker
    • Reimage Repair
  • その他:
    • Internet Optimizer (広告活動, 虚偽の警告メッセージ表示, プライバシー侵害, セキュリティ上の危険)
    • MarketScore (インターネットの接続速度を早くすると主張: 重大なプライバシー侵害, インターネット接続を破壊)
    • CnsMin (中国製; プライバシー侵害, 日本では、これのカスタマイズ版がJWordとしてインストールされる)
    • ルートキット
    • Pegasus(イスラエル企業NSO Groupが開発し複数の国の政府に販売、スマートフォンを標的とする)[4]

脚注

関連項目