各社、各団体のスパイウェアの定義

スパイウェアは、「利用者や管理者の意図に反してインストールされ、利用者の個人情報やアクセス履歴などの情報を収集するプログラム等」と定義されます。
[情報処理推進機構(IPA)と日本ネットワークセキュリティ協会(JNSA)スパイウェア対策啓発WGによる共同の定義]

スパイウェアによる企業への影響

  • スパイウェアの被害は個人レベルでの被害にはとどまりません。スパイウェアが企業内のPCに侵入すると以下のような被害が発生します。
    • 顧客情報などの個人情報の漏えい
    • 知的財産などの機密情報の漏えい
    • セキュリティ侵害
    • PCパフォーマンスの低下
    • ネットワーク負荷の増加
  • 企業内ではスパイウェアによって、個人情報が外部に漏えいする可能性があります。これは個人情報保護法の観点から、絶対に回避すべき企業リスクです。また、スパイウェアによって管理者のログインパスワード等が漏えいすれば、システムへの不正アクセスを自由に許し、結果的に企業の機密情報が漏えいすることになります。
  • また、スパイウェアによるシステムへの影響は甚大です。スパイウェアが侵入するとPCが不安定になったり、パフォーマンスが悪化したり、最悪の場合フリーズしたりします。また、情報が外部と頻繁に通信されれば、ネットワークへの負荷も大きくなります。
  • 更に、スパイウェアは、自分自身の存在を隠すためにセキュリティソフトを無効化にするものも存在します。その結果、防衛できたはずの不正アクセスを回避できないというセキュリティ侵害を引き起こします。
  • スパイウェアの被害によるビジネスリスクには以下があります。
    • なりすまし(不正送金や不正電子商取引)
    • サイトの閉鎖
    • 売上ダウン
    • 企業イメージの失墜
    • 株価の低下
  • 顧客のPCに侵入するスパイウェアも企業にとって大きなリスクとなります。例えば、インターネットバンキングやイートレード利用時に、利用者により入力される口座情報、ログインパスワード等の取引に必要な情報を記録され、外部に送信されます。これらの情報が流出すると、金銭的な被害が発生し、サービスを提供した企業側がその被害を補填する義務が生じます。
  • 2005年7月には、国内の金融機関が運営するインターネットバンキングの利用者や大手のショッピングモールのショップ管理者をターゲットとしたスパイウェアが出回りました。実際に、取引情報を抜き取られ、それらの情報を利用された不正送金の被害事例が報道されています。
  • 今やスパイウェアは企業にとって大きなビジネスリスクとなっていると供にインターネットと言う社会インフラに寄生する病原菌となっています。自社のPCへのスパイウェア対策は勿論、顧客のPCに対するスパイウェア対策も啓発しなければ、自社のビジネスリスクを回避することはできません。スパイウェアの被害が一旦報道により明るみになれば、インターネットビジネスはあっという間に窮地に追いやられます。サイトの一時閉鎖、客離れや買い控えによる売上げダウン、企業イメージの失墜、それに伴う株価の低下も起こります。

スパイウェアの仲間たち

  • 個人情報を盗み出す不正プログラムとしては、他にキーボードのキーストロークを盗み外部に漏洩する「キーロガー」(Keylogger)や、ネットワークに流れるパケットを盗み、個人のパスワードやWeb閲覧履歴、メールの内容までも盗聴する「スニファ」(Sniffer)(=パケットアナライザ)などのハッキングツールがあります。これらも情報を盗んで外部に漏えいする観点から見れば広義にスパウェアの一部であると言えます。
  • 同じソフトウェアでも使用者によっては管理ツールとして使用したり、ハッキングツールとして使用できたりするものがあります。このような使用者とその目的によって白にも黒にもなりえるツールを「グレーウェア」とか、「リスクウェア」呼んでいます。多くのキーロガーやスニファはクライアント管理の目的で商用ツールとして実際に販売されています。
  • また、コンピュータウイルス、ワーム、スパイウェアなどの「悪意のある」ソフトウェア全体のことを「マルウェア」(Malware = Malicias Software)と呼んでいます。国内で言うところの広義の「ウイルス」または「不正プログラム」とほぼ同義語と考えてよいでしょう。
ウィルス プログラムに寄生して増殖し、感染、破壊、いたずら、盗聴などの被害を与えるプログラム。
ワーム 自分自身をコピーして増殖し、感染、破壊、いたずら、盗聴などの被害を与えるプログラム。
トロイの木馬 通常のソフトウェアに見せかけて、破壊、いたずら、盗聴などの被害を与えるプログラム。
スパイウェア ユーザの知らないうちに、ユーザの情報や操作履歴を外部に送信するプログラム。
アドウェア 広告のウインドウをポップアップ表示させたり、ブラウザで広告を表示させるプログラム。
ハイジャッカー ブラウザ起動時に最初に表示するWebページ(ホームページ)を変更したり、閲覧しようとするページとは異なるページへ強制的に誘導するプログラム。
ボット 外部からの命令により、他人のパソコンを制御したり、攻撃の踏み台にするために、制御するパソコン側で動作するプログラム。

パソコンユーザのためのスパイウェア対策5箇条

  • 独立行政法人 情報処理推進機構(通称IPA)のセキュリティセンターでは、スパイウェアの被害を鑑み、以下のパソコンユーザのためのスパイウェア対策5箇条を発表しました。
    http://www.ipa.go.jp/security/antivirus/spyware5kajyou.html
    1. スパイウェア対策ソフトを利用し、定期的な定義ファイルの更新およびスパイウェア検査を行う
    2. コンピュータを常に最新の状態にしておく
    3. 怪しいサイトや不審なメールに注意
    4. コンピュータのセキュリティを強化する
    5. 万が一のために、必要なファイルのバックアップを取る

ウイルスとスパイウェアはどこが違うの?


  ウイルス スパイウェア
侵入経路
90%以上はメール添付で侵入 アリケーションのインストール時、WEB閲覧時、バックドアを悪用して、故意に
構 造
プログラムの一部としてファイルなどに感染して増殖 独立したプログラムでPCにインストールして活動、増殖しない
症 状
多くは感染自体が被害 情報漏洩など実被害がある
産 地
ほぼ100%海外産 国産スパイウェアの増加

スパイウェアの抱える問題点

  • スパイウェアには危険度の低いものも多いという実情があるにしても、大きな問題を3つ抱えています。1つは、スパイウェアを作成する個人や会社は、商用アプリケーションには有償で利用させて、フリーウェアには無償で利用させているケースが多々あることです。このスパイウェアの機能をハッキングツールなどに利用された場合、明らかに危険度の高い個人情報が取得されるツールが作成されてしまいます。
  • 2つめは、スパイウェアがユーザの知らない間に組み込まれてしまうことです。従来はスパイウェアがインストールされることの同意文書をライセンス条件に紛れ込ませる企業が多数ありました。しかし、個人情報収集機能や広告機能に関する説明は、あったとしても、時折長々とした使用許諾書に埋もれており、多くのユーザは気がつかないで利用しています。たとえ危険度の低い情報であってもこの「知らない間に」というのが問題です。ソフトウェアがユーザの意図する目的以外の動作をすることこはやはり許せるものではありません。
  • 3つめは、一般的なソフトウェアによるプログラム自動更新機能やサポート目的のデータ通信が度々スパイウェア活動と疑われることです。どこまでがソフトウェアとして許されるのか?どこまでが個人情報漏洩として許されないのか?の基準が法律などで整理されない以上、この問題は永遠のテーマとなってしまいます。

海外の動向

  • ソフトウェアは、インストール時のアクティベーション(正規のライセンスを持っていることを証明する仕組み)やユーザの使い勝手を良くする目的で個人を識別する情報を取得する場合があります。また、WebサイトでCookieを利用する場合にも個人を識別する情報を取得する場合があります。同様にサポート目的や商行為などで一般的なソフトウェアやWebサイトが個人情報を取得する場合があります。今後、これらの行為はスパイウェアと疑われないようにするためにも、情報を取得する事実とその目的を明確に提示してユーザの許可を得る必要があります。米国ではこれらを厳密に実施するために以下の法律的対策と、業界団体による基準作りを実施しています。
  • 2005年4月、米下院エネルギー・商業委員会において「SPY ACT」が提案されました。「SPYACT」では、スパイウェア関連の不公正、または詐欺的な行為を禁止しています。個人特定につながる情報を消費者から収集する合法的なソフトに対して、オプトイン方式の通告と同意を義務付けています。禁止しているスパイウェア行為としては、フィッシング、キー入力ログ記録、ホームページ乗っ取り、PCを終了させない限り閉じることができない広告などです。違反すると最大300万ドルの罰金となります。また、2005年5月、米下院司法委員会において「I-SPY」が提案されました。不必要なソフトウェアを埋め込むことを目的として意図的にPCに不正アクセスする行為を禁止しています。この法案では犯罪目的での不正アクセスを行うと罰金または最高5年の禁固刑になり、犯罪/破壊目的で個人情報を転送するための不正アクセスを行うと最高2年の禁固刑となります。現在、両法案とも下院本会議での採決待ちとなっています。
  • また米国では、合法ソフトと違法ソフトの区別を明確にし、消費者が自分のPCを健全な状態に維持しやすい環境を整えることを目的として、スパイウェア対策の業界団体、Anti-Spyware Coalition(ASC)(http://www.antispywarecoalition.org)が設立しました。ASCでは、最初のスパイウェア対策強化として、スパイウェアとは何か?何が問題なのか?について見解を一致させるために定義と共通用語集の作成を実施しました。

被害事例

  • 2005年8月、米国でスパイウェアを使った大規模な個人情報盗難が発覚しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って多数のパソコンからクレジットカード番号、社会保障番号、ユーザ名、パスワード、インスタントメッセージのチャット内容、検索のために入力したキーワードなどの個人情報を収集しました。関係した銀行は50にもおよび、現在、連邦捜査局(FBI)がこの事件について調査を進めています。
  • 2005年7月4日、国内のネット銀行でパソコンの情報が盗まれ預金が引き出される事件が起こりました。攻撃者はPC上のキーボード入力して外部に送信するスパイウェア(キーロガー)を使ってインターネットバンキングの利用者のPCから口座の支店名や口座番号、パスワードを盗み、預金13万円を無断で引き出していました。
  • 2005年7月9日、国内のネット銀行でパソコンの情報が盗まれ貯金が別の口座に転送される事件が2件起こりました。預金が不正に振り込まれる事件が2件発生しました。攻撃者はPC上のキーボード入力を記録して外部に送信するスパイウェア(キーロガー)を使って利用者のPCからネットバンキング用のIDやパスワードを盗み、利用者の口座から、別の口座に総額500万円を無断で転送しました。

スパイウェアを検出してみよう!

  • 各ベンダーのスパイウェア対策ソフトウェアの評価版をここからダウンロードして利用できます。機能制限の確認と使用許諾書を良くお読みになり正しくご利用ください。