Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

スパイウェアやキーロガーなどの“ペスト”の現状を聞く

~ペストは特定の個人や企業を狙って仕掛けられる(渡部氏)

 コンピュータソフトウェア著作権協会(ACCS)が2003年11月に個人情報を漏洩して以来、2004年2月にはソフトバンクBBが460万件を漏洩し、3月末には京都府警や北海道警が立て続けに捜査書類を漏洩させるなど、情報漏洩事件が後を絶たない状況だ。

 特に京都府警や北海道警のケースでは、P2Pネットワークファイル共有ソフトを利用して情報を漏洩させるウイルスが原因だという情報も出ており、ウイルスやスパイウェアが一因となって情報が漏洩する危険性を認識する必要があるだろう。今回は、スパイウェアやキーロガーなどを検知・駆除するソフトウェア「PestPatrol」を販売している株式会社アークンの代表取締役渡部章氏にスパイウェアなどに関する話を聞いた。


自ら感染を拡げないタイプの不正プログラムをすべて“ペスト”と区別

アークン代表取締役渡部章氏
 渡部氏には、まず一般的なウイルスやワームと、アークンが「コンピュータペスト(以下、ペスト)」と呼称する不正プログラムの違いを聞いた。

 同氏によると、ウイルスとはPC上の特定のアプリケーションの“一部”に感染し、そのアプリケーションと一緒に動く点が特徴だという。WordやExcelのマクロウイルスなどが良い例だ。このようにウイルスは、感染先のプログラムが必要であり、単独での行動が行なえないものを指している。

 ワームは単体で活動可能な不正プログラムであり、また自分自身のコピーをメールやトロイの木馬機能を用いて送信する点が特徴だという。つまり、さまざまな媒体を利用して自分の感染拡大を図る。

 それに対してペストは、“ウイルスやワームの特徴を持たないものすべて”を指しているのだという。つまり、自分自身のコピーをメールやWebサイト経由で送信して感染拡大を図ることをせず、単独のアプリケーションとしてPC上で活動できる不正プログラムをすべて“ペスト”と呼んでいる。

 ペストは年間約3万個の新種が確認されており、同社のペストに関するDBには現在12万種類のペストが登録されているという。


ウイルスは不特定多数を対象にしているが、ペストは特定の個人や法人を対象に

 このようなペストの定義を聞くと、「自分自身のコピーを送信して、感染拡大を試みない」という点から、危険性が低い印象を受ける。この点について聞いたところ、同氏は以下のように説明し、否定した。

 「ウイルスは、そもそも不特定多数へ感染させることで、自己の技術力を誇示するなど、感染すること自体が目的の愉快犯が多い。しかし、ペストはスパイウェアやキーロガーなど、PCに仕込んだ後にデータなどを盗み出すことなどが目的であり、感染を拡げる必要がない点が大きく異なる。つまり、最初から特定の目的を持って、特定のPCに潜り込むのだ」と語った。

 例えばウイルスの場合、「いかに多くのPCに感染させるか?」がウイルス制作者の技術誇示に繋がっていることが多い。実際に3月に発覚したBagle、Netsky、MyDoom作者同士の抗争では、それぞれの作者グループ同士が感染数を競っていた。

 しかしペストの場合、「上司のメールを盗み見したい」「A氏のIDとパスワードを入手したい」「B社のWebサーバーをダウンさせたい」など、攻撃目標や目的があらかじめ決まっており、その目的を達成する手段として利用されるケースが多いというのだ。ただし、「個人情報の収集」などを目的として、不特定多数の人間を対象に“とにかく多く”の情報収集を図るケースもあるという。


ウイルスと同様にWindowsの脆弱性を悪用して感染するタイプも出現

 では、感染ルートとしては、どのような手法が用いられているのか。大きく分けて3種類の方法が示された。

 1番目は、ウイルスと同様にメールに添付ファイルとして送信されてくる場合。メール添付型では、昨今のウイルスなどと同様に、長い拡張子を用いて本来の拡張子を隠す手法“ダブル拡張子”を用いて、本来の拡張子「.exe」を隠す手法などを用いるものも出現しているという。また、拡張子は「.jpg」なものの、バインド技術というものを利用して、画像を開くと同時に不正プログラムが実行されてしまうものもあるという。

 2番目は、WebサイトやHTMLメール経由で感染するケースだ。このケースの場合、ActiveXやJavaなどを用いて、リンクをクリックしただけで、知らないうちにスパイウェアなどがダウンロード・インストールされてしまっている場合もあるという。最近では、Flashプレイヤーなどの特定のプラグインソフトを装ってユーザーにダウンロードを促し、インストーラーによってプラグインソフトがインストールされるのと同時にペストをインストールしてしまうケースも多いという。また、ソフトウェアのアップデートを装うものもある。

 3番目は内部犯行者など、実際に感染させたいPCに触れる人間が仕込むケースだ。LAN経由でインストールしたり、社内情報を収納したCD-ROM起動時にペストがインストールされうようにするなど、さまざまな手法が考えられる。

 これらの手法では、ウイルス「Blaster」などと同様にWindowsの脆弱性を悪用し、クリックしなくても感染するペストも確認されており、ウイルス同様にネットワークに接続しているだけで感染するペストや、クリックしないでも感染するペストも出現する可能性は高い。


地味な行動ゆえに発見されず、何年間も情報漏洩し続ける

 このように、ペストであっても、最新のものはユーザーが意図しないうちに感染するケースも考えられる。渡部氏は、さらにペストの怖さとして“地味な行動”を挙げた。

 「地味な行動」とは、ウイルスのように自分自身のコピーを大量送信しないところや、仕掛けた犯人の欲しい情報だけ送信するなど、ネットワーク管理者が見落とす可能性が高いという点だ。ある意味、Blasterのように独自のSMTPエンジンを利用して大量にメールを送信する行為は、「管理者に感染していることを教えている行為」だと言えるだろう。しかし、ペストは「『いかに見つからないか』という点に技術を投入しているため、なかなか発見できない(渡部氏)」という。

 また、ペスト検知ソフトの誤検知も問題だ。この場合の誤検知とは、管理者自らが設置したソフトウェアがペストとして検知されてしまうという点だ。例えば、「管理者が、PCの利用状況を管理するために情報収集しているケース」などは、検知ソフトがスパイウェアとして誤検知してしまう可能性が高い。


仮想VPN構築ソフトでさえ、グレーゾーンのソフトとしてペスト検知のDBに登録

 この点について、アークンの「PestPatrol」では、企業によっては“好ましくない”と思われるようなソフトを“グレーソフト”と認定し、それらのグレーソフトは、すべてデータベースに登録しているという。

 スパイウェアやキーロガーなど、明らかに悪意のあるソフトだけではなく、使い方によっては悪用できてしまうソフトに関しても、独自の基準でグレーソフトと認定し、DBに登録。ユーザー側で、白か黒かを判定してもらうという方針だ。

 この方針に従い、2003年12月に発表された仮想VPN構築ソフトでも、企業によっては「クライアントにインストールして欲しくない」ソフトとして認識するケースもあると考え、グレーソフトと認定されている。


ウイルスは“外国産”が多いが、ペストは国内で作られたものが非常に多い

 さらに、「ペストは国内で作られたものが非常に多い」点も問題だという。ウイルスは通常海外で作成され、日本に伝搬するケースが多いが、ペストの場合、日本特有のサービスを対象にしているケースが多いため、必然的にペスト自体も日本のサービスに合わせて改良されたものが多く出回っているという。

 例えば、日本の大手オークションサイトにて、自分の商品紹介サイトにURLを記載しておき、そのURLをユーザーがクリックすると、スパイウェアが自動的にダウンロードされる。そのスパイウェアは、そのオークションサイトのIDとパスワードを盗む仕組みになっており、IDやパスワードが漏洩して悪用されるケースなどが考えられるというのだ。

 このようにペストは、ウイルスやワームのように“派手な”活動は行なわないものの、地味だが着実に目的のPCに侵入して目的の情報などを流し続ける、といった活動を行なっている。気付かないうちに情報漏洩しないためにも、ウイルス対策と同様にペスト対策も、ペスト対策ソフトなどを導入して対策する必要があると言える。PC内にペストがあるか調べてみたいユーザーには、アークンが無料のオンラインスキャンサービスを提供している。

 最後に渡部氏は「ペストは、ウイルスのように一気に数十万台に感染を拡げるものではないので地味に見られがちだが、1回感染してしまうと気付かないケースが大半だ。検知が難しいことも加えて、何年間もPC内に居るケースがほとんどだろう。この点がウイルスと異なる。ウイルス同様に、定期的なペストチェックもする必要があるのではないだろうか」と、ペスト感染の危険性を訴えて話しを締めくくった。


関連情報

URL
  アークン
  http://www.ahkun.jp/
  PestPatrol無料ペストスキャン
  http://www.ahkun.jp/resource/dl.html
  関連記事:アークン、不正アクセス監視ツール「PestPatrol 日本語版」を発売
  http://internet.watch.impress.co.jp/www/article/2003/0414/pest.htm
  関連記事:米PestPatrol、スパイウェアやキーロガーオンラインスキャンサービス
  http://internet.watch.impress.co.jp/www/article/2003/0725/pest.htm

関連記事
ウイルス作成グループ同士の「戦争勃発」とアンチウイルス各社が警告(2004/03/04)
北海道警察、個人情報8人分の捜査書類をP2Pソフトで流出(2004/03/31)
京都府警、個人情報11人分が含まれた捜査書類をネットで漏洩(2004/03/29)


( 大津 心 )
2004/04/26 11:16

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.