Internet Watch logo
記事検索
バックナンバー
【 2008/10/08 】
第30回:パスワードのセキュリティ
[11:18]
【 2008/09/24 】
第29回:USBメモリのセキュリティ
[12:31]
【 2008/09/17 】
第28回:メール編(17)迷惑メールをめぐる法改正
[12:51]
【 2008/09/03 】
第27回:メール編(16)迷惑メールを無視する(下)
[15:11]
【 2008/08/27 】
第26回:メール編(15)迷惑メールを無視する(上)
[11:37]
【 2008/07/30 】
第25回:メール編(14)迷惑メールを回避する
[11:51]
【 2008/07/23 】
第24回:メール編(13)迷惑メールに潜む罠(下)
[11:25]
【 2008/07/16 】
第23回:メール編(12)迷惑メールに潜む罠(中)
[11:18]
【 2008/07/09 】
第22回:メール編(11)迷惑メールに潜む罠(上)
[11:18]
【 2008/07/02 】
第21回:メール編(10)迷惑メールが来るキッカケ(下)
[11:23]
【 2008/06/25 】
第20回:メール編(9)迷惑メールが来るキッカケ(上)
[16:01]
【 2008/06/18 】
第19回:メール編(8)「迷惑メール」が氾濫する理由
[11:15]
あなたの身近なセキュリティ

第5回:WWW編(4)

スパイウェアとアドウェア

どこまでが個人情報?

 「個人情報を守る」というのは、自宅のPCでも個人情報を預かる企業にとっても重要だ。特に個人情報保護法が施行された現在では、情報漏洩した企業は一夜にして評判を落としかねない。ということで今回は、個人情報に関わるスパイウェアやアドウェアなどに触れたい。

 スパイウェアの定義というのは、以前だとセキュリティベンダーによって異なっていたが、現在は業界標準の定義ができている。正式に決まったのは2006年1月だ。基本的にはリスクの加算というところがポイントになっている。ただし、以下の記述にはこの定義は使わない。

 個人ユーザーにしてみると、「個人を特定される情報が出るのはイヤ」という生理的な感覚があるだろう。とはいえ、どこまでを個人情報と定義するかについては難しい側面もある。

 たとえば家庭のPCでINTERNET Watchを見たとしよう。閲覧によってCookieファイル(注:Webブラウザに作られる識別用ファイル)が作成されるので、そのPCで閲覧した記事のリストというのは、Impress Watchに取得されている。

 また、Webサイトに広告を提供する広告代理店は、サイトごとにCookieを用意している。そのため、同じ広告代理店がCookieを用意したAサイトとBサイトに利用者がアクセスした場合、その広告代理店は同一のマシンからのアクセスと判断することが可能だ。

 とはいえ、これらのCookieが、個人を特定することはない。あくまでPCを特定するだけであり、さらにCookieが削除されればその情報もリセットされる。しかし、Cookieの利用に関して、閲覧行動を把握するために使われる場合は「トラッキングCookie」と呼ばれる。

 さらに、何らかの方法で広告業者がユーザーの情報を得た場合、より絞り込みを行なった広告を出すことができる。たとえば「三十代既婚男性、持ち家あり」+「○○関係のWeb閲覧」というような条件を満たすと広告を出せるわけだ。これは「行動ターゲティング広告」と呼ばれ、より関連性の高い広告を出せることが特徴だ。


「無法・無差別」なのがスパイウェア

 こうしたユーザーの行動を「無許可・無制限」に収集すると、スパイウェアといえるだろう。古くからある一例としてはキーロガーが挙げられる。

 キーロガーとはキーボード入力をすべてモニターし、記録するものだ。キー入力を解析すれば(おそらく)IDとパスワードが入手できる。古典的なものはキー入力だけだが、現在ならばおそらくマウスクリックやマウスの位置も記録するだろう。

 キーロガーにはプログラムで行なうもの以外にハードウェアキーロガーというものもあり、キーボードの間にユニットを入れるほか、「キーボードそのものに仕込んだ製品」もある。ハードウェアキーロガーはアンチスパイウェアの類ではまったく検知できない(その代わり、仕込みとデータ回収のために実地に出向く必要がある)。

 キーロガーは単純にデータを収集するだけでなく、特定のアプリケーション実行時やWebブラウザの動作と組み合わせる使い方もあるようだ。たとえば重要データを扱うサイト(より具体的には、Paypalやオンラインバンキング等)のURLのアクセス時に限ってキーロガーを動作させれば、悪意のある攻撃者は、より“効率的な”データ収集ができる。IDを盗むのは銀行だけでなく、オンラインゲームではユーザーアカウントを盗み、端的にはユーザーの持っているレアアイテムを盗むということも考えられる。

 またスパイウェアは、特定の種類のファイルや特定のプログラムからデータを盗むケースもある。たとえばメールアドレスとパスワードをキーボードから入力するのはWebメールに限られるだろうが、特定のメーラーにターゲットを絞ることによって記録されているIDとパスワード(ある程度慎重な人ならIDのみだが、キーボード入力のパスワードはキーロガーを併用して入手する)を得られる。

 最近セキュリティベンダーでは、「インターネット上の『脅威となる犯罪』は愉快犯から組織犯罪へ」というのが共通認識となっている。これは、売り物になる個人情報をばら撒くよりも、ひそかに取得して販売する方がずっとお金になる、という背景があるためだ。 スパイウェアはいうまでもなく犯罪行為だが、セキュリティソフトに見つからないようにインストールされ、データもこっそりと送信されるケースが少なくないといえよう。


ユーザーとの契約に基づいて提供されるのがアドウェア

 「アドウェア」と呼ばれるプログラムは、先のスパイウェアと広告のためのCookieの中間のようなものになる。先に、「何らかの方法で広告業者がユーザーの情報を得る」と書いたが、それを行なうのがまさにアドウェアと言ってよい。Cookieは消せるが、アドウェアに登録したデータは、より強力に個人のPCを特定可能にする。

 アドウェアの具体的な内容としては、Webブラウザと連携して、閲覧しているURLの内容とユーザー情報に即した広告を出すことが挙げられる。つまり、アドウェアを入れると、すべてのWebページに広告を貼り付けるのと同様のことが行なわれるようになる。なお、この広告は一般にWebブラウザとは別ウィンドウに表示される。

 以前はアドウェアをスパイウェアと判断したケースもあったが、スパイウェアとアドウェアが決定的に違うのは、その行動内容をあらかじめユーザーに知らせており、契約に基づいた情報提供をしている、という点にある。アドウェアが具体的に何をしているのかはユーザーにはわかりにくい。万一、その実体が犯罪スレスレだとしても、ユーザーはその契約を行なってしまったというところが弱みになる。一方、契約条件を逸脱していれば「バッドウェア」と呼ばれる。


アドウェアを使うメリットとデメリットを考えて契約を

 「アドウェア≒スパイウェア」という言葉のマイナスイメージからアドウェアは減ったものの、去年あたりからまたアドウェアが復活しているようだ。キングソフトは無料のアンチウイルスソフトにアドウェアを添付したほか、Vectorとオプトリンクがシェアウェア作者向けにアドウェアの提供(これによりユーザーはシェアウェアを無料で利用できるようになる)を開始するというアナウンスも行なっている。

 契約が問題と書いたが、「アドウェアのプログラムに問題があってもユーザーは責任を問えない」という項目がある。こうした項目は市販ソフトウェアにも明記されているが、正当なアドウェアベンダーでは、脆弱性問題が発生した場合でもきちんと対処している。また、「アドウェアの動きを妨げる設定を禁止する」という微妙な記述があることも多い。ひどいケースでは、「対処方法がわからなければセキュリティソフトを解除せよ」という乱暴な文章も見たこともある。安全なマシンを目指すならばアドウェアを入れるべきではない、というのが筆者の私見だ。

 アドウェア(に限った話ではないのだが)をインストールする際には、そのアドウェアがどんなものであるかを確認し、どのような情報が「売られる」かも確認するのが望ましいだろう(かつての悪名高いアドウェアの中には勝手に追加プログラムのダウンロードを行なってインストールし、その後アドウェアをアンインストールしても追加ソフトのアンインストールができないというものがあった)。

 また、アドウェアを入れたことに起因するトラブルのサポートがあるかないかを確認しておくことも必要だろう。おそらくユーザーにとっては数千円程度のメリットが得られるだろうが、アドウェアを提供している会社は営利企業である限り、それ以上の「収入」を得るための行動をしている。特にたまにしか使わないソフトウェアの場合、そのソフト代を浮かせるために常駐するアドウェアを入れるのはワリにあわないと筆者は考えるがどうだろうか? この辺の損得勘定を頭に入れておいたほうがよいだろう。

 次回はWebから一旦離れ、21日に行なわれたシマンテックの「社会生活のオンライン化、ネットの脅威から子供を守る」プレスセミナーの内容を詳細にお届けする予定だ。


先週の気になったニュース(2/18~2/24)

「詐欺DNSサーバー」が増加中
http://ap.google.com/article/ALeqM5ifrgeDBfUGAvXtLH_vgVrKcm0s_wD8UPLR8O1
 本来のIPアドレスではなく、ニセサイト等への誘導を目的とした詐欺的DNSサーバーが増大しているという話。あらぬところに誘導される可能性がある。インターネットは性善説のシステムなので、このような悪意の行動に弱いのだ。

「フィッシングメールは無視して」と呼びかけるフィッシングメール登場
http://internet.watch.impress.co.jp/cda/news/2008/02/18/18485.html
 サイトに訪問させようとさせるのが目的なタイプのメールは、ありとあらゆる手段を使う。あらゆるメールリンクはクリックする前にちょっと考えた方がよいだろう。少なくても今まで届かなかったところからのメールは怪しむべきだ。

月例パッチの直後にWorksの脆弱性突くエクスプロイトコードが公開される
http://www.us-cert.gov/current/index.html#public_exploit_code_for_microsoft
 エクスプロイトコードの公開があれば、実際の攻撃コードが出るまでに時間がかからない、と思うべきでWorksユーザーはすぐにパッチを適用する必要がある。

FirefoxとOperaにBMP画像処理の脆弱性アリ
http://www.us-cert.gov/current/index.html#mozilla_firefox_and_opera_browser
 どちらも最新版にすることで解決される。ちなみにFireFoxのアップデートは差分のみなのでファイルサイズは小さめだった。



ソフォスが2007年の脅威レポートを発表
http://internet.watch.impress.co.jp/cda/news/2008/02/20/18521.html
 「イタズラから金銭目的の組織犯罪へ」という潮流をレポートしているセキュリティレポートは非常に多い。いくつもの脆弱性を片端から試すというような攻撃ツールを作るためにはそれなりの技術や開発費がかかることを考えると十分信用足りえる話だ。

マカフィー、セキュリティ研究レポート「Sage Vol.3」を公開
http://www.mcafee.com/japan/about/prelease/pr_08a.asp?pr=08/02/21-1
 この回のテーマは「マルウェアのローカライズ化」で各国毎に異なる実情をレポートしており、日本も対象になっている。これも一読をオススメしたい。

偽セキュリティソフトの「広告」が検索エンジンで登場する
http://sunbeltblog.blogspot.com/2008/02/incredible-c-netmedia-still-continues.html
 日本語の場合は異なるかもしれないが、有名ツール名で偽サイトに誘導されるケースがあるので注意したい。

「電話で聞きだす」フィッシング手段が登場
http://www.sophos.com/pressoffice/news/articles/2008/02/vishing.html
 フィッシングは偽サイトに誘導するのが定番だが、ここでは偽特設電話にかけさせて信用させるという手段。海外では「オレオレ詐欺」はなさそうだ。

トレンドマイクロ、情報公開の改善策を公開
http://jp.trendmicro.com/jp/about/info/index.html
 公開の改善策だけしか告知していないが、そもそも「CPU100%が続く現象を二度と起こさない」対応を2年前に行なったはずだ。それが機能していなかったことが最大の問題だったのではないだろうか?



2008/02/27 11:49
小林哲雄
中学合格で気を許して「マイコン」にのめりこんだのが人生の転機となり早ン十年のパソコン専業ライター。主にハードウェア全般が守備範囲だが、インターネットもWindows 3.1と黎明期から使っており、最近は「身近なセキュリティ」をテーマのひとつとしている。

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.