2006年02月09日(木) 09時03分

スパイウェアを撲滅するには？（japan.internet.com）

スパイウェアにおける最近の動向に

昨年12月から、「スパイウェア対策を名乗る」スパイウェアによる被害報告が増えてきました。

それらの多くはアドウェアに分類されるものですが、中にはトロイの木馬に分類されるものもあります。スパイウェアが脅威であることが一般に知られて来たことと、一方で、スパイウェアそのものがいったい何か定義できないことで、こうした被害が増えてきているのかも知れません。

今回のテーマを進める前に、これら最新の動向についても報告しておきたいと思います。

SpywareStrike、SpywareCleaner、UnSpyPC、Winfixer、SpyAxe などが代表的なものです。

当初これらは、悪質な偽スパイウェア対策ソフトウェアをユーザーが自身でダウンロードして、インストールすることで感染すると考えられていましたが、それだけではなく、他の無料のソフトウェアにバンドルされていたり、特に多い感染方法として、ドライブバイインストールがあるようです。

これらのソフトウェアは、ダウンロードを可能にするためのいくつかのアフィリエイトサイトを持っていること、またそれらのサイトには、ドライブバイインストールを可能にする ActiveX スクリプトが組み込まれていたり、ブラウザのセキュリティ脆弱性を利用してインストールを可能にしていることで広まっているのではないか、と考えられます。

これらのサイトはまた、日本語のページや日本語化されたソフトウェアも配布していることも、日本での感染が増えている原因と考えられます。

以下の対策を確実にすることを強くお薦めします。

・ブラウザで IE を利用している場合は、SP2 の適用に関らず、アクティブ スクリプトを無効にするか、または実行前にプロンプトを表示するよう設定
・Microsoft からの最新のセキュリティパッチを随時適用する
・ブロックリストなどの技術で不正な ActiveX コントロールを不活性化する

スパイウェアガイドでの統計情報でも、12月以降 Winfixer の検出と被害報告が増えています。

これらの「スパイウェア対策ソフトウェアを名乗るスパイウェア」では、スパイウェアとはあまり関係のない一時ファイル、リンク先のないリンクファイル、ショートカットキーやクッキー ファイルをスパイウェアのように表現してユーザーの恐怖心を煽り、製品を販売するだけでなく、他のアドウェアやトロイの木馬をユーザーの知らない間にダウンロードするもの、またはアンインストールしても、完全にアンインストールされずに、コンピュータにセキュリティの脅威があると警告し、再インストールさせようとするものなどがあります。

最近の調査では、Winfixer はアドウェアだけでなく、Vundo と呼ばれるトロイの木馬とも関連していると思われています。

Winfixer から感染する Vundo は、おそらく現時点では自動除去が不可能なトロイの木馬のひとつです。これは winlogon.exe の子スレッドとして、カーネルレベルで実行されています。こうした種類のスパイウェアを、フォイストウェア（ Foistware ）として分類することができます。

スパイウェアの目的は経済活動である

スパイウェアを技術的に捉えて、それに対抗する技術によりスパイウェア対策を行うことは、永遠に続くいたちごっことも思われます。

技術的な対策は、技術の専門家に委ねるしかありませんが、IT 業界全体、または行政レベルでの対応も効果的であると思われます。

残念ながら、現在の日本の IT 社会では、こうしたレベルの取り組みは行われていません。そのためユーザーは、常に新たな脅威から自分自身を守るために、時間やお金を費やすことになります。

いつも説明していることですが、スパイウェアとは経済活動を目的とした脅威です。これは、スパイウェアに限らず最近の IT への脅威は、スパムメールなどに見られるように経済活動が背景にあり、そこで生まれる経済効果が、新たな技術を開発するために再投資されるわけです。

スパイウェア行為の抑止

従って、その目的である経済活動を絶つことが、まさに、これらを絶つための究極の方法であるといえます。

そのための対策を、IT 業界や政府レベルで提供することではないでしょうか？　スパイウェアの製作者だけではなく、配布したサイトやバンドルしたソフトウェアの製作者、また接続先 Web サイトなどを取り締まる仕組みを確立し、さらに罰金による処罰を科すことで、スパイウェアの配布が経済的活動としてもはや有効でないことを明確にし、抑止力を高めることが可能と思われます。

最近の 米国の事例 は、非常に有効に思われます。そこではスパイウェアを配布した業者は、それで得た売上げと同額の賠償金を支払うことになった、とのことです。

日本では、これらの法整備などを含め非常に遅れているのが実情で、急速な対応が必要となるでしょう。

訴訟された偽スパイウェア対策ソフトウェア

2006年1月25日は、SpywareCleaner を販売していた Secure Computer が、Microsoft などから 訴訟 を起こされました。ワシントン州法によりニューヨーク州の会社、Secure Computer が訴えられていることも面白いのですが、この訴訟で注目すべき点は、どんな手法で Secure Computer 社が Spyware Cleaner を販売していたか、ではないでしょうか。

まず、Spyware Cleaner そのものですが、ソフトウェアには、アドウェアがバンドルされていることで、インストールしたコンピュータには、ポップアップ広告が表示されるようになります。また、ソフトウェア自身もアンインストールするだけでは簡単に削除されず、スタートアップに登録されたプログラムが自分自身を復活させる機能を持っているようで、除去が困難なソフトウェアです。また、インストールされると、ユーザーのセキュリティ設定をユーザーの知らない間に変更します。

販売方法については、ダイレクト メールを使って、まるで Microsoft 社からの製品であるかのように紛らわしい広告を配信したり、高額の報酬率で多くのアフィリエイトを利用したりしていたようです。

あるアフィリイトは、Google などに検索キーワード“Microsoft Anti-Spyware”などで有料リンクを登録することで、消費者を騙して、彼らの Web サイトに誘導して販売していたようです。

また、MS Web サイトを訪問すると、“スパイウェアに感染している”と警告を表示して、ユーザーを脅かして商品を販売する方法も利用していました。MSN メンバーには、“MSN メンバーのための特別なセキュリティ アラート”として、製品を広告するメールが配信されていたようです。

スパイウェア行為の抑止

この例でもわかるように、スパイウェアというより、高度に洗練された、インターネットを使った商法が使われているため、訴訟はそれぞれ違反項目ごとに罰金が加えられるようです。恐らく訴訟されるもの製品の開発元だけでなく、アフィリエイトや、メール配信業者にも及びます。

アフィリエイトでは75％の報酬率だったそうなので、アフィリエイト パートナーにとっては、販売意欲をそそられる製品だったことは間違いないでしょうが、果たして、その製品が消費者によってどんなに悪影響があるのか、無知のまま配信に協力したのかどうかも、争点となるかも知れません。

技術的な観点からいうと、スパイウェアを撲滅することは、不可能といえます。理由は、それが常に進化する技術を使っているために、永遠のいたちごっこであるからです。

しかし、高度な手法を使った過剰な販売行為は、すでにインターネット上で蔓延しています。法整備などを急速に進める必要があると思われます。

例えばアフィリエイトという手法は、一般に普及していますが、やはり過剰と思われるものが多く見られます。アフィリエイト パートナーが、扱っている品物が何かを熟知することなく報酬率で選択するようになると、悪意を持った製品も一気に広がってしまいます。意図したかしていないかに関らず、悪意を持った製品の配布に協力した業者は、刑罰の対象になるような法整備が必要ではないでしょうか？



■関連記事
Microsoft、スパイウェア販売業者を提訴
スパイウェアによって何が起こるか？

デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html

http://headlines.yahoo.co.jp/hl?a=20060209-00000001-inet-sci