Spywareは、ウィルスやSPAMほどは知名度がまだ高くないので、この言葉を聞いたことがある人も、ない人もいるのではないかと思う。Spywareの定義は人によって多少異なるが、これはパソコンの中に入って動くソフトウェアで、ユーザーがどのようなウェブサイトにアクセスしたかとか、いろいろなコンピューター使用の行動をモニターし、それをインターネットを通じて外部に通信するものである。まさしく、その名のとおり、スパイのような活動をするソフトウェアである。
広告業者が、ユーザーの嗜好に合わせたポップアップ広告を出したりするためによく使われる。特にこの広告目的のものをAdwareと言ったりもする。これだけでもユーザーの行動を勝手にモニターして外部に伝えるということで、プライバシー上の問題があるわけだが、Spywareによっては、この程度では済まないものも出てきている。
通常、ブラウザーを使ってウェブをアクセスする場合、まずブラウザーを起動したときに行くサイトを指定していると思うが、これを勝手に変えてしまうSpywareもある。さらに、自分ではGoogleやYahooでサーチを行っているつもりが、勝手に途中で割り込み、自分に都合のよいサーチ結果を出すという悪どいSpywareも出てきている。こうなると、自分のパソコンやブラウザーを乗っ取られたに等しい。単にAdwareが裏で情報を外部に流しているだけのときは、ユーザーは気がつかない場合も多いが、ここまでくると、ユーザーにもわかる場合が多く、極めて大きな問題となってくる。
さらに怖いのは、Key Loggerと言われるもので、ユーザーのキーストロークを読み取って、その情報を外部に送信するものもある。ユーザーはパスワードやクレジットカード番号等も当然キーインするので、パスワードやクレジットカード番号等が盗まれる可能性もある。
では、このようなSpywareは、どのようにユーザーのパソコンに入ってしまうのだろうか。Spywareを自分でわざわざダウンロードしたという人も少ないだろうし、Spywareをパソコンに入れていいですかと聞かれれば、NOと答える人がほとんどであろう。実際、Spywareがこのように正面玄関から、ユーザーにお伺いを立てて入ってくる場合はほとんどない。
一番多いのは、無料で何かをダウンロードした場合、それに付いて来るものである。この場合、無料ダウンロードの条件として、簡単な契約的な文章があるものも多く、その中を詳しく読むと、Spywareを一緒にダウンロードすることが明記されている場合もある。ターゲット広告のためにこのようなソフトウェアを作っている会社は、Adwareが追加されることをちゃんと明記している場合が多いようだ。ただし、Spywareという言葉は使っていないので、よく読んでも見落とすかもしれない。ほとんどの場合は、もともとダウンロードしたいソフトウェアの使用に関することが中心に書いてあるし、YESと答えないとダウンロードできないので、この契約文を詳しく読まず、ユーザーはSpywareのダウンロードにもYESと答えてしまうことになる。
もっと性質の悪いものは、ユーザーに何も知らせず、勝手にダウンロードされるものである。こうなると、簡単に対応はできない。しいていえば、無料のダウンロード・サイトへ行かないということくらいであろうか。
このようなSpywareの問題が大きくなり、今、米国では、いくつかの州と、さらに連邦政府により、Spyware規制の法案を作る動きがある。具体的には、ユタ州で、“Spyware Control Act”が州知事によってサインされ、法律となることが決まった。しかし、これも問題は簡単ではない。例えば、何かソフトウェアがダウンロードされる度にユーザーにダウンロードしていいか聞く、ということも考えられているが、これだと正当なソフトウェアのエラー修正等の更新にも、いちいちこれを行う必要が生じ、面倒になる可能性がある。また、パソコンから何か情報を外へ出すソフトウェアというような定義の仕方をしてしまうと、Eメールまで含まれてしまう。
したがって、Spyware規制法案を作る場合は、その表現に十分注意する必要がある。例えば、少なくとも以下のようなことは禁止すべきだと、シリコンバレーの新聞Mercury Newsでは述べている。
― ユーザーが認めていない(許可していない)ソフトウェアのダウンロードやSPAMを送る目的で、パソコンをハイジャックすること
― Key Logger等による不正なサーベイランス
― Spywareのアンインストールを極めて難しく、あるいは不可能にすること
では、ユーザーはどのようにしてSpywareに対処すればいいのか。コンピューター・ウィルスの時と同じように、怪しげなサイトへ行ったり、怪しげなものをダウンロードしないということが大きな予防にはなる。しかし、まともに思えるサイトから無料のダウンロードをしない人も少ないであろう。対応措置としては、ブラウザー等のセキュリティ条件を厳しく設定することに加え、コンピューター・ウィルスにアンチウィルス・ソフトウェアがあるように、Spyware駆除ソフトウェアが存在するので、これらの活用が一つの有力な方法である。
Spyware駆除ソフトウェアには、無料のもの、有料のものいろいろあるが、その中には、Spyware駆除ソフトウェアを名乗りながら、実はそれがSpywareというやっかいなものもあると言われている。したがって、単にSpywareというキーワードでサーチをかけ、みつけたものをダウンロードするというのは、危険が伴う。なお、Spywareを駆除した場合、それを使っていた無料ダウンロードしたソフトウェアが動かなくなる場合があるので、その点は事前に知っておく必要がある。
本来、このレポートでは特定製品について推奨などするつもりは全くなく、また、それらの製品がよい製品であるという保証も出来ないが、Spyware駆除ソフトウェアについて知らない人も多いと思うので、米国の有力新聞、雑誌等に名前が挙がっているものをいくつか上げておく。
― Spybot Search & Destroy (www.safer-networking.org)
― Spysweeper (www.webroot.com)
― PestPatrol (www.pestpatrol.com)
― AntiSpyware (www.mcafee.com)
インターネット・サービス・プロバイダーのEarthLink社では、Webroot社の協力を得て、今年1月から3月末までに約100万のパソコンを調査した結果、平均で約28個のSpywareがそれぞれのパソコンから見つかったと報告している。これは、並大抵の数ではない。実は私の家庭用パソコンでも、ほぼ同じくらいの数のSpywareが見つかった。恐ろしい話である。
Spywareは、上に書いたような問題以外にも、パソコンのリソースをたくさん使うため、結果としてパソコンの処理スピードを低下させることも多い。一度Spyware駆除ソフトウェアで、パソコンを掃除してみることをお勧めしたい。
(04/01/2004)
メディア通信トップページに戻る