スパイウエアとは,スパイのようにユーザーのパソコンから情報を盗み出すソフトウエアのこと。スパイウエアは「スパイ」と「ソフトウエア」を組み合わせた造語である。
スパイウエアという言葉は,セキュリティ・ベンダー間でさえ定義が統一されていないのが現状である。ただし,「専門家はだいたいこのようなものをスパイウエアと呼んでいる」という大まかな定義は存在して,大きく「広義のスパイウエア」と「狭義のスパイウエア」の二つがある。
広義のスパイウエアは,「ウイルスやワームが持つ感染・増殖といった特徴を持たない不正プログラム全般」と定義される。ただ,これをスパイウエアと呼ぶのは抵抗があると考えて「ペスト」と呼ぶ人もいる。一方,狭義のスパイウエアは,まさに言葉のイメージ通りで「コンピュータ内の情報を勝手に収集して外部に送信するプログラム」と定義され,最近では単にスパイウエアというとこの狭義のものを指すことが多い。
スパイウエアの侵入経路はさまざまだが,多くはスパイウエア単体として配布されるのではなく,無償のソフトウエアと一緒に配布される(図)。ユーザーがこうしたソフトウエアをダウンロードして,パソコンにインストールすることでスパイウエアも一緒に侵入してくる。また,たいていの場合,個人情報を収集する機能についても,インストール時に使用許諾契約書で記して承諾を求めるようになっている。
世の中には,さまざまなスパイウエアが存在している。パソコンからユーザーの情報を盗み出す典型的なスパイウエアのほかに,例えばWebブラウザの設定を変更してアダルト・サイトなどを勝手に表示する「ハイジャッカ」や,ユーザーのキーボード入力を監視してファイルに記録する「キー・ロガー」などがある。
こうした機能的には異なるスパイウエアを理解するうえでポイントとなるのは,勝手にパソコンに侵入してくるのではなく,前述のようにあくまでもユーザーの同意を得てパソコンにインストールさせる形をとるという点だ。これにより,スパイウエア配布側にしてみれば「ユーザーが承諾したのだから不正侵入ではなく情報を盗んでいるのでもない」と言い訳ができ,合法的に悪事を働けることになる。
しかしながら,契約に基づいているといっても,「どんな情報をいつどのように送信します」とすべて明記している場合はまれであるし,そもそも契約書の隅にこっそり書いておくやり方自体,とてもフェアとは言えない。これが,スパイウエアがグレーウエア(灰色ソフト)と呼ばれるゆえんである。
なお,こうした承諾さえ得ずに勝手に侵入して情報を盗むプログラムは,一般にはスパイウエアではなく「トロイの木馬」に分類されている。スパイウエアの侵入を未然に防ぐには,スパイウエアに対応したウイルス対策ソフトや専用のスパイウエア対策ソフトを使うことが有効だ。また,万が一スパイウエアが侵入したとしても,個人情報などを外部に送信させない機能を備えたパーソナル・ファイアウォールを使うことで,個人情報が漏れることを防げる。
