対策ソフトは,検出したスパイウエアを直ちに止めたり削除したりしない。検出したスパイウエアの一覧を表示してユーザーの判断を仰ぐ。アドウエアのように判断が分かれるソフトも存在するからだ。ここで「除去」を選ぶと,プログラム・ファイルを停止し,決められたところに隔離したうえで,レジストリやシステム・ファイルをスパイウエア実行前の状態に戻す(図2-4の除去)。こうした処置を施すのは,スパイウエアの削除が原因で,ほかのアプリケーションなどの動作に不都合があったときに,元の状態に戻せるようにしておくためである。
対策ソフトがどこまでをスパイウエアとして検出するかは開発ベンダーによってまちまち。各ベンダーが「作られた意図まで考慮して,個別にスパイウエアとして登録すべきか判断している」(スパイゼロを開発するアンラボの文商準クライアントソリューション室長)のが実情だからだ。
対策ソフトの多くは,スパイウエアだけでなく,ブラウザの表示ページを無断で変える「ハイジャッカ」や,勝手にダイヤルアップ接続してしまう「ダイヤラ」もスパイウエアとして検出する。
トラッキングCookieは,スパイウエアとして検出する製品とそうでない製品がある。またウイルス対策ソフトは,スパイウエアのうち悪質なものは,ウイルスとして検出するのが一般的だ。
ゲートウエイ型で一元チェックする
ネットワークを流れるデータをチェックするゲートウエイ型のツールのしくみも押さえておこう。
ゲートウエイ型のツールは通過するパケットを監視してスパイウエアを検出する。流れてくるパケットからデータを取り出し,シグネチャと比較することでスパイウエアを検出する。スパイウエアを発見すると転送中のパケットを廃棄して,パソコンに届かないようにする。
このときゲートウエイ型のツールは,パソコンのWebブラウザに「スパイウエアを検出したため転送を中止した」というメッセージを表示させる。スパイウエアとして登録されているソフトを通過できるようにするには,ゲートウエイ型対策ツールの管理者が設定を変える必要がある。パソコンのユーザーは勝手に設定を変えられない。
ほとんどのゲートウエイ製品は,zipなどで圧縮されたファイルも解凍して検査する。ただし,SSLで暗号化されたデータは検査できない。すべて完璧にチェックできるわけではないが,パソコン側でスパイウエア対策を徹底できないときに役に立つ。
悪質なものが検出できないことも
対策ツールは機能もラインナップも充実しつつあるが,過信は禁物。悪質なスパイウエアほど検出されない傾向があるからだ(図2-5)。
図2-5●悪質なスパイウエアほど検出しにくい 重要な情報を狙うスパイウエアは,短期間に少数だけばら撒かれることが多い。対策ソフトの穴を研究しながら作るため,対策ソフトが検出できないことがある。 [画像のクリックで拡大表示] |
オンライン・バンキングの口座番号などを狙う悪質なスパイウエアは,狙いがピンポイント。ウイルスと違って短期に少数だけばら撒かれる傾向がある。しかも,悪質なスパイウエアは,対策ツールで検出できないことを確認しながら開発されることが多い。
このように開発されたスパイウエアは,最初にばら撒かれたときに対策ツールで検出するのが難しい。対策ツールが新たなスパイウエアに対処できるようにアップデートされるのは,ユーザーが被害に気付いて対策ベンダーに連絡した後になるからだ。ユーザーがついうっかり実行し,対策ツールをすり抜けたスパイウエアは,2重のチェックをくぐり抜けてパソコンで起動してしまう。
ファイアウォールは最後のとりで
このようなときに,スパイウエアの情報の送信を止める手段となるのがパーソナル・ファイアウォールだ。パーソナル・ファイアウォールは一般的に,パソコンで実行しているアプリケーションを監視して,未登録のアプリケーションからの情報送信を遮断する機能を備える(図2-6)。つまり,スパイウエアが勝手に情報を送信できなくなる。スパイウエアの多くは,通信するときにInternet ExplorerやOutlook Expressの機能を利用する。ほとんどのファイアウォールは,このような機能の呼び出しも監視して,勝手に通信させないようにする。
図2-6●パーソナル・ファイアウォールで情報送信を止める Windowsファイウォール以外のほとんどのパーソナル・ファイアウォールは,アプリケーションが情報を送信するのを止める機能を持つ。この機能を使えばスパイウエアが勝手に情報を送れなくなる。 |
スパイウエアが通信しようとすると,パーソナル・ファイアウォールは未登録のアプリケーションがデータを送ろうとしていることを警告する画面をパソコン上に表示させる。ここでユーザーが許可しなければ,スパイウエアは通信できないわけだ。
ただし,Windowsに付属しているWindowsファイアウォールは,パソコン内のソフトが情報を送信するのを止める機能はない。スパイウエア対策としては市販のパーソナル・ファイアウォールを入れておく必要がある。
パーソナルEファイアウォールは最後のとりでとして有効だが,それに頼り切るのはよくない。スパイウエアの中にはパーソナル・ファイアウォールの機能を止めようと試みるものもある。ほかの対策と同様,スパイウエア対策として完璧は保証できないからだ。
|