対策ソフトは,検出したスパイウエアを直ちに止めたり削除したりしない。検出したスパイウエアの一覧を表示してユーザーの判断を仰ぐ。アドウエアのように判断が分かれるソフトも存在するからだ。ここで「除去」を選ぶと,プログラム・ファイルを停止し,決められたところに隔離したうえで,レジストリやシステム・ファイルをスパイウエア実行前の状態に戻す(図2-4の除去)。こうした処置を施すのは,スパイウエアの削除が原因で,ほかのアプリケーションなどの動作に不都合があったときに,元の状態に戻せるようにしておくためである。

 対策ソフトがどこまでをスパイウエアとして検出するかは開発ベンダーによってまちまち。各ベンダーが「作られた意図まで考慮して,個別にスパイウエアとして登録すべきか判断している」(スパイゼロを開発するアンラボの文商準クライアントソリューション室長)のが実情だからだ。

 対策ソフトの多くは,スパイウエアだけでなく,ブラウザの表示ページを無断で変える「ハイジャッカ」や,勝手にダイヤルアップ接続してしまう「ダイヤラ」もスパイウエアとして検出する。

 トラッキングCookieは,スパイウエアとして検出する製品とそうでない製品がある。またウイルス対策ソフトは,スパイウエアのうち悪質なものは,ウイルスとして検出するのが一般的だ。

ゲートウエイ型で一元チェックする

 ネットワークを流れるデータをチェックするゲートウエイ型のツールのしくみも押さえておこう。

 ゲートウエイ型のツールは通過するパケットを監視してスパイウエアを検出する。流れてくるパケットからデータを取り出し,シグネチャと比較することでスパイウエアを検出する。スパイウエアを発見すると転送中のパケットを廃棄して,パソコンに届かないようにする。

 このときゲートウエイ型のツールは,パソコンのWebブラウザに「スパイウエアを検出したため転送を中止した」というメッセージを表示させる。スパイウエアとして登録されているソフトを通過できるようにするには,ゲートウエイ型対策ツールの管理者が設定を変える必要がある。パソコンのユーザーは勝手に設定を変えられない。

 ほとんどのゲートウエイ製品は,zipなどで圧縮されたファイルも解凍して検査する。ただし,SSLで暗号化されたデータは検査できない。すべて完璧にチェックできるわけではないが,パソコン側でスパイウエア対策を徹底できないときに役に立つ。

悪質なものが検出できないことも

 対策ツールは機能もラインナップも充実しつつあるが,過信は禁物。悪質なスパイウエアほど検出されない傾向があるからだ(図2-5)。

図2-5●悪質なスパイウエアほど検出しにくい
図2-5●悪質なスパイウエアほど検出しにくい
重要な情報を狙うスパイウエアは,短期間に少数だけばら撒かれることが多い。対策ソフトの穴を研究しながら作るため,対策ソフトが検出できないことがある。
[画像のクリックで拡大表示]

 オンライン・バンキングの口座番号などを狙う悪質なスパイウエアは,狙いがピンポイント。ウイルスと違って短期に少数だけばら撒かれる傾向がある。しかも,悪質なスパイウエアは,対策ツールで検出できないことを確認しながら開発されることが多い。

 このように開発されたスパイウエアは,最初にばら撒かれたときに対策ツールで検出するのが難しい。対策ツールが新たなスパイウエアに対処できるようにアップデートされるのは,ユーザーが被害に気付いて対策ベンダーに連絡した後になるからだ。ユーザーがついうっかり実行し,対策ツールをすり抜けたスパイウエアは,2重のチェックをくぐり抜けてパソコンで起動してしまう。

ファイアウォールは最後のとりで

 このようなときに,スパイウエアの情報の送信を止める手段となるのがパーソナル・ファイアウォールだ。パーソナル・ファイアウォールは一般的に,パソコンで実行しているアプリケーションを監視して,未登録のアプリケーションからの情報送信を遮断する機能を備える(図2-6)。つまり,スパイウエアが勝手に情報を送信できなくなる。スパイウエアの多くは,通信するときにInternet ExplorerやOutlook Expressの機能を利用する。ほとんどのファイアウォールは,このような機能の呼び出しも監視して,勝手に通信させないようにする。

図2-6●パーソナル・ファイアウォールで情報送信を止める
図2-6●パーソナル・ファイアウォールで情報送信を止める
Windowsファイウォール以外のほとんどのパーソナル・ファイアウォールは,アプリケーションが情報を送信するのを止める機能を持つ。この機能を使えばスパイウエアが勝手に情報を送れなくなる。

 スパイウエアが通信しようとすると,パーソナル・ファイアウォールは未登録のアプリケーションがデータを送ろうとしていることを警告する画面をパソコン上に表示させる。ここでユーザーが許可しなければ,スパイウエアは通信できないわけだ。

 ただし,Windowsに付属しているWindowsファイアウォールは,パソコン内のソフトが情報を送信するのを止める機能はない。スパイウエア対策としては市販のパーソナル・ファイアウォールを入れておく必要がある。

 パーソナルEファイアウォールは最後のとりでとして有効だが,それに頼り切るのはよくない。スパイウエアの中にはパーソナル・ファイアウォールの機能を止めようと試みるものもある。ほかの対策と同様,スパイウエア対策として完璧は保証できないからだ。

実験コーナー
対策ソフトを使ってスパイウエアを除去してみる

 スパイウエア対策ソフトの使い勝手はどんなものか。わざとスパイウエアをインストールした環境で,無償のAd-Aware SE Personalpを使ってみた。

スキャンまでは簡単

 まずはパソコンにAd-Awareをインストール。するとすぐ,Ad-Awareはオンデマンド・スキャンを始める。ここでスパイウエアとして検出したのは,トラッキングCookieだけだった。

 そこで,Gator eWalletやKazaapなど,スパイウエア付きのフリーソフトをインストールし,再度Ad-Awareでオンデマンド・スキャンを意味する「Scan Now」を選んだ(図Bの1)。さらに,プロセスやシステム設定を検査する「smart system scan」を選び(同2),選択項目を確認してから「Next」ボタンをクリック(同3)すると,スキャンが始まった。

図B●スパイウエア対策ソフトでスパイウエアを除去
図B●スパイウエア対策ソフトでスパイウエアを除去
ソフトウエアやActiveXコントロールをインストールしているとスパイウエアが紛れ込むことがある。スパイウエア対策ソフトを使って定期的にチェックするとよいだろう。
[画像のクリックで拡大表示]

 実行してから待つこと約2分。画面上に,「Scan Complete」(スキャン終了)画面が表示された。表示されるのは簡単な検査結果だけなので,「Next」ボタンをクリックして,検査結果の詳細を表示させた。すると,検出した十数種類のスパイウエアが確認できた(結果表示画面)。

1回では除去できないこともある

 ただし,並んで表示されるリストを見ても,それぞれがどれだけ悪質なのかはわからない。そこでリストの右端にある「+」ボタンをクリックすると,悪質度を示すメーターが表示される。メーターが長いほど,Ad-Awareが悪質と見なすことを示している(同A)。さらに詳しい内容を調べるには,スパイウエア名を手がかりに,検索サイトで説明のあるWebサイトを探すとよいだろう。

 こうして調べてから,スパイウエアとして除去するものを選択(同4)。「Next」ボタンを押すと,Ad-Awareはスパイウエアを停止させ,本来の場所から取り除いたうえでほかの場所に隔離する。ただし,スパイウエアのうちいくつかは1回では除去できなかった。実際にはWebブラウザを実行していないのに,「すべてのWebブラウザを閉じていないため除去できなかった」という意味のウインドウが表示されるものがあった。完全に除去するには,パソコンを再起動し,最初にAd-Awareが立ち上がった状態でスキャンと除去を実行する必要があった。

 なお,いったんスパイウエアとして除去したソフトを復元するには,画面右上にある錠前のマークをクリックする。すると除去した日時の一覧が表示されるので,復元したいスパイウエアを除去した日時を選択すればよい。除去したソフトがまとめて復元される。一つのソフトだけを復元するときには,復元してからほかのソフトを改めて除去するわけだ。