「スパイウエアの機能を持つソフト,スパイウエアを同梱しているソフトのEULA(End User License Agreement:エンドユーザー使用許諾契約書)には,スパイウエアを含んでいることが記述されている場合が少なくない。だが,ソフトの提供側はあの手この手でスパイウエアをインストールさせようとするので注意が必要である」---。マカフィーのMcAfee AVERT(緊急ウイルス対策チーム)研究員である本城信輔氏は12月1日,同社の新サービス「McAfee Managed VirusScan plus AntiSpyware」の発表会において,スパイウエアの現状などについて解説した。
Managed VirusScan plus AntiSpywareとは,同社が2月から提供しているウイルス対策ASPサービス「McAfee Managed VirusScan」の新バージョン(関連記事)。新バージョンではスパイウエア対策機能を強化した。具体的には,検出できるスパイウエアの種類を20倍以上に増やすとともに,スパイウエアの性質を持つCookieを検出・削除できるようにした。また,スパイウエアによって作成されたレジストリの検出・削除も可能にした。同サービスの提供開始は2006年1月10日。
統一されていない「スパイウエア」
本城氏はまず,現状では「スパイウエア」という用語が統一されていないことを説明した。「一般的には,プライバシやセキュリティに脅威を及ぼすソフトウエアすべてをスパイウエアと呼ぶ場合が多いが,そのようなソフトウエアの多くは,ウイルス対策業界では悪質なソフトウエアの一種である『トロイの木馬』に分類している」(本城氏)
同社では,スパイウエアを「プライバシやセキュリティに妥当な配慮を持ったユーザーが知らせてほしいと考える,あるいは場合によっては削除したいと考える種類のソフトウエア」と定義している。「通常は,合法的な企業が正当な目的のために作成するものとされている」(本城氏)。同社では,スパイウエアを「PUP(Potentially Unwanted Program:不審なプログラム)」と呼んで,トロイの木馬などと区別する。PUPはスパイウエア対策機能で,トロイの木馬はウイルス対策機能で検出・駆除(削除)することになる。
だが,PUPとトロイの木馬の区別が難しい場合もあるという。例えば,ユーザーのキー入力を記録する「キーロガー」や,システムをリモートからコントロールする「リモート管理ツール」の中には,PUPに分類されるものがあれば,トロイの木馬に分類されるものもある。同じ機能を持つソフトウエアでも,「正当な利用目的があるソフトウエア,まっとうな企業に正当な理由で利用されている場合があるソフトウエアはPUPに分類する。一方,悪いことにしか使われないソフトウエアはトロイの木馬としている」(本城氏)。
例えば,従業員のパソコン利用状況などを調べるためにインストールされているキーロガーはPUP,知らない間にパソコンにインストールされてオンラインバンキングのパスワードを盗むようなキーロガーはトロイの木馬に分類されることになる。
あの手この手でインストールさせる
そのほか,「アンインストールの機能を用意しているかどうか」「EULAに機能などを明示しているかどうか」なども判断材料になるという。このためソフトウエアの提供者側では,EULAにスパイウエア(PUP)がインストールされることを記述して,悪質なソフトウエア(トロイの木馬)に分類されないようにする。
ただし,EULAに記述する場合でも提供者側はいろいろな“トリック”を用いるので注意が必要であると本城氏は警告する。具体的には,(1)EULAの後ろのほうに記述したり,小さい文字で記述したりして読みにくくする,(2)難解な用語を用いる,(3)ユーザーが何らかのアクションをしないとEULAが表示されないようにする,(4)「いいえ(同意しない)」を何回クリックしても,繰り返しポップアップを表示する---といった手口が用いられるという。
(4)については,ユーザーが「はい(同意する)」をクリックするまでポップアップが表示されるので,ユーザーが根負けしてインストールしてしまう。そもそも「いいえ」のボタンが表示されない場合もあるという。
「スパイウエア(PUP)の中には,他のスパイウエアを次々とダウンロードしてインストールするものがある。このため一つ侵入を許すと,パソコンがスパイウエアだらけになって,手動で駆除することはほとんど不可能になる」(本城氏)。こういった事態を避けるためには,一つたりとも侵入させないことが重要である。
そのためには,「信頼できないサイトへアクセスする際には特に注意すること。『不審なリンクはクリックしない』『安易にファイルをダウンロードおよび実行しない』『EULAやポップアップ・メッセージはよく読む』といった,セキュリティのセオリーを守ることが大切」(本城氏)。
加えて,スパイウエアはOSやアプリケーションのセキュリティ・ホールを突いて侵入する場合も多いので,「セキュリティ・ホールは必ず修正すること。2003年や2004年に見つかった古いセキュリティ・ホールはいまだに悪用されている」(本城氏)。さらに,スパイウエア対策ソフト(サービス)の利用も有効であるとする。「スパイウエア対策ソフトとウイルス対策ソフトを併用すると,より効果がある」(同氏)
