「スパイウエア」という言葉をよく耳にするようになってきた。日経NETWORKの2006年3月号では,「スパイウエアの手口と対策」を取り上げたが,その取材過程で考えたことを述べたいと思う。
開かずにはいられず,対策ソフトで防げない
スパイウエアで最近注目を集めたのは,国内で初めてスパイウエア作成者が逮捕されたというニュースだろう。1月16日に逮捕された容疑者は,作成したスパイウエアを使ってオンライン・バンキングのログイン情報を盗み出し,他人の口座から1000万円以上を引き出していたという。この事件を見ると,ユーザーのセキュリティ対策の難しさが浮かび上がってくる。
この事件では,キー入力を収集して外部に送信するキー・ロガーという種類のスパイウエアが使われた。犯人は,スパイウエアをメールの添付ファイルとして送り込んだ。送り込んだ対象は,インターネット商店街の出店者。メールの内容は商品についての苦情になっており,クレーム内容を説明する画像を添付するので開いてほしいと記されていた。被害者があわてて添付ファイルを開いたところ,スパイウエアが起動してしまった。商店街の出店者として,このような場合に添付ファイルを開かないで済ませることは現実には難しい。スパイウエア対策の大原則は,「出元の怪しい実行ファイルは開かないこと」。だが,それをすり抜けるように工夫されていた。
また,犯人が送り込んだスパイウエアは,当初はほとんどの対策ソフトで検出されなかった。一般にスパイウエアは,「対策ソフトでテストしながら開発されることが多い」(情報処理推進機構セキュリティセンター研究員の加賀谷 伸一郎氏)。つまり,対策ソフトを導入していてもスパイウエアの被害を防げないことがあるわけだ。
個別の対策に完全はない
この事件のスパイウエアを防ぐには,どのような対策が有効だったのだろうか。効果が期待できるのは,パーソナル・ファイアウォールである。パーソナル・ファイアウォールの多くは,登録したアプリケーション以外の通信を禁止する機能を備える。この機能を有効にしておけば,感染したとしても,スパイウエアが情報を送信するのを止められる。
ユーザー側の対策ではないが,オンライン・バンキング側で「ソフトウエア・キーボード」という仕組みを導入してあれば被害を防げたかもしれない。ソフトウエア・キーボードとは,画面に表示されたキーボードをマウスでクリックして情報を入力する仕掛け。キーボード入力を監視するキー・ロガーでは情報が盗めなくなる。オンライン・バンキングの多くは事件後にソフトウエア・キーボードを導入している。
ただ,どちらもすべてのスパイウエアに効果があるわけではない。スパイウエアの中にはパーソナル・ファイアウォールの機能を止めようと試みるものも存在するし,画面表示からログイン情報を盗むことでソフトウエア・キーボードを無力化するスパイウエアも登場しているからだ。ユーザーの対策が高度化すればそれに対応してスパイウエアも進化する。どんな強力なツールであれ,今日のスパイウエアが防げても,明日のスパイウエアが防げることは保証できない。結局,対策ソフトや機能に頼っている限り,“安全”はいつまでたっても保証されないのが現実なのだ。
実社会と同じ,最後は常識がものをいう
こう書くと,恐怖をあおっていると感じられるかもしれない。しかし,記者の本意はそこにはない。完全に危険をゼロにできないのはスパイウエアだけではない。例えば実社会でも,外に出歩く限り交通事故やひったくりの危険はゼロにはできない。それでも,それを理由に外出をためらう人は少ないだろう。特に危ないと思われる場所は警戒したり避けたりしながら生活するのが普通である。記者が言いたいのは,スパイウエア対策も実社会の安全対策と同じだということ。危険はゼロにできないが,怖がるのではなく危険を減らす常識を身に付けることが大事だ。
記者が考える常識のポイントは2つ。一つは,ソフトウエアによる対策を過信しないこと。過信することが警戒心を弱めることになり,被害を招くことにつながる。もう一つは,セキュリティ情報に関するアンテナを高くしておくこと。新たな攻撃パターンのニュースを耳にしたら,対策が確立するまでの間,用心するといったことだ。平凡な結論だが,実社会と同じで常識を身に付け情報を集めることが不可欠だと,一連の取材を経て記者は感じている。
