「スパイウエアやアドウエアがもたらすリスク(危険性)は情報漏えいだけではない。パソコンが不安定になったり,セキュリティ・ホールができたりすることのほうが,ユーザーにとって大きなリスクになる場合がある」――。シマンテック 法人営業事業部の野々下幸治エグゼクティブシステムエンジニアは3月9日,プレス向け説明会において,スパイウエアやアドウエアについて解説した(写真)。
野々下氏によると,スパイウエアやアドウエアの中にはクオリティが低いものがあるので,「インストールすると,パソコンが不安定になって何度もエラー・メッセージが表示されたり,ブルー・スクリーンが表示されたりする場合がある」(同氏)。実際,シマンテックが実施した最近の調査によると,コンピュータ・メーカーのヘルプデスクへの問い合わせの20%が,スパイウエア/アドウエアに関するものだという。
スパイウエアなどにセキュリティ・ホール(脆弱性)が含まれている場合もある。「脆弱性を含むスパイウエアをインストールすると,その脆弱性を突くような攻撃を受ける可能性がある」(野々下氏)
また,スパイウエア/アドウエア対策が進まない原因の一つとして,「現状では,スパイウエア/アドウエアについて統一された定義がない」(同氏)ことを挙げる。例えば,ある特定の悪質なプログラムを,あるベンダーは「トロイの木馬」と呼び,別のベンダーでは「スパイウエア」と呼んでいる場合が少なくないという。
シマンテックでは,スパイウエアを「システムの活動をひそかに監視するスタンドアロン型のプログラム。収集した情報は他のパソコンに送信する」などと定義している。そして,「エンド・ユーザー使用許諾契約(EULA)などに,そのプログラム(スパイウエア)の挙動が記述されている」ものを指す。
たとえEULAに記述されていても,こういった場合のEULAは読みにくいように書かれているため,ユーザーが気付くことは少ないと考えられる。とはいえ,基本的には,インストールするかどうかはユーザーに任せられる。
「パソコンの情報を勝手に外部に送信するものすべてをスパイウエアとしているわけではない」(野々下氏)。情報を勝手に盗み出す“機能”を持っていても,感染活動を行うものはウイルスやワームであり,ユーザーの知らないうちに(あるいはユーザーをだまして)インストールされるプログラムはトロイの木馬に分類している。
アドウエアについては,「Web利用の傾向を記録するプログラム」であり,「データを収集するが,アドウエアをインストールしたユーザーは特定できない」などと定義している。
同社では,インターネット上のリスク/脅威を,「ウイルス」「ワーム」「トロイの木馬」「広義のセキュリティ・リスク」――に分類している。広義のセキュリティ・リスクとは,ウイルス,ワーム,トロイの木馬以外のリスクであり,「スパイウエアやアドウエアは広義のセキュリティ・リスクに含まれる」(野々下氏)
(勝村 幸博=IT Pro)
