スパイウエアを巡って揺れる米国

小久保重信

2004.04.23

　いつの間にかハード・ディスクの中に入り込み，ユーザーのキーボード動作や，閲覧したWebページの履歴を記録するなどし，それを外部に送信する。そんなソフトウエアが今，米国で物議を醸している。これらは「スパイウエア」または「アドウエア」と呼ばれ，Web閲覧時や，P to Pソフトなどをインストールした際に一緒にインストールされることが多い。

　米国では4月19日に，FTC（連邦通信委員会）がスパイウエアの研究会を開催した（FTCの発表資料）。目的は，スパイウエアの定義と解決策の検討である。朝9時から夕方6時までという長時間の研究会だったが，米メディアの報道によると，ここで出された意見はまちまちで，解決策は見いだせなかったという。何をもって合法／違法とするのか，その線引きもあいまいで，明確な区別ができなかった。

　同研究会にはアドウエア・ベンダーも出席しており，そうしたベンダーのソフトには違法性はないという強い主張もあったという（米CNET News.comの記事）。今回は今，米国で懸念が高まっているスパイウエア問題について考えてみたい。

■違法性はないと主張するベンダー

　米WhenUをご存じだろうか。今，米メディアで頻繁に取り上げられているアドウエアの企業だ。上述したように，同社のアドウエアは，無償で配布されるP to Pソフトなどにバンドルされてネット上で配布されている。そのP to Pソフトをダウンロードしたユーザーは，P to Pソフトの使用料を支払わなくてよいが，その代わりアドウエアによってパソコン画面に広告が出る。同社の説明によれば，ユーザーはこれに際してプライバシの心配をする必要がないという。同社では，ユーザー・データを追跡するようなことはしないのでスパイウエアでないと主張している。

　しかし，スパイウエアについて調査・分析しているサイト，Spyware-Guide.comによれば，WhenU社のアドウエア「SaveNow」がユーザー情報を取得しており，それがサード・パーティ（ユーザーの行動を追跡するためのネットワーク）に提供されているという（掲載ページ）。

　もう1社，米Claria（旧称Gator）という企業も米メディアに頻繁に登場する。同社の「Gator」は，Webページのフォーム入力画面でユーザーのパスワードなどを自動入力してくれるソフト。しかし，同じくSpyware-Guide.comによれば，このソフトの主な目的は「OfferCompanion」と呼ぶ広告モジュールをロードすること。これによりユーザーが各種のWebサイトを閲覧しているときにポップアップ広告を表示する。このソフトは，ユーザーが訪問するサイトのコンテンツ情報，ドメイン名，そしてユーザーのファースト・ネーム，郵便番号，国名などを同社に送信しているという（掲載ページ）。

■ユタ州が対スパイウエア法を制定

　こうしたソフトウエアに対し，真っ先に行動を起こしたのがユタ州である。同州では3月初めに，対スパイウエア法案「Spyware Control Act」を可決・成立させた。ユタ州では，ソフトウエアが悪意を持ったスパイウエアであるのか，WhenU社などが主張するような「純粋なアドウエア」なのかという議論はどうでもよい。同法ではとにかく，ユーザーのオンライン行動を監視・送信したり，個人情報を第三者に送信したり，許可なくポップアップ広告を出したりするソフトウエアのインストールを禁じるのだ。この州法は5月3日に施行されることになっている。

　この州法に真っ向から反対しているのが，そのWhenU社だ。同社は4月始めに，この法律が言論の自由を脅かし，また同社の事業活動を不正に阻害するものだとし，ソルトレーク第3巡回区地裁に提訴した。

　また同法では，ユーザーが訪問しているサイトの話題とは無関係な広告を表示するツールについても禁止している。こうしたことから，米AOLや米eBay，米Microsoftなどが参加する業界団体Internet Allianceが異を唱えている。同法が，何らかの形で合法的なネット・ビジネスを阻害することにつながるのではないかと懸念しているという（掲載記事）。

■FTCの研究会では意見まとまらず

　今回のFTCのスパイウエア研究会では，どんな意見が出たのだろうか。スパイウエアには，ユーザーのキー・ストロークを記録しそれを送信するもの，ユーザーの個人情報を記録し，スパムを送りつけるもの，などがある。ソフトがインストールされることを一切示さず，動作していることもユーザーに分からないようにしてあるもの，また削除がきわめて困難なものなど，悪質なものが多く出回っている。同研究会では，こうしたものと，そうでないものを区別することを試みたようだが，明確な解は出せなかったという。

　WhenU社やClaria社が自社のソフトに違法性がないと主張する最大の根拠は，ソフトウエアの使用許諾書である。インストールの際に表示する使用許諾書で，ユーザーのデータについて，広告のために利用されることがある旨を知らせている。しかしその使用許諾書は，20ページにも及ぶ長文で，大半のユーザーは読まずに承諾ボタンを押してしまう。これにより多くのユーザーがソフトの存在を知らないというのが現状である。

　研究会ではこのほか，「わざわざ新たな規制を作る必要があるのか，現行法で対処できるのではないか」という意見，「技術革新の妨げにはならないかを慎重に検討する必要があり」「規制は時期尚早」とする意見もあったという（掲載記事）。

　この研究会には，連邦政府や州政府の代表のほか，米Symantecなどのセキュリティ企業，Microsoft社，AOL社，米Googleといったオンライン・サービス企業，そしてWhenU社などのアドウエア企業も出席した。つまり，それぞれ思惑の違う企業・団体が一斉に集まった集会だったのだ。意見がまとまらないのは初めから分かっていたのではないだろうか。

■スパイウエアの定義は・・・

　この研究会に先だってSpywareinfo.comのMike Healan氏がFTCに提出したコメントにスパイウエアを定義したものがある（PDF書類）。それによれば，スパイウエアは次の2種類に分類されるという。1つは「監視スパイウエア」と呼ばれる種類。これには，キーボードの動作を記録するキー・ロガーや，スクリーン・キャプチャといった機能があり，主に，企業，私立探偵，法執行機関，諜報機関などが利用するものだという。

　もう1つは「広告スパイウエア」。他のソフトウエアと一緒にインストールされたり，ActiveXコントロールを介してインストールされ，ユーザーはその存在を知らない。ユーザーの名前や性別，年齢，パスワードやメール・アドレス，Web閲覧履歴，オンライン購買行動，ハードウエア／ソフトウエアの設定といった情報を記録するという。

　これだけを見ても何が違法か，何がスパイウエアなのかということは明らかと思うのは筆者だけではないだろう。早急に対策が急がれる中，FTCの研究会でこうした結論に至らなかったのは残念である。

■「二重スパイ」にもご注意

　今や，スパイウエアは深刻な問題だ。つい先日も米EarthLinkが「約100万台のパソコンをスキャンし，2954万個のスパイウエアを検出した」という調査結果を発表している（関連記事）。前述のSpyware-Guide.comに掲載されているスパイウエアは391種もある。

　我々ユーザー側の対策は必至だ。インストールする前にソフトウエアのプライバシ・ポリシーを注意深く読むことはもちろん，「Ad-aware」といった削除ソフトも役に立つ。ただしこうしたソフトの中には削除ソフトを装って実は自分がスパイウエアということもあるようだ。“二重スパイ”である（掲載記事）。前述のSpywareguide.com，Spywareinfo.comには個々のスパイウエアに関する詳細な情報が掲載されている。ぜひチェックしてみてほしい。