現在地 HOME > 掲示板 > IT4 > 392.html ★阿修羅♪ |
|
スパイウェアで情報漏洩の危機 あなたのマシンにもスパイが潜んでいる?【CNET_Japan記事】
http://japan.cnet.com/news/special/story/0,2000047679,20062294,00.htm
By John Borland
2003年12月1日
7月下旬、イギリスのとあるクレジットカード信販会社の従業員らのも
とに、「結婚式へのご招待」と題された電子メールが届いた。このメール
にはこっそりと、ある爆弾が仕込まれていた。企業の機密情報を記録し、
インターネット経由で送ることのできる「スパイウェア」だ。
最初は誰もが、このメールはスパムか、よくあるワームだと考えた。し
かし、セキュリティ企業Clearswiftのコンサルタントは、このメールはカ
ード会社から特定の情報を盗み出すために意図的に送り込まれたものだと
確信している。企業のセキュリティ担当者にとっては、まさに悪夢のよう
な話だろう。
Clearswiftによれば、この一件はコンピュータ犯罪における危険な新傾
向を浮き彫りにしているという。ここで中心的な役割を担うようになって
いるのがスパイウェアだ。注目を集めるためにネットワークを混乱させる
ような、どちらかといえば罪のない攻撃に代わり、金のために高度な手口
でパスワードなどの秘匿情報を盗もうとするケースが増えている。
「クラッカーやおたくプラグラマーたちがいたずらをしていた時代は終
わった。現在、攻撃をしかけているのは悪質な犯罪者であり、その動機は
金以外の何者でもない」とClearswiftのThreatLab部門マネージャー、
Pete Simpsonはいう。
ここ数年で徐々に高まってきたスパイウェアに対する懸念は、具体的な
恐怖となって世界中のセキュリティ関係者や政策決定者を悩ませるように
なっている。しかし、スパイウェアの定義はまだ固まっておらず、漠然と
Clearswiftが発見したような情報窃取型のプログラムや、Kazaa、
Groksterのような無料ソフトについてくる目障りな広告表示プログラムの
両方を指すことが多い。
いずれにしても、スパイウェアには厳しい目が向けられることになりそ
うだ。米連邦議会は11月19日に委員会を開き、スパイウェア問題に関する
証拠聴取を行う共に、カリフォルニア州選出のMary Bono共和党下院議員
が提出した反スパイウェア法案を検討することになっている。この法案が
通過すれば、消費者をいらだたせている慣行の多くが法的に禁止されるこ
とになるだろう。
一方、民間企業からなるコンソーシアムも、別のやり方でスパイウェア
の問題に取り組もうとしている。その「反スパイウェア技術ベンダー協議
会」を率いるのは、人気のスパイウェア対策ソフト「Ad-Aware」や「Pest
Patrol」の開発者たちだ。この協議会は「スパイウェア」「アドウェア」
といった害虫プログラムの定義を明確にすると共に、スパイウェア対策ソ
フトにブロックされないためのベストプラクティスを企業に提言すること
を目指している。
「何が許され、何が許されないのか、その線引きをしているところだ。
ベンダー各社は議論の行方を固唾を呑んで見守っている。倫理の基準を知
りたがっているのだ」とPest Patrolの事業開発担当バイスプレジデント
Pete Cafarchioはいう。
小さな害虫が大きな問題に
セキュリティ企業各社によれば、この数カ月でいくつもの新しい動きが
出てきたという。その中身は「迷惑」レベルから「危険」レベルまで幅広
い。
「迷惑」レベルでいうと、「ブラウザ・ヘルパー・オブジェクト(BHO)
」を開発する企業がますます増えていることがあげられる。BHOは
Internet Explorer(IE)に組み込まれる小さなプログラムで、広告の表
示からウェブサーフィンの監視まで、さまざまな機能を果たす。こうした
プログラムはたいてい「ダウンロード高速化ツール」や「検索ツール」を
装っているが、その多くはユーザーがすぐには気づかないような機能も備
えている。仮に気づいたとしても、アンインストールは難しいとセキュリ
ティ専門家はいう。
一方、デジタルビデオのビューアやファイル交換プログラムと共に「ア
ドウェア」がインストールされるケースも増えている。アドウェアの中に
は、単に広告を表示するだけのものもあれば、ユーザーのウェブサーフィ
ン習慣を監視し、集めたデータを親会社に報告するものもある。
さらに危険なのは、Clearswiftが「結婚式へのご招待」メールで発見し
たようなプログラムだ。この遠隔監視アプリケーションは「iSpyNow」と
いう商品名で市販されている。iSpyNowはスパイウェアをコンピュータに
潜ませ、そのコンピュータ上でキー入力されたすべての情報を、プログラ
ムをインストールした人物に報告する。
これまでは、この種の遠隔監視アプリケーションを利用するのはハッカ
ーや悪意あるプログラムの作者だけだった。ところが、数カ月前から一部
のベンダーが、このアプリケーションを子供や配偶者のコンピュータ利用
を監視する手段として販売するようになった。企業はハッカーやスパム送
信者がこの種のキーストローク記録プログラムを従業員のコンピュータに
インストールし、機密情報を盗みだすのではないかと不安を募らせている。
セキュリティ専門家は、自宅のコンピュータやノートPCを使ってオフィ
ス外で働く従業員もスパイウェア感染のリスクが高いと指摘する。こうし
たコンピュータは会社のファイアウォールの外側でインターネットに接続
し、VPN経由で会社のネットワークにログインする可能性があるため、外
部との通信機能を備えたスパイウェアを社内に持ち込む危険性がある。
「こうしたコンピュータは社内ネットワークの管理外にある。ほとんど
の環境では、ファイアウォールは外部からの侵入を防ぐように設計されて
いる。しかし、その通信が社内から発信されたものであれば、ほとんどの
ファイアウォールを素通りするだろう」とCafarchioは指摘する。
規制の行方
ハッキングに近いことをするツールから単純な広告プラグインまで、ス
パイウェアの種類は幅広く、この多様性がスパイウェアの取り締まりを今
もなお難しいものにしている。
スパイウェアを法的に規制することを目指す初の大型法案であるBono議
員の法案も、この点を浮き彫りにしている。Bono議員のスタッフによると、
同議員は現在、原案の修正を進めているという。原案のままでは、Cookie
やMicrosoftの自動更新機能といった通常のウェブ機能までが違法化され
る懸念があるからだ。
ワシントンDCに拠点を置くプライバシー擁護団体「民主主義と技術のた
めのセンター(CDT)」は、11月19日に発表した報告書のなかで、スパイ
ウェアの定義が定まっていないことを理由に、スパイウェアだけを対象と
した規制法案の成立に反対している。同報告書によれば、企業が恐れてい
るようなソフトウェアを利用した悪質なスパイ行為のほとんどは、すでに
コンピュータプライバシー法やハッキングを禁止する法律、また連邦取引
委員会の法律で禁止されているという。
消費者の利益を考えるなら、もっと包括的なプライバシー法を導入し、
すべてのソフトウェアに対して、個人情報を集めるときはユーザーに明示
的に告知し、監視機能をオフにする手段や、簡単にアンインストールでき
る手段を用意することを義務づけるべきだ。しかし、一番大切なのは消費
者自身が、利用規約をよく読んでからソフトウェアをインストールするこ
と、そしてスパイウェアをインストールされた可能性がある場合は、
LavasoftのAd-Awareのような対策ソフトを使って駆除することだと報告書
は述べている。
CDTのアソシエイトディレクターAlan Davidsonはこう語っている。「我
々が明確にしようとしているのは、ユーザーが告知を受けているか、意味
のある選択肢が用意されているかどうかだ。問題は、自分のコンピュータ
がどのように利用されているのかをユーザーが知っているか、不要なプロ
グラムをアンインストールする方法が与えられているかだ。悪質なスパイ
ウェアのケースでは、答えは依然としてノーである」