スパイウェアで情報漏洩の危機

　7月下旬、イギリスのとあるクレジットカード信販会社の従業員らのもとに、「結婚式へのご招待」と題された電子メールが届いた。このメールにはこっそりと、ある爆弾が仕込まれていた。企業の機密情報を記録し、インターネット経由で送ることのできる「スパイウェア」だ。

　最初は誰もが、このメールはスパムか、よくあるワームだと考えた。しかし、セキュリティ企業Clearswiftのコンサルタントは、このメールはカード会社から特定の情報を盗み出すために意図的に送り込まれたものだと確信している。企業のセキュリティ担当者にとっては、まさに悪夢のような話だろう。

　Clearswiftによれば、この一件はコンピュータ犯罪における危険な新傾向を浮き彫りにしているという。ここで中心的な役割を担うようになっているのがスパイウェアだ。注目を集めるためにネットワークを混乱させるような、どちらかといえば罪のない攻撃に代わり、金のために高度な手口でパスワードなどの秘匿情報を盗もうとするケースが増えている。

　「クラッカーやおたくプラグラマーたちがいたずらをしていた時代は終わった。現在、攻撃をしかけているのは悪質な犯罪者であり、その動機は金以外の何者でもない」とClearswiftのThreatLab部門マネージャー、Pete Simpsonはいう。

　ここ数年で徐々に高まってきたスパイウェアに対する懸念は、具体的な恐怖となって世界中のセキュリティ関係者や政策決定者を悩ませるようになっている。しかし、スパイウェアの定義はまだ固まっておらず、漠然とClearswiftが発見したような情報窃取型のプログラムや、Kazaa、Groksterのような無料ソフトについてくる目障りな広告表示プログラムの両方を指すことが多い。

　いずれにしても、スパイウェアには厳しい目が向けられることになりそうだ。米連邦議会は11月19日に委員会を開き、スパイウェア問題に関する証拠聴取を行う共に、カリフォルニア州選出のMary Bono共和党下院議員が提出した反スパイウェア法案を検討することになっている。この法案が通過すれば、消費者をいらだたせている慣行の多くが法的に禁止されることになるだろう。

　一方、民間企業からなるコンソーシアムも、別のやり方でスパイウェアの問題に取り組もうとしている。その「反スパイウェア技術ベンダー協議会」を率いるのは、人気のスパイウェア対策ソフト「Ad-Aware」や「Pest Patrol」の開発者たちだ。この協議会は「スパイウェア」「アドウェア」といった害虫プログラムの定義を明確にすると共に、スパイウェア対策ソフトにブロックされないためのベストプラクティスを企業に提言することを目指している。

　「何が許され、何が許されないのか、その線引きをしているところだ。ベンダー各社は議論の行方を固唾を呑んで見守っている。倫理の基準を知りたがっているのだ」とPest Patrolの事業開発担当バイスプレジデントPete Cafarchioはいう。

小さな害虫が大きな問題に

　セキュリティ企業各社によれば、この数カ月でいくつもの新しい動きが出てきたという。その中身は「迷惑」レベルから「危険」レベルまで幅広い。

　「迷惑」レベルでいうと、「ブラウザ・ヘルパー・オブジェクト（BHO）」を開発する企業がますます増えていることがあげられる。BHOはInternet Explorer（IE）に組み込まれる小さなプログラムで、広告の表示からウェブサーフィンの監視まで、さまざまな機能を果たす。こうしたプログラムはたいてい「ダウンロード高速化ツール」や「検索ツール」を装っているが、その多くはユーザーがすぐには気づかないような機能も備えている。仮に気づいたとしても、アンインストールは難しいとセキュリティ専門家はいう。

　一方、デジタルビデオのビューアやファイル交換プログラムと共に「アドウェア」がインストールされるケースも増えている。アドウェアの中には、単に広告を表示するだけのものもあれば、ユーザーのウェブサーフィン習慣を監視し、集めたデータを親会社に報告するものもある。

　さらに危険なのは、Clearswiftが「結婚式へのご招待」メールで発見したようなプログラムだ。この遠隔監視アプリケーションは「iSpyNow」という商品名で市販されている。iSpyNowはスパイウェアをコンピュータに潜ませ、そのコンピュータ上でキー入力されたすべての情報を、プログラムをインストールした人物に報告する。

　これまでは、この種の遠隔監視アプリケーションを利用するのはハッカーや悪意あるプログラムの作者だけだった。ところが、数カ月前から一部のベンダーが、このアプリケーションを子供や配偶者のコンピュータ利用を監視する手段として販売するようになった。企業はハッカーやスパム送信者がこの種のキーストローク記録プログラムを従業員のコンピュータにインストールし、機密情報を盗みだすのではないかと不安を募らせている。

　セキュリティ専門家は、自宅のコンピュータやノートPCを使ってオフィス外で働く従業員もスパイウェア感染のリスクが高いと指摘する。こうしたコンピュータは会社のファイアウォールの外側でインターネットに接続し、VPN経由で会社のネットワークにログインする可能性があるため、外部との通信機能を備えたスパイウェアを社内に持ち込む危険性がある。

　「こうしたコンピュータは社内ネットワークの管理外にある。ほとんどの環境では、ファイアウォールは外部からの侵入を防ぐように設計されている。しかし、その通信が社内から発信されたものであれば、ほとんどのファイアウォールを素通りするだろう」とCafarchioは指摘する。

規制の行方

　ハッキングに近いことをするツールから単純な広告プラグインまで、スパイウェアの種類は幅広く、この多様性がスパイウェアの取り締まりを今もなお難しいものにしている。

　スパイウェアを法的に規制することを目指す初の大型法案であるBono議員の法案も、この点を浮き彫りにしている。Bono議員のスタッフによると、同議員は現在、原案の修正を進めているという。原案のままでは、CookieやMicrosoftの自動更新機能といった通常のウェブ機能までが違法化される懸念があるからだ。

　ワシントンDCに拠点を置くプライバシー擁護団体「民主主義と技術のためのセンター（CDT）」は、11月19日に発表した報告書のなかで、スパイウェアの定義が定まっていないことを理由に、スパイウェアだけを対象とした規制法案の成立に反対している。同報告書によれば、企業が恐れているようなソフトウェアを利用した悪質なスパイ行為のほとんどは、すでにコンピュータプライバシー法やハッキングを禁止する法律、また連邦取引委員会の法律で禁止されているという。

　消費者の利益を考えるなら、もっと包括的なプライバシー法を導入し、すべてのソフトウェアに対して、個人情報を集めるときはユーザーに明示的に告知し、監視機能をオフにする手段や、簡単にアンインストールできる手段を用意することを義務づけるべきだ。しかし、一番大切なのは消費者自身が、利用規約をよく読んでからソフトウェアをインストールすること、そしてスパイウェアをインストールされた可能性がある場合は、LavasoftのAd-Awareのような対策ソフトを使って駆除することだと報告書は述べている。

　CDTのアソシエイトディレクターAlan Davidsonはこう語っている。「我々が明確にしようとしているのは、ユーザーが告知を受けているか、意味のある選択肢が用意されているかどうかだ。問題は、自分のコンピュータがどのように利用されているのかをユーザーが知っているか、不要なプログラムをアンインストールする方法が与えられているかだ。悪質なスパイウェアのケースでは、答えは依然としてノーである」