巧妙化するスパイウェア--専門家がユーザーの対策不足を指摘

　スパイウェアの技術はこれまで以上に高度化し、その手口も巧妙化しているというのに、ユーザーはいまだに、脅威から身を守るうえで必要な基本的対策を行っていない--あるセキュリティ専門家は、こう警告する。

　重要なデータが毎日のように流出している可能性があることを考えれば、スパイウェアは大企業にとっても重大な問題である。にも関わらず、従業員に適切な教育をしていない企業があまりにも多い、とあるSymantecのシニアリサーチャーEric Chienは述べる。

　「スパイウェアが収集しているデータの量を知ったら、驚くだろう」と同氏は言う。

　Chienによると、スパイウェアは、スクリーンキャプチャやキーロギング、行動分析、特定の単語の認識など、あらゆる技術を駆使して、ユーザーの情報を収集するという。アイルランド・ダブリンで開催された「Virus Bulletin International Conference 2005」で講演したChienは、スパイウェアがどのようにしてマシンに侵入するかを詳細に説明した。

　「最も基本的な動きをするスパイウェアでさえ、ユーザーの氏名や性別、年齢、オンラインで費やす時間、検索の内容、購入商品、訪問先ウェブサイトなどの情報を収集できる」（Chien）

　Chienは、広く出回っているあるスパイウェアが収集したデータの詳細を例に示しながら、先のように発言した。

　個人データより企業データの方が価値が高いことが多い。だが、このようなアプリケーションは通常、収集したデータが個人のものなのか、企業のものなのかは識別できない。

　Chienはまた、あらかじめ指定された膨大な数のウェブサイトのうち、ある特定の単語が含まれるページにユーザーがアクセスした時にだけ起動する、高度なスパイウェアをイベント出席者に動かして見せた。

　攻撃者はこのような高度なスパイウェアを利用して、ユーザーが特定のオンラインショップにアクセスし、「確認」という文字列が表示されたページを開くたびにスクリーンショットを撮り、自身に送信することができる。

　「ユーザーが『確認』ボタンをクリックしたら、次にどんな情報が表示されるだろうか？クレジットカード番号とその有効期限、氏名、請求書の送付先住所、商品の送付先住所が、その答えだ」（Chien）

　不安はこれだけではない。Chienが動かして見せたアプリケーションは、ユーザーがある特定の銀行のウェブサイトを訪問しただけで、そのときのスクリーンショットを送信するようにも仕組まれていた。