スパイウェアは防げるか

　米大手インターネット公益団体「民主主義と技術のためのセンター（Center for Democracy and Technology：CDT）」と、そのアソシエイトディレクターであるAri Schwartzは、この数カ月の間に、インターネットのスパイウェアとの戦いの最前線に立つことになった。CDTはワシントンD.C.に拠点を置く団体だ。

　彼らの本職はプログラマではない。代わりにワシントンにおける自分たちの経験と影響力を生かして、コンピュータの乗っ取り行為（computer hijacking）や侵略的な広告活動の問題を政策レベルに押し上げ、これらの行為を取り締まるよう求めている。この問題についての最初の報告が出されたのは昨年11月のことだ。そしてCDTは11日（米国時間）、第１回の苦情申し立てを米連邦取引委員会（FTC）に提出し、いわゆるスパイウェア対策製品が顧客の信頼を悪用していると主張した。

　CDTの苦情申し立てで説明された手法は、テクノロジーに弱いユーザーとっては悪夢のような話で、テクノロジーに最も精通したネットサーファーにさえ重大な危険性を感じさせるものだ。ポップアップウィンドウが飛び出し、JavaScriptの警告メッセージが点滅し、コンピュータのCD-ROMドライブが明確な理由もなく開いたり閉じたりする。これらの目的はすべて、ネットサーファーを驚かし、ある特定の商品をダウンロードしたり買ったりさせることだと、CDTは主張する。

　Schwartzは、米Mail Wiperに対する苦情申し立てのために行った調査の中で、主導的役割を果たした人物だ。Mail Wiperはかつて、迷惑メールを使ってスパム対策ソフトウェアの宣伝をしていた企業である。関係会社や広告会社、第三者機関などが複雑に絡み合っているために、この宣伝手法の明確な責任者が特定しにくくなっているとSchwartzはすぐに理解した。

　「非常に多くの組織が関係しているため、全ユーザーにとって、関係者が誰なのかを理解するのも、システム全体を信用するのも困難だ」と、Schwartzは言う。

　しかし、CDTは、スパイウェア企業やコンピュータ乗っ取り犯に対する新しい規制や法律を求めているわけではない。既存の法律で十分であり、適用さえすればよいのだという。

　CNET News.comは、スパイウェアや詐欺広告について、そして、スパイウェア対策企業の強引なソフトウェア販売方法をFTCに訴えようという彼のグループの決断について、Schwartzに話を聞いた。

---この事件をFTCに訴えたのはなぜですか。それほど深刻な問題でしょうか。

　この問題は、インターネット上の詐欺や偽装、不正商行為といった大きな問題の兆候だといえます。私たちが起こしたのはオンライン上で起きている問題にハイライトを当てるための訴訟であり、これが第一歩となればいいと感じています。現状下では、匿名性を利用すれば面倒を避けられると思っている人々がいますが、今後はそのような迷惑行為ができないようにしたいのです。

---スパイウェア問題は、プライバシーやコンピュータに対する信用を損ねる新たな課題となるのでしょうか。それとも、スパイウェアは単に新世代のスパムなのでしょうか。

　新しい段階に引き上げられた問題もあると思います。特に、人々が知らないうちに、自分のコンピュータにソフトウェアをインストールされているような事例や、知らないうちに初期設定を変更されているような事例ですね。誰かがユーザーの行動を絶えず監視したり、許可なしにポップアップウィンドウを表示できたりするようなものであれば、単なるスパムを越えています。それは不快なだけでなく、プライバシー問題にもなり得ますし、インターネットの重要なセキュリティ問題にもなり得ます。

---アドウェアやスパイウェアメーカーが最初に急増したのは、無料のファイル交換ツールが大流行した時でした。ここ半年または1年でどのような進展が見られましたか。

　11月の報告書に我々が書いたように、スパイウェアには様々なものが含まれます。ですから、スパイウェアをひとつのカテゴリーとして語ることは困難です。昔から存在したものもあれば、新しい種類のものもあります。とはいえ、顧客にアプリケーションをダウンロードさせる技術や、十分な説明なしに承諾だけを得て、顧客のシステムを変更する技術が急増しています。

---関係会社を利用してソフトウェアの配布や宣伝を行っているスパイウェア対策ベンダーはMail Wiper（FTCへの申し立てで名前が挙げられた企業）だけではありません。これらの関連会社は、迷惑な電子メール広告などの手法を使いましたが、ソフトウェア企業自身に関連会社の行動に関する責任があると思われますか。

　ソフトウェア企業の行動に関連するパートナーについては、彼らにも責任があると我々は理解しています。ですから何が起きているか、もしくはそれ以上のことを認識していた場合、ソフトウェア企業には責任があります。もちろん実際の状況によりますが。

---現在の法律は、こういった事例を取り扱うのに十分なものだと言えますか。それとも、第三者がコンピュータに対して行えることを規定した新しい法律が必要性でしょうか。

　最もひどい事例というのは、ユーザーの承諾なしにソフトウェアがインストールされたり、情報が取られたり、ソフトウェアをダウンロードするようにユーザーを騙したりするものですが、現在の規制はこれらの事例をカバーしていると考えます。むしろ、より活発に法を適用すべきです。我々はそのためにこれらの申し立てをしているのです。現在の規制は、我々が認識している深刻な事例の大半をカバーしていると思います。

　法律はすでに存在しており、この問題にもう少し焦点を当てて、現在の法律が確実にカバーされるようにしたいと、FTCは考えています。ソフトウェア一般に対する標準を作ろうという試みもありますが、我々はこういった方向に進む前に、既存の法律の適用強化を求めます。しかし、新しい規制も考える価値はあります。我々はこの問題と、この法律がどのような機能をするかについて、もっと注目してほしいと考えています。

　プライバシーの問題は、現在のプライバシー規制の巨大なパズルにソフトウェアやスパイウェア用の新しいピースを追加するよりも、一般的なプライバシー規制を通じて取り扱われるべきだというのが、我々の考えです。

---顧客へのアドバイスは何ですか。多くのユーザーは、自分のコンピュータの箱の中で何が起きているのか、全く知りません。

　そうですね、難しい問題です。しかし現在は、昔よりもたくさんのツールが出回っています。大手企業や、OEM企業、ISP（インターネットサービスプロバイダ）などが信頼できるスパイウェア対策ツールを提供しています。もうひとつの方法は、そのソフトウェアをダウンロードする前に、そのソフトウェアに対するレビュー（評価）を十分に読むことです。信頼のおける情報源から良好なレビューを得ているソフトウェアは、その人にとっても最良のソフトウェアとなる可能性が高いのです。これは、すべてのソフトウェアに共通の真実です。

　また、子供が親のコンピュータに何かをダウンロードしているのに、親はコンピュータに何が入っているかを知らない場合があります。親はその何かを削除しても、子供がまた同じものをダウンロードし続けるようなケースです。このような例が多数あります。ネットワークをきちんと管理するには、自己規制を高めること、親を支援する技術、そしてシステム管理者が必要です。