(株)シマンテックは9日、東京・渋谷のセルリアンタワー東急ホテルにプレス関係者を集め、個人情報や機密情報の漏洩につながる“スパイウェア/アドウェア”に関するメディアワークショップを開催した。ワークショップには、法人営業事業部エグゼクティブシステムエンジニアの野々下幸治氏が出席し、同社としてのスパイウェア/アドウェアに対する取り組みを説明した。
 |
|---|
| 法人営業事業部エグゼクティブシステムエンジニアの野々下幸治氏 |
野々下氏は、現在のインターネット上にある脅威/リスクとして
- ウイルス
- ほかのプログラム/ファイルなどに紛れ込みながら、自分自身を増殖するプログラム
- ワーム
- ほかのプログラム/ファイルなどに紛れ込みながら、自分自身を変化させつつ複製を作るプログラム
- トロイの木馬
- 自己の増殖や複製は行なわずに、データの損傷やセキュリティーを危険にさらすプログラム
- 広義のセキュリティーリスク(スパイウェア/アドウェアを含む)
- 上記3つ以外で、迷惑・有害行為や不正アクセス、個人情報漏洩などにつながる可能性があるもの
などがあると切り出した。今回のテーマであるスパイウェアやアドウェアには、「統一された定義がない」として、シマンテックの定義を以下のように示した。
- スパイウェア
- システムの活動を密かに監視するスタンドアロン型のプログラム
- コンピューターの使用状況を監視・制御し、ユーザーの秘匿情報を発見するとほかのパソコンへ送信する
- ウェブサイト/電子メール/インスタントメッセンジャー/P2P(ピア・ツー・ピア)ファイル共有プログラムなどを通じて、アプリケーション本体と同時にダウンロード、インストールされる
- インストール時にエンドユーザー使用許諾契約(EULA)を提供・提示する(ものが多い)。その際にインストールするか否かはユーザーの判断にゆだねられる
- ただし、EULAが非常に長い/紛らわしい/複雑で、ユーザーは読まない場合が多い
- アドウェア
- ウェブサイトの利用傾向を記録するプログラム
- ほかのソフトウェアにバンドルされているほか、システムへの侵入をユーザーに知らせない場合もある(仕様許諾を伴わずにプログラムをダウンロードさせるウェブサイトも存在する)
- アドウェア業者は、ユーザーの嗜好に関する情報を収集し、この業者のサービスに加入した広告主に情報を提供する
- 広告主はユーザーの嗜好に合わせた広告を配信・作成する
- データの収集は行なうが、アドウェアをインストールしたユーザーの特定はできない
 |
|---|
| シマンテックが示した“スパイウェアの定義” |
これらスパイウェア/アドウェアの現状について、同社が定期的に告知している“シマンテック インターネットセキュリティ脅威レポート”の数字として、
- 2004年から悪意を持ったコードレポートのトップ50に、スパイウェアの占める割合が増えている(2004年前半は4%、同年後半は5%)
- スパイウェア/アドウェアともに増加傾向が見られる
- OEM供給先やパソコンメーカーのヘルプデスクなどからの報告のうち、20%がスパイウェア/アドウェアに関するものと分類される。この問い合わせも増加傾向にある
と説明した。
 |
 | |
|---|---|---|
| “シマンテックセキュリティレスポンス”に届出のあった“スパイウェア/アドウェア”の上位10件(ワールドワイド) | 同じく日本の場合 |
その対策としては
- 法律面
- 現在はスパイウェア/アドウェアともに違法とは判断されていないが、立法がこれらの抑制に役立つはず。ただし、違法性の判断基準は“ソフトの性質”ではなく“行為の性質”におく必要がある
- 国際協力面
- 欧州評議会が起草・確定した“サイバー犯罪に関する条約”に批准し、国際的な取り締まり強化を図る(日本では2004年4月に国会承認、同年7月1日発効)
- 技術面
- ウイルス対策ソフト/スパイウェア対策ソフト/ファイアウォールソフトを組み合わせて意図しない重要情報の漏洩を未然に防ぐ
などが重要と述べた。特に法律面では、米国で具体的な立法の動きがあるものの、法律としては成立しておらず、一部州法(ユタ州、カリフォルニア州など)で成立しているが、「パソコン上から情報を持ち出す行為を単に取り締まるのでは、ウイルス対策ソフトの“Live Update”(インターネットに接続したパソコンで、パターンファイルやプログラムの更新を自動的に行なう仕組み)のような本来規制すべきでないプログラムも対象に含まれてしまうので、その性質に重きをおいて慎重に立法を進める必要がある」と、法律による規制が難しい現実を示した。
 |
|---|
| シマンテックが示す“スパイウェア/アドウェア”への対策 |
最後に、現在同社では、セキュリティーアプライアンス製品『Symantec Network Security 7100 series』について、定義ファイルのアップデートによりスパイウェア/アドウェアへの対策を強化したこと(米シマンテック(Symantec)社が2月14日に発表済み)、クライアント向けセキュリティーソフト『Norton Internet Security』『Symantec Client Security』について、従来のスパイウェア/アドウェアの検出や情報送信の予防だけでなく、駆除に至る機能強化を行なう予定があることを紹介した。
 |
 | |
|---|---|---|
| 米国でのスパイウェア/アドウェアに関する立法の動向 | 技術面や運用面での対策 |
