スパイウェアの認知度は、コンピュータウイルスに比べるとまだまだ低いようだ。内外のセキュリティベンダーやプロバイダ、IT管理者などは口々に、懸念される最大の脅威のひとつとして、このスパイウェアを挙げている。が、その一方では、エンドユーザーの意識は極めて低く、今年に入って実施された複数の意識調査(シマンテック、インフォプラント、アイシェアなど)では、「知らない」「よく知らない」と回答したユーザーが、いずれも半数あるいはそれ以上を占めている。ウイルスがほとんどのユーザーに認知され、すでに8割の方が何らかの対策ソフトを導入しているのに比べると、かなりお寒い状況だ。
そんな中、3つの銀行で計9件、940万円が不正に送金される被害が発生し、各メディアが一斉にスパイウェアの存在を報じた。
・イーバンクの顧客がスパイウェア被害、預金を不正に振込(2005/07/04)
・スパイウェアによる不正振込被害、みずほ銀行とジャパンネット銀行でも(2005/07/06)
●もの静かなスパイウェア
悪意のあるソフトウェアを総称してマルウェア(MALicious softWAREの略)という。ウイルスやワームは、マルウェアを代表するひとつだ。これらは、無差別に感染を広げ悪事を働くことが目的であるため、またたく間に多くの人たちにダメージを与えて行く。派手に振舞い被害者の数も多いため、認知度は高く対策ソフトの対応も比較的早い。
今回の事件に使われたスパイウェアもまた、このマルウェアのひとつで、狭義では、ユーザーの知らない間に個人情報や機密情報を収集したり、密かに行動を追跡する類のソフトウェアを指す。広い意味では、ユーザーが望まないさまざまな行為を伴うソフトウェア全般を指すが、今回のものは狭義の、それもとくに悪質なタイプである。
目的は、インターネットバンキングのパスワードを盗み出すことなので、侵入したことも活動していることも悟られないように、静かに密かに活動する。派手な振る舞いは一切しないので、災難がわが身に降りかかるその日まで、気づかなかったというケースばかりだ。仮に見つかったとしても、絶対数が少なく、その時点ではさしたる被害もないことから、ウイルスのような大騒動には至らない。パスワードを抜かれ、不正な送金が行われ、騒ぎになった時には、文字通り後の祭りという奴である。また、今回見つかったスパイウェアのひとつもそうだが、この手のものには、事件が起きた後ではじめて見つかる新種や亜種も珍しくない。
●スパイウェアにできること
このスパイウェアもウイルスも、パソコン上で動くプログラムのひとつなので、実行しないかぎり、活動を始めることはできない。システムやブラウザの脆弱性を利用したり、添付ファイルに紛れたり、時には便利そうなソフトウェアを装って、スパイウェアは実行のチャンスをうかがっている。とにかく実行できれば、あるいは実行してもらえればしめたもの。後は、起動のたびに自動実行されるようにシステムに自分を登録し、さまざまな手段を用いた情報収集活動を開始する。
ひとたび侵入されれば、パソコン上にあるもの、パソコン上で見たもの、パソコン上でしたこと、その全てが収集され、犯人に渡ってしまう可能性があると思っておけば間違いない。あなたがパソコン上でできることは、スパイウェアにもできるのだ。
●ターゲットを選んで狙い撃ちする巧妙な手法
今回の事件の大半は、通販業者に送られてきた、顧客を装うクレームメールが発端だった。犯人は、このクレームメールの添付ファイルに、スパイウェアを潜ませていた。顧客からのクレームとなれば、業者はいわれるままに添付ファイルを開くしかなく、必然的にスパイウェアの侵入を許してしまったわけだ。私たちの心理を突いた巧みなやり方だが、小規模な業者を狙った点も見逃せない。
大企業であれば、クレーム処理専門の部署や担当がいたかも知れない。が、少人数で経営している小さな通販業者では、クレームも出納も一人でこなしていたり、1台のパソコンをみんなで共有していることも少なくない。つまり、スパイウェアが侵入したパソコンでネットバンキングが利用され、送金に必要な秘密情報が犯人の手に渡ってしまった原因はそこにあったのである。
スパイウェアに限らずこの手のメール戦法では、以前の様な「数撃ちゃあたる」的な手法から、このようにターゲットを選んで狙い撃ちする手法に変わりつつあり、私たちもよりいっそうの注意が必要となる。
●私たちにできること
基本は、従来のウイルス対策とほとんど同じだ。専用のスパイウェア対策ソフトもあるし、最近では、ウイルス対策ソフトも積極的にスパイウェア対策に乗り出している。が、最も重要なのは、私たちの意識の問題に他ならない。何でも疑ってかかり、面倒でもより確かで安全な手段を選ぶように心がければ、この手の被害の多くを未然に防ぐことができる。
ブラウザやメールソフトのセキュリティ設定は、どうなっているだろうか。必要以上に何でもできる、甘い設定になってはいないだろうか。ダイアログボックスが出てくると、無造作に「はい」のボタンを押してはいないだろうか。メールの添付ファイルを直接開いたり、拡張子を確認せずにファイルをダブルクリックしたりはしていないだろうか。席を離れるときには、デスクトップをちゃんとロックしているだろうか。他人が使うパソコンで、重要情報を平気で入力したりはしてないだろうか…。
今よりほんの少し疑い深く、そしてわずかな注意を惜しまなければ、私たちが使うパソコンの安全性は、確実に向上するはずなのだ。(鈴木)