近年、スパイウェアに注目が集まっています。スパイウェアはコンピュータ・ウイルスと異なり、自己増殖して被害を拡大するような作用はありませんが、コンピュータの動作を監視し、場合によっては個人情報を他コンピュータに送信することがあります。
スパイウェアとは何か
じつは、スパイウェア(アドウェアとも呼ばれる)の定義は定かではありません。
セキュリティ・ソフトを開発・販売するシマンテック社では、スパイウェアの特徴を
- システムの動作を密かに監視する機能を備えているスタンドアローンプログラム
- PC内の秘匿情報を取得して他PCに送信する
- インストール時に使用許諾契約(EULA)を表示する
の3つにまとめています。トロイの木馬やウイルス、ワームと違い、知らないうちにインストールされたり、自己増殖するものは含めないとしています。
スパイウェアは EULA を求める点で合法的と言われていますが、契約書の文章は長くて複雑なことが多いのです。P2Pファイル交換ソフト Kazaa にバンドルされているスパイウェア Gator の EULA は56ページ、5541語に及ぶ上に英語です。全文を理解して「I Agree」をクリックする日本人はほとんどいないでしょう。
スパイウェアは、Webサイト閲覧時に Active X を使ってインストールさせたり、フリーソフトにバンドルされていることが多いようです。なぜなら、スパイウェアは、フリーソフト作者が収入を得る手段の1つだからです。
スパイウェアの中にはブラウザの機能を乗っ取り(ブラウザ・ハイジャッカー)、常に広告を表示するようにするものがあります。その見返りに、フリーソフト作者は広告提供会社から収入を得ているのです。
個人情報を狙うスパイウェア
一度スパイウェアがインストールされてしまうと、インターネットを介して、コンピュータの中身や活動が筒抜けになることを覚悟してください。
技術的には、ファイルやレジストリに書き込まれている個人情報を選別して、ネット越しの“誰か”に送信することはたやすいことです。実際、マーケティング活動の一環として、あなたのネットへのアクセス状況を逐次報告するスパイウェアは数多くあります。
2005年7月2日、スパイウェアによって、インターネット専業銀行であるイーバンク銀行の預金13万円が別の口座に振り込まれるという事件が公表されました。
被害者のPCには、
SPYW_INVKEY12.A
または
Spyware.InvisibleKey
と呼ばれるスパイウェアが仕掛けられていたことが分かっています。
このスパイウェアは EULA を表示しますが、
インストールされると、キーボードでから入力したすべての情報をユーザーにわからないように記録します。
このスパイウェアが直接、口座番号やパスワードを漏らしたかどうかは明らかではありませんが、
何らかの形で関与していたと考えられています。
また、7月6日には、みずほ銀行と
ジャパンネット銀行の顧客のPCにスパイウェアが侵入し、
顧客の預金口座から何者かによって現金が他行に振り込まれる被害が発生したことを明らかにしました。
ジャパンネット銀行では、第三者によってパスワードが類推されないように、顧客に乱数パスワードを発行・送付していましたが、スパイウェアの前には何の効力をないことを露呈する結果になってしまいました。
全国銀行協会(全銀協)の
前田晃伸会長(みずほフィナンシャルグループ社長)は7月19日の記者会見で、
インターネットバンキングのパスワードなどを盗み出し、不正に別口座に送金、
金を引き出す「スパイウエア」の被害が3銀行で9件、計940万円に上っていることを明らかにしました。
一方アメリカでは、2005年8月8日、50もの銀行に関係した大規模な個人情報盗難が起きていることが発覚しました。
これは、セキュリティ企業Sunbelt Softwareの調査で明らかになったもので、攻撃者は、スパイウェアのCoolWebSearchと同時にダウンロードされるトロイの木馬や、PCをゾンビ化する大量メール送信プログラムを利用して、個人情報を収集しているようです。連邦捜査局(FBI)がこの事件について調査を進めていますが、盗まれたデータには、クレジットカード番号、社会保障番号、ユーザー名、パスワード、インスタントメッセージのチャット内容、検索のために入力したキーワードなどが含まれているそうです。
米Computer Assuranceは、2005年10月11日、個人情報盗難の被害状況に関する調査結果を発表し、
2670万人の米国消費者が知らないうちに個人情報を米国外に伝送していることを明らかにしました。
その手口はキー・ロギングと呼ばれるものです。
ユーザーのキー入力を記録し、それをスパイウェア作成者に送ります。
2004年に発生した米国内の個人情報盗難事件の5%が、この手法によるもので、損害額は25億ドルにも及ぶといいます。
| 2005年10月15日更新 | ||
| <<前へ | <目次> | 次へ>> |
| 戻る | 【関連ページ】 | |