はじめに
何やらおもしろそうな広告だと思ってクリックすると、集中砲火のごとく次々にポップアップ・ウインドウが現れて画面を埋め尽くす。正規のアドウェア・スキャン用ソフトウェアのように思えるので起動してみれば、ブラウザ上でそのようなスキャンは行われず、各種の不快な Web サイトにリダイレクトされてしまう。使用許諾書を読まずにフリー・ソフトウェアをインストールしたら、コンピュータの動作が異様に遅くなってしまった。もしかすると、この厄介なソフトウェアがオンライン上の自分の行動をトラッキングしているのだろうか。こんな現象が見られたら、スパイウェアとアドウェアの不可解な世界に入ってしまった証拠です。多くの場合は煩わしく、時に有害でもあるこれらのセキュリティ・リスクは、今や私たちのオンライン生活のごくありふれたできごとになっています。しかも、拡大の一途をたどっています。
そもそもスパイウェアとは、正確にはどのようなものなのでしょうか。アドウェアとは何が違うのでしょうか。スパイウェアやアドウェアは、どのような被害をもたらす可能性があるのでしょうか。これらを避ける方法はあるのでしょうか。どれも、もっともな疑問です。スパイウェアやアドウェアをめぐっては、しばしば理解に混乱が見られる場合もありますが、それでもこれらの的を得た疑問には、同様に的を得た答えがあります。
スパイウェアの定義については、専門家のあいだでさえ議論が分かれることがあります。しかしほとんどのスパイウェア・プログラムには、いくつかの特徴的な共通点があります。スパイウェアは一種の情報収集ソフトウェアであり、ユーザーが気付かないうちに、あるいはユーザーの同意を得ずに、ユーザーのコンピュータに入り込むことができます。通常はバックグラウンドで稼働し、ユーザーの情報を収集したりオンライン上の行動を監視して、その情報をサイバー上の別の場所に転送します。多くのスパイウェアは、ユーザーのコンピュータ情報や利用動向などの情報を収集します。例えば、ユーザーの Web 閲覧傾向や利用するソフトウェアの種類などを監視します。より巧妙なスパイウェアの場合、パスワードやユーザー名からクレジット・カード番号やインスタント・メッセージに至るまで、きわめて機密性の高い個人情報を収集して転送することも知られています。
アドウェアは、スパイウェアとは少し違います。ユーザーの同意なく、あるいは気付かれずに動作可能な点は共通していますが、アドウェア・プログラムがより主眼を置いているのは、ユーザーのコンピュータ上に広告コンテンツを表示することです。それにはポップアップ・ウインドウを使用することが多く、広告を点滅させて別の Web サイトにリンクします。これらの広告の多くは正規の製品をしつこく売り込むものであり、その点でアドウェアはセキュリティ・リスクというより迷惑なプログラムと言える場合が多いものです。アドウェアが提供する情報が有益なことさえあります。アドウェアの中には、ユーザーの Web 閲覧行為を監視し、その情報をもとにより的を絞った広告コンテンツを配信するものもあります。これもやはり、肯定的に受け止められる場合があります。要するに、ターゲット・マーケティングをどう考えるかによるのです。迷惑だという程度の人もいれば、プライバシーの侵害とまで考える人もいます。
結局、問題なのはそのプログラムの主な目的は何かという点です。そのプログラムが自分でコンピュータ上にインストールし、個人情報を収集しようとする場合には、それはスパイウェアです。広告を表示したりユーザーを別の商業サイトへ誘導することが主目的である場合は、アドウェアです。もちろん、ソフトウェアの名前が問題なのではなく、一番重要なのは、コンピュータ上にそのようなプログラムが存在していることをユーザーが望むかどうかという点です。そのプログラムがプライバシーやセキュリティを侵害している ( または、少なくとも迷惑だ ) とユーザーが考えるなら、それは明らかに迷惑ソフトウェアに該当することになります。そのようなソフトウェアについては、対処方法を知っておく必要があります。
スパイウェアとアドウェアはその大半が実害のないものですが、スパイウェアの中にはユーザーのプライバシー、データ、アイデンティティ情報をリスクにさらすものがあります。そのようなスパイウェアは、抜け目のない巧妙な手口でユーザーの最も重要な情報を収集します。例えば、ある種のソフトウェアを利用してユーザーのキーストロークをすべて盗み取ります。ユーザーの電子メールやインスタント・メッセージのコンテンツ、ログイン名やパスワード、さらには日記の入力までが、格好の標的となって盗み取られてしまうのです。個人情報の窃盗者やその他のオンライン犯罪者たちは、この種のツールを思いのままに操ってスパイウェアを利用し、かなり手の込んだ詐欺行為を働くようになってきています。にせのスパイウェア対策ソフトウェアを利用し、気付いていないユーザーのマシン上に自分のスパイウェアを送り込む犯罪者さえいます。
迷惑というだけでは済まないスパイウェアが存在することは確かです。しかしそれでは、さほど悪意のないスパイウェアなら深刻な問題にならないかと言えば、そうではありません。絶えずポップアップ・ウインドウを表示するプログラムは、非常に煩わしいものです。バックグラウンドでさかんに活動するスパイウェアやアドウェアは、ユーザーのシステム・リソースを独占し、システム全体をダウンさせてしまうこともあります。マシンの動作が遅くなるのは誰にとっても厄介なことですが、とりわけホームオフィス・ユーザーにとっては深刻です。小規模企業には致命的なレベルのパフォーマンス問題につながるからです。従って、それらの望ましくないプログラムがもたらすものがセキュリティ・リスクであろうとパフォーマンス問題であろうと、そのようなプログラムをコンピュータ上に存在させないことが肝要です。
では、これらの望ましくないプログラムはどのような方法でコンピュータに侵入するのでしょうか。その方法は数多くあります。別のプログラムと一緒にインストールされることもよくあります。もちろんその場合には、ソフトウェアの使用許諾書の中におそらく何らかの形で言及されているはずです。しかしそれらの許諾書は概して長文であるため、その全文を読む人はほとんどいません。スパイウェアやアドウェアは、ユーザーがインターネット経由でダウンロードするフリー・ソフトウェアにバンドルされているケースが一般的です。これを公平な交換条件 ( ユーザーはフリー・ソフトウェアを入手し、ソフトウェアの提供者はユーザーの利用傾向を観察できる ) と見る人もいれば、詐欺的でプライバシーの侵害だと見る人もいます。
いずれにしろ、多くの望ましくないソフトウェアはユーザーがインターネット・サーフィンをしている間にユーザーのコンピュータに侵入してきます。アドウェアやスパイウェアを作成する悪徳プログラマーは、drive-by download ( 自動ダウンロード ) とも呼ばれる手法を使い、ポップアップ・ウインドウ、ActiveX³ 技術、Web ブラウザのセキュリティ・ホールを利用して、ユーザーに気付かれずに、または同意を得ずに情報収集ソフトウェアをインストールします。多くの場合、ユーザーがポップアップ・ウインドウやにせのダイアログ・ボックスをクリックしてダウンロードするように仕向けます。緊急の内容や興味を引くメッセージを表示するよう設計されたウインドウもあります。無料のプレゼントを提供する内容であったり、ある Web ページを閲覧するには何かのソフトウェアをダウンロードする必要があるとする内容であったりします。また、「はい」「いいえ」など回答の選択肢を表示する場合もあります。しかし実際には、そのウインドウ内のどこかをクリックすれば、スパイウェアやアドウェアがユーザーのコンピュータ上にダウンロードされるようになっているのです。全般的に、望ましくないソフトウェアをダウンロードするためにはユーザー側で何らかの行為 ( または行為をしないこと ) が必要です。これはユーザーにとってはありがたいことです。スパイウェアやアドウェアの侵入に対して、ユーザーが大きな支配権を握っていることになるからです。
多くの望ましくないソフトウェアが結局ユーザーのコンピュータに入り込んでしまうのは、ユーザーが何らかの行為をしたこと、あるいはしなかったことが一因です。その点をわきまえ、インターネット・サーフィンなどのオンライン活動では慎重な対応が重要です。以下のことを心がけることにより、望ましくないスパイウェアやアドウェアをうっかりダウンロードしてしまう危険性を緩和することができます。
- コンピュータにダウンロードするソフトウェアは慎重に選んでください。ソフトウェアの発行元が全く信頼できない会社の場合は特に注意が必要です。その会社の Web サイトにアクセスし、技術情報だけでなく、その背後にいる人々についても入念に調べてください。
- 使用許諾書をよく読んでください。フリーウェアをインストールする場合には、その許諾書をただ最後までスクロールして「承諾」ボタンをクリックするだけではいけません。内容をよく読み、情報収集活動の実施に暗に言及している記述がないかをチェックしてください。
- にせのスパイウェア対策ソフトに注意してください。Web 上には、「スパイウェア対策」ツールと称し、その実スパイウェア防止にはほとんど、あるいはまったく効果のないツールがはびこっています。中には逆効果のものさえあります。このようなツールの供給業者がよく使う手口は、スパイウェアのスキャンを無料で提供し、ほとんどの場合、スキャンを行った結果膨大な数のスパイウェアが検出されたとするものです。そして間髪を入れず、その業者のにせの製品を購入するよう勧めます。
- ユーザー・インタフェース上でクリックできる広告を点滅させるプログラム、特にフリーウェアには十分警戒してください。そのようなプログラムは要注意であり、何者かがユーザーの対応を監視している可能性があります。
- インターネット・ブラウザは常に最新版を利用してください。ブラウザのセキュリティ・ホールはスパイウェアやアドウェアのダウンロードによく利用される経路であるため、使用しているブラウザのセキュリティ・パッチが入手可能になった場合には、すべて適用することが重要です。
- ActiveX は、不要な場合には無効にしておきます。ActiveX はユーザーに気付かれずに、または同意を得ずにスパイウェアをインストールするためによく利用されるツールです。信頼できるサイトで ActiveX が必要になった場合には、いつでも有効に戻すことができます。
上述のアドバイスを実践することで、コンピュータに入り込む望ましくないソフトウェアの削減に大きな効果が期待できます。しかしどれほど慎重なユーザーであっても、完璧に対処できるとは限りません。スパイウェアの配布方法は巧妙化する一方であり、これまで以上に精巧な偽装の手口が使われるようになってきているからです。こうした信用できないスパイウェア対策ソフト・ベンダーが増えているとは言え、幸いなことに、信頼のおけるセキュリティ・ソフトウェア会社から効果的なスパイウェア防止ツールを入手することは可能です。
スパイウェア対策ツールの選択にあたっては、スパイウェアやアドウェアが単独で機能することはないという点を念頭においておくことが重要です。実際、危険性が最も高く巧妙なインターネット・セキュリティの脅威は、スパイウェアのほかに、より悪質なツールを組み合わせて利用します。このように多面的な脅威に対しては、多面的な防御が求められます。シマンテックが Norton Internet Security™ 2005 を開発した理由もそこにあります。この製品は、ファイアウォール・セキュリティ、ウイルス保護、スパム防止、プライバシー保護などの機能を提供することはもちろんですが、さらにセキュリティ・リスクとして既知のスパイウェアやアドウェアを自動的に検出し、削除します。さほど有害でないスパイウェアやアドウェアを検出した場合には、削除するかどうかの決定をユーザーに促します。こうすることで、ユーザーが自分のコンピュータ上に何を取り入れ、排除し、残すかをコントロールすることができます。
結局、ユーザーが望まない、招かれざるソフトウェアに対処するためには、それらのソフトウェアをコントロールすることが唯一の方法です。スパイウェアやアドウェアがすぐになくなることはなく、ユーザーはその状況に取り組んでいかなければなりません。自分にとっての優先度を基に、十分な情報を考慮して決断する必要があります。スパイウェアをコントロールするためには、新しい見識とツールが求められているのです。幸い、そのツールはすでにあります。あとの判断は、あなた次第です。
