スパイウエアを捕まえろ!
前章では、「スパイウエアのひとつやふたつ、見つかっても慌てるな」と述べたが、現実にはどれぐらいパソコンに入り込んでいるのだろうか。典型的な5つのユーザー環境で調べてみた(下図)。検出に使ったソフトは前章と同じSpybotだ。
■清純潔白でもスパイウエアは入ってしまう(Spybotでの検出結果)
【クリックで拡大】
結論からいうと、普通に国内のニュースサイトを見たりする程度では、パソコン内の情報を第三者に送るような悪質スパイウエアは検出されなかった。広告表示のためのCookieなどが10数個検出されたぐらいである。
ただ、実験のためにあえて海外の懸賞サイトやアンダーグラウンドのダウンロードサイトを歩き回ってもらった24歳男性のケースは別。ユーザーのWeb閲覧情報を収集することもある「Dashbar(Claria)」から広告表示目的のCookieまで、26種類298個が検出された。26種類はスパイウエアの数、298個はそれが改変した個所の数だ(詳細は次章)。
悪さをするのはプログラム
では、検出されたスパイウエアは一体どんなものなのだろうか。今回はSpybotのほかにAd-Awareなど7種類の対策ソフトでも検査してみた。一連の実験でよく検出されたものをまとめたのが下の表だ。
●今回の実験でスパイウエアとして検出されたものの例 |
| スパイウエアとして検出さた主なプログラム | |
| 名前 | 典型的な活動例 |
| Alexa | ツールバーをインストールし、ユーザーの閲覧、検索状況に関する情報を収集するプログラム |
| Begin2search | 一般にアドウエアと呼ばれるプログラム。Internet Explorerに検索バー「Begin2Search」を作成する |
| CnsMin | シーエヌエスミンなどと呼ぶ。Internet Explorerの使用中、ポップアップ広告を作成する。使用許諾契約に合意して入れられる場合が多い |
| CoolWebSearch | 例えば、Internet ExplorerのアドレスバーにhttpやwwwではじまらないURLを入力すると「activexupdate.com」などほかのサイトを表示する |
| Dashbar(Claria) | いわゆるブラウザーハイジャッカー。ホームページ設定や検索ページの設定を勝手に変更したり、ユーザーが見たWebページの情報を収集する |
| DyFuCA | ポップアップ広告を表示する。このプログラムの作成者が管理するWebサイトをブラウザー画面に表示したりする |
| Ezula(HotText) | アドウエア。フリーソフトなどに付属。ユーザーが閲覧するWebページのリンクを改変して、Webページに自身の広告主へのリンクを挿入する |
| Gator | Gainとしても検出される。アドウエア。例えばユーザーが閲覧したWebを調査。インターネットに接続中にポップアップ広告を表示する |
| Hotbar | ブラウザーとメールの個人設定用ユーティリティ。ユーザーが閲覧したWebを調査。Internet Explorer使用中にポップアップ広告を表示する |
| IPSentry | Webのフォームに入力されたアドレスを監視する。監視されたアドレスは遠隔地に送られてデータベースに記録される。複数バージョンあり |
| NetOptimizer | サーバーに接続して広告をダウンロード・表示する(DyFuca Active Alert)。ユーザーのWeb閲覧傾向を集め、第三者に送る場合がある |
| PartySluts | EXEXNOT(エグゼクスノット)などとも呼ぶ。ダイアルアップ接続のネットワーク設定を勝手に行う「ダイヤラー」プログラム |
| Rapidblaster | Windowsの起動時に実行され、インターネット接続中に定期的に広告を表示する。ダイヤラーなどのプログラムをダウンロードする |
| Scom | エスコムと呼ぶ。「ダイヤラー」プログラム。アダルトサイトに接続し、電話料金を発生させる活動を含む |
| Tooncom | システムに常駐し、数種のアダルトサイトにアクセスを試みる。通知なしにファイルをダウンロード。Internet Explorerの検索、スタートページを特定のサイトに設定し、URLをお気に入りに追加する |
| スパイウエアとして検出されたCookieの作成元の一例(ほかにも多数) | ||
| Cookieは、ブラウザーとWebサイト間でユーザー識別などの情報をやり取りするためのファイル | ||
| doubleclick.net | imrworldwide.com | valueclick.ne.jp |
| gator.com | overture.com | webtrendslive.com |
検出されるスパイウエアは大きく2種類に分かれる。一つはプログラムだ。拡張子にexeなどが付いた単体のプログラムとしてや、Internet Explorer(IE)上で動作するActiveXと呼ばれるプログラム部品としてインストールされる。そしてもう一つはCookie。63ページで述べた通り、サイト側がユーザーの識別などに使う情報ファイルだ。
このうちスパイウエアやアドウエア、ハイジャッカー、ダイヤラーなど、その動作が問題になるのはプログラムである。つまり、スパイウエア対策ソフトの検出結果で注意すべきはプログラムなのだ。
となると次の課題は、検出されたスパイプログラムがどんな工作活動をするかだ。これはスパイウエア対策ソフトメーカーのサイトで確認するのが手っ取り早い。情報が日本語で分かりやすいのはシマンテックやトレンドマイクロ、マカフィーなどのサイト。そこで「ウイルス名での検索」や「広義の脅威の検索」などを実行すればいい。ただし、すべてのスパイウエアが載っているわけではなく、スパイウエアの名前の付け方もまちまちだ。表に挙げたスパイプログラムもそれらで調べたが、ユーザー情報を収集するものはごく一部、それもWebの閲覧情報程度だったのでひと安心という次第。
■スパイウエアの情報を検索できるサイト
ちなみに、無償のSpybotでは「DSO Exploit」がよく検出される。削除しても、再び検出表示されることがあるようだが、これはIEのセキュリティホールのこと。これが発見されたら、まずはWindows Updateを実行し、このホールを修正しよう。
なお、昨年1年間でシマンテックに届出があったスパイウエア/アドウエアの上位10種はすべてアドウエア。今回の実験結果とは随分異なるが参考にしてほしい。
■シマンテックに届け出のあったスパイウエア/アドウエア上位10 |
| Adware.InstantAccess | 512 |
| Adware.Gator | 403 |
| Adware.lefeats | 270 |
| Adware.NetOptimizer | 223 |
| Adware.BetterInternet | 203 |
| Adware.SyncroAd | 145 |
| Adware.MainSearch | 114 |
| Adware.Ncase | 95 |
| Adware.lstbar | 93 |
| Adware.Cydoor | 83 |
2004年1~12月に「シマンテックセキュリティレスポンス」に届け出があったスパイウエアとアドウエアの上位10種。両者の比率は1対4というだけあって、上位10種はすべてアドウエア(Adware)である
この連載のバックナンバー
- 緊急提言 「新型インフルエンザ」感染地域が急速に拡大中 あなたと家族を守る「3つのポイント」+「1」 (2009/04/30)
- 3月リンク集:オフィスセキュリティ (2009/04/01)
- 2月リンク集:身近にある危機 (2009/03/01)
- 1月リンク集:米国と日本 (2009/01/30)
- 12月リンク集:歳末の防犯・防災 (2008/12/25)
