NCニュースの読み方 #21 「企業のスパイウェア対策は十分か」 （2006年2月27日）

　2月16日ＭＭ総研は、｢スパイウェア対策の取り組み状況アンケート調査｣の結果を発表した。１月中旬に実施されたWebアンケート調査で、国内企業582社の情報システム部門が回答している。この調査結果によると、社内のパソコンすべてに何らかのスパイウェア対策ソフトをインストールしている企業は36%しかない。大半のパソコンにインストールと答えた企業を含めてやっと半数を超えるというありさまだ。この結果をみる限り、企業のスパイウェア対策は十分とは言えない。ウイルス対策をしていない企業は希になってきたが、スパイウェア対策は意識はしているものの、実施は遅れている。

　スパイウェア対策の業界団体であるASC (Anti-Spyware Coalition)は（狭義の）スパイウェアを「利用者に対する適切な警告（通知）を出さず、または、利用者の承認を得ることなく、あるいは、利用者が管理できない形で利用者のコンピュータに組み込まれる“トラッキング・ソフトウェア”」だと定義している。トラッキング・ソフトウェアとは「利用者の操作を監視したり、個人を識別する情報や機密の情報などを収集するソフトウェア」である。（従来からウイルスに分類されているトロイの木馬は、裏機能が情報収集である場合にはスパイウェアでもあるということになる。）

　スパイウェアはウイルスの一種であるという見方もあるが、ほとんどの対策ソフトはウイルス対応機能とスパイウェア対策機能を区分している。したがって、スパイウェア対策機能のついていないウイルス対策ソフトではスパイウェアのチェックや除去はできないと考えた方がよい。

　また、実際にスパイウェア対策ソフトウェアを使ってみると、発見されるものの多くが比較的害が少ないサードパーティ・クッキー（閲覧中のWebサイト以外によって作成・参照されるクッキー）やアドウェア（パソコンの画面に強制的に広告を表示するソフト）であるため、それほど害がないと考えている企業が多いのかもしれないが、スパイウェアの脅威は決して小さくない。

　スパイウェアの中にはキーロガーのようにキーボード入力を記録し、場合によっては外部に送信するものや、パソコンを外部から遠隔操作可能にするＲＡＴ(Remote Access/ Administration Tool)、ハードディスク上の個人情報などを外部に送信するものなど極めて危険なものも含まれている。そして、こうした危険なスパイウェアはウイルスとは異なり利用者に気付かれないようにひっそりと動作するように設計されているため、発症していても気付かないケースが多い。おまけに、こうしたスパイウェアは多くの場合営利目的でばらまかれている。つまり、知らない間に社内の機密情報や個人情報がスパイウェアによって外部に送信されてしまうというリスクが存在し、スパイウェア対策が不十分な企業ではその危険性が相対的に高い。

　まず、社内のすべてのパソコンにスパイウェア対策ソフトをインストールすべきである。その場合、信頼できるものを選ぶことが重要だ。ウェブ上で公開されている無料のスパイウェア対策ソフトをダウンロードして実行したら、そのソフトにスパイウェアがバンドルされていたという笑い話のような実話もある。そして、社員全員にスパイウェア対策教育を行い、安全が確認できない添付ファイルを開いたり、フリーウェアをダウンロードしないようにすることが必要である。また、個人所有のパソコンであっても、業務に利用している場合には、社内のパソコンと同等のスパイウェア対策を講じた方がよいだろう。