スパイウェア対策は十分か　（RSAカンファレンス用、2006年）

　この数ヶ月、Winnyを悪用したコンピュータウイルス（Antinnyやその亜種）による情報漏洩事件がマスコミを賑わしている。ネット上に流出した情報は、個人のプライバシーに関する情報から企業の顧客情報や機密情報まで実に様々である。ネット上に一度流出した情報をすべて回収・削除することはほとんど不可能なだけに事態は深刻だ。

　しかし、Winnyをインストールしていなければ、Antinnyやその亜種による情報漏洩は起きないので、対策は比較的容易だと言えるだろう。むしろ、これから情報漏洩で問題になるのはスパイウェアではないかと思っている。
スパイウェアはウイルスの一種であるという見方もあるが、ほとんどの対策ソフトはウイルス対応機能とスパイウェア対策機能を区分しており、スパイウェア対策機能のついていないウイルス対策ソフトではスパイウェアのチェックや除去はほとんど不可能なので、スパイウェアはウイルスとは別物と考えた方がよい。

　ちなみに、スパイウェア対策の業界団体であるASC (Anti-Spyware Coalition)は（狭義の）スパイウェアを「利用者に対する適切な警告（通知）を出さず、または、利用者の承認を得ることなく、あるいは、利用者が管理できない形で利用者のコンピュータに組み込まれる“トラッキング・ソフトウェア”」だと定義している。トラッキング・ソフトウェアとは「利用者の操作を監視したり、個人を識別する情報や機密の情報などを収集するソフトウェア」である。（従来からウイルスに分類されているトロイの木馬は、裏機能が情報収集である場合にはスパイウェアでもあるということになる。）

　2006年2月16日、ＭＭ総研から｢スパイウェア対策の取り組み状況アンケート調査｣の結果が発表されている。１月中旬に実施したWebアンケート調査で、国内企業582社の情報システム部門が回答している。この調査結果によると、企業の情報システム部門では、スパイウェアに対する脅威・危険の知識や認識は91％と高いものの、社内のパソコンすべてに何らかのスパイウェア対策ソフトをインストールしている企業は36%しかない。大半のパソコンにインストールと答えた企業を含めてやっと半数を超える。また、スパイウェア専用の対策ソフトを導入している企業は僅か8％しかない。この結果をみる限り、企業のスパイウェア対策は十分とは言えない。ウイルス対策をしていない企業は希になってきたが、スパイウェア対策は意識はしているものの、実施はかなり遅れている。

　実際にスパイウェア対策ソフトウェアを使ってみると、発見されるものの多くが比較的害が少ないサードパーティ・クッキー（閲覧中のWebサイト以外によって作成・参照されるクッキー）やアドウェア（パソコンの画面に強制的に広告を表示するソフト）であるため、それほど害がないと考えている企業が多いのかもしれない。

　しかし、スパイウェアの脅威は決して小さくない。スパイウェアの中にはキーロガーのようにキーボード入力を記録し、場合によっては外部に送信するものや、パソコンを外部から遠隔操作可能にするＲＡＴ(Remote Access/ Administration Tool)、ハードディスク上の個人情報などを外部に送信するものなど極めて危険なものも含まれている。そして、こうした危険なスパイウェアは利用者に気付かれないようにひっそりと動作するように設計されているため、発症していても気付かないケースが多い。おまけに、こうしたスパイウェアは多くの場合営利目的でばらまかれている。つまり、知らない間に社内の機密情報や個人情報がスパイウェアによって外部に送信されてしまうというリスクが存在し、スパイウェア対策が不十分な企業ではその危険性が相対的に高くなる。

　対策の第一歩は、社内のすべてのパソコンにスパイウェア対策ソフトをインストールすることである。その場合、信頼できるものを選ぶことが重要だ。ウェブ上で公開されている無料のスパイウェア対策ソフトを使ったら、そのソフトにスパイウェアがバンドルされていたという笑い話のような実話もある。
　また、アクティブXを利用してウェブサイトから侵入をしてくるスパイウェアもあるので、アクティブXについてはダイアログを表示するようにブラウザを設定し、怪しいアクティブXを実行しないように注意する必要がある。もちろん、安全が確認できない添付ファイルを開いたり、フリーウェアをダウンロードしないように社員を教育することも必要だし、個人所有のパソコンであっても、業務に利用している場合には、社内のパソコンと同等のスパイウェア対策を講じた方がよい。
　情報漏洩を未然に防止するために、すぐにスパイウェア対策を実施することをお勧めする。