|
|
| Webテクノロジー |
2005年6月23日 09:00 |
| Webテクノロジー・バックナンバー |
スパイウェアはウイルスより複雑
著者: 株式会社ネクステッジテクノロジー 坂本堪亮 プリンター用 記事を転送
▼2005年6月23日 09:00 付の記事
□国内internet.com発の記事
シグネチャファイル
スパイウェアの定義が困難な理由のもう一つの側面として、使われている場所、
人によってそれがスパイウェアになったり、
管理ソフトウェアになったりすることです。
例えば、高いセキュリティ レベルの要求されるオフォス環境では、
誰が、どのコンピュータから、いつ何をアクセスしたかの記録を残す目的で、
キーロガー機能を持つソフトウェア(商用リモート管理ソフトウェア)を導入している場合があります。
一方同じソフトウェアが、
家庭内のコンピュータや、
そうした監視を行っていないオフィス環境で見つかったとしたら、
それは除去すべきソフトウェアということになるからです。
前回紹介したスパイウェアの定義の1番目を、
“認知しない行為をするソフトウェア”としているのもこうした理由からです。
もはやスパイウェアは機能から定義することができないということです。
つまり、アンチウィルス ソフトウェアのように、
世界中どこでもどんな環境でも同一のシグネチャファイル(ワクチンファイル)を利用して望まれないプログラムを検出する方法が、
アンチスパイウェアでは利用することができず、
環境や利用者に応じたシグネチャファイルを準備する必要があるということになります。
シグネチャファイルの質?
シグネチャファイルは、
アンチウィルスソフトウェアでいうワクチンファイルなどのような役割をします。
アンチウィルスの業界ではシグネチャをワクチン、
アンチウィルスソフトウェアを注射器というように、
非常に理解しやすい呼び方をしています。
そしてアンチウィルスベンダーは、
より多くのワクチンをより早く提供できるかで品質を競い合ってきました。
しかしアンチスパイウェアで利用されるシグネチャファイルは、
ワクチンという位置づけとは少し違っているように思われます。
第一に、あるスパイウェア モジュールに関する情報は、
パターンマッチングによるファイルを検出するためのパターン情報だけではなく、
それがインストールされた状態でどのように痕跡(フットプリント)を残しているかに関する情報や除去のための情報など、
ひとつのスパイウェアに対して多角的な情報を定義しています。
そしてそれらがひとつのスパイウェアに対して複数準備されます。
複数準備されるのは、各種のソフトウェアにバンドルされているスパイウェアの場合、
インストールの痕跡がそれぞれ存在することになるからです。
これらの情報によって検出、除去が行われることになるため、
シグネチャファイルは単なるデータの情報と言うよりも、
スパイウェア検出や除去のためのスクリプト、
またはエンジンの役割を果たすことになります。
このようにスパイウェアに見られる新しい脅威を検出、除去するためには、
シグネチャファイルもそのように対応、
進化が必要になっているのだと思われます。
EULA
“ユーザーの知らないうちにインストールしたり、
認知しない行為をするソフトウェア”に関連して、
EULA(エンドユーザーライセンス同意書)に記述しているから、していないから、
スパイウェアではない、
などという説明もありますが、
これらは作成者/配布元の言い分でしかありません。
これに反論する意見としては、
ユーザーが子供だった場合、
EULA を読んだとしても理解することはできない、
外国語で記述されている EULA を正しく理解するのは困難である、
などの理由で、
EULA への‘同意’は事実上‘同意’ではないと考えるほうが現実的だと思われます。
しかし、これはソフトウェアの提供者側からすると、
ユーザーがソフトウェアの機能を理解した上でソフトウェアをインストールしたかどうかを確認するための重要な手順でもあります。
EULA や、
アプリケーションの説明を無視してインストールすることで結果的に被害に遭ってしまうことを考えれば、
ユーザーはやはり読むべきではないかと考えます。
冗談のような技術として、
この EULA を読み込んで解析し、
スパイウェアの危険性を通知する仕組みも導入されつつあります。
また、ユーザーの許可した以外の行為がアプリケーションにより実行された場合に、
感知して警告を表示するようオペレーティングシステムを機能強化する要望などもあります。
実際こうした不明な EULA を利用してユーザーがアプリケーションのインストールを承諾した場合、
悪意のあるソフトウェアはさらにアンインストールを困難にしていることがあります。
つまり、
ユーザーが利用を停止しようとしてもそれを困難にする手法です。
後で紹介しますが、
SPY ACT(H.R.29)法案では、
なんらかの情報収集を行うプログラムでは、
通知や開示方法を明確に行うよう勧告しています。
アンインストール
例えば、
アンインストール用のプログラムやアンインストールのためのエントリをプログラムの追加と削除に準備していたとしても、
完全にファイルを除去するのではなく、
先のアップデータ機能部分をプロセスとして、
または BHO(ブラウザヘルパーオブジェクト)やスタートアップエントリに残したままにして、
次回コンピュータの起動時や、
ブラウザの起動時に設定やファイルを自動的に復元する手法が使われます。
このようなスパイウェアの攻撃をうけてしまうと、
そのコンピュータはほとんど乗っ取られた状態になってしまいます。
アンインストールを困難にする手法として、
ステルスモードという手法があります。
実行そのものを隠してしまうことです。
ファイルや実行されていることを分からなくしています。
ユーザー インターフェイスを持たないウィンドウプロセスとして実行する方法が利用されます。
情報の外部流出
ユーザーの情報をユーザーの知らない間に外部に送信するソフトウェアでは、
さまざまな方法で収集したデータを外部に送信します。
収集する対象として、
アドレス帳などのファイル、
実行中のアプリケーションのタイトル名やスクリーンショット、
キーロガーの保存したログファイルがあります。
これらの情報をユーザーのメールクライアントを利用したり、
自身の SMTP プロトコルを利用してあらかじめ設定したメール アドレスに送信したり、
HTTP POST、FTP サーバーに送信する手法があります。
これらの送信された情報を元に、
スパイウェアは、
被害者となるユーザーがいつどのアプリケーションのどの画面に何を入力したかをそのまま再現できることになります。
スパイウェアは、好ましくないソフトウェア
スパイウェアを定義する場合、
単に機能からそれをスパイウェアと呼ぶことが困難なほど、
多くの方法が同時に使われていることが理解できたと思います。
用語としてのスパイウェアは、
もはや元のスパイソフトウェアの意味でなく、
いわゆるユーザーにとって好ましくないソフトウェアの総称として使うべきではないかと思います。
悪意のあるソフトウェアを総称してマルウェアという呼び方もありますが、
ここでは、悪意のあるなしにかかわらず不必要という意味も含め、
または好ましくないものとしてスパイウェアという用語を利用しています。
また好ましくない、不要などの判断はユーザーに委ねられることになります。
今後、ソフトウェアは自分自身がスパイウェアでないことの証明として、
ユーザーがそれを不要と考えた場合、
完全にアンインストールできることが要求されるようになるでしょう。
しかし、ユーザーは、
不要な場合にアンインストールできるからと言って決して安心はできません。
正統なソフトウェアは、
完全なアンインストール機能を提供しますが、
悪意を持ったソフトウェアは、こうした基準は守ってはくれません。
スパイウェアの定義として3つ目にあげた、
インストール後、容易にアンインストールや削除ができないソフトウェアには、
こうした理由があります。
スパイウェアはソフトウェアだけではない
ここで思い出したことがあります。
スパイウェアをソフトウェアとして限定するのも、正しい認識ではありません。
例えば、キーロガーでは、
市販されているハードウェアタイプのキーロガーが存在します。
キーボードとコネクタ間に接続したり、
USB としてコンピュータに接続することで、
キーボードの信号や入力データを記録するものです。
これらハードウェアタイプのキーロガーは、
現在のアンチスパイウェア ソフトウェアでは検出することはできません。
経済活動におけるシステムの進化とスパイウェア
そもそもスパイウェアが爆発的に増加したのは、
P2P、マルチメディア、ツールバーに代表されるフリーソフトウェアへのバンドルです。
近年におけるインターネットを利用した経済活動の発展の結果、
ソフトウェア開発者がそのソフトウェアをライセンスする代償としてユーザーからソフトウェアの代金を徴収するよりも、
広告代理店と契約し、
広告のためのソフトウェア(アドウェア)をバンドルすることで、
広告の表示回数や、
クリック課金などのシステムにより直接広告代理店から徴収する方式が確立されました。
ソフトウェアの作成者は、
無料にすることでユーザーに利用される機会を増やすことができ、
かつ確実に報酬が回収でき、
それを次の開発に投資できます。
利用するユーザー側も優秀なソフトウェアを無料で利用することができます。
広告会社は各分野のソフトウェアを新しい広告媒体として利用し、
投資することになります。
このような方式は、ソフトウェアの開発、販売方法としては、
シェアウェア(TBYB - Try Before You Buy:参考文献)という方式に続く、
画期的な方法であるといえます。
しかし、この方法が短期間の間に乱用された結果、
アドウェアにスパイウェアという悪いレッテルが貼られてしまったことは残念なことです。
また、
インターネットを利用した経済活動システムをささえるアフィリエイト システムを狙ったものとして、
ロイアリティウェアと分類されるアフィリエイト紹介料を横取りする目的のものも存在します。
そして、ダイヤラーと分類されるスパイウェアには、
ダイアルアップ接続をユーザーが知らない間に高額レートの回線を利用するように変更され、高額な請求が発生するような悪質なものも存在します。
同時に、用語としての“スパイウェア”は、
DoubleClick 社のような Web 広告会社がデータマイニングを目的とした追跡クッキー技術を乱用してプライバシーを侵害する危険性があることから注目され、
そこからスパイウェアへの関心が増大しました。
クッキーにつては、後ほどもう少し詳しく説明してみたいとおもいます。
スパイウェアの周囲には、最新のオペレーティング システム、インターネット、
およびプログラミングの技術の進化だけでなく、
アドウェアやロイヤリティウェアのようにインターネットを利用した経済活動システムの進化もあり、
これらにも関係があることを注目すると、
より理解しやすくなるのではないでしょうか。
記事提供:株式会社ネクステッジテクノロジー
関連記事
スパイウェアの定義
関連テーマ
ウイルス
アフィリエイト
USB
P2P
ブラウザ
|
|
|
 |
|
 ブログ一覧 |
 |
 |
【最新テクノロジーの意外な処方箋】
|
|
 |
【データメーション】
|
|
 |
【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】
|
|
 |
【デスマーチからの脱却】
|
|
 |
【エンジニアの独り言】
|
|
 |
【Skypeブログ出張版】
|
|
 |
|
(Webテクノロジー 8月21日 18:10)
