スパイウェアによって何が起こるか？

前回、 スパイウェアによる被害を、 セキュリティへの侵害とコンピュータへの障害の2つに分類しましたが、 ここではもう少し詳しくその被害について説明します。

スパイウェアの脅威について議論する場合、 スパイウェアが何をするかについて知っている必要があります。 スパイウェア＝アドウェアとして捉えている人にとって、 スパイウェアは単に広告ツールとしか捉えられません。

しかし、 ここではスパイウェアの定義で説明したように、 広義のスパイウェアが何をするか？　ということを説明したいと思います。

スパイウェアによって起こる問題は大きく2つに分けられます。 ひとつは、セキュリティの侵害、もうひとつはパフォーマンスの低下、 システムが不安定になったり、 ハイジャッカなどのために操作が困難になるなどのコンピュータへの問題があります。

スパイウェアの存在を理解することを難しくしているのは、 コンピュータにある問題が発生した場合、 その現象が特定のスパイウェアで原因あることに気が付かないことが多いからです。

当然、スパイウェアについて知らない人にとっては、 問題の原因がスパイウェアであると考えるのは困難です。

例えば、 アンチウィルス ソフトウェアがインストールされているにもかかわらず、 コンピュータがウィルスに完全に汚染されるという報告があります。 これはウィルスソフトウェアが検知できなかったことが原因でしょうか？　 またはそれが新種のウィルスだったためでしょうか？

セキュリティ ソフトウェアへの攻撃

スパイウェアによっては（トロイの木馬機能を持つソフトウェアなどで多く見られます）、 セキュリティ ソフトウェアを攻撃するものがあります。 一旦これが実行されると、 コンピュータ上で実行されているセキュリティ ソフトウェア、 例えばアンチウィルス ソフトウェアやファイヤウォールのプロセスの停止を試みます。

また最近では、 アンチスパイウェア ソフトウェアを攻撃するものがあります。特に有名なのは、 Spector と呼ばれるスパイウェアです。

こうしたセキュリティ ソフトウェアを攻撃するスパイウェアは、 さまざまな方法で実行されているセキュリティ ソフトウェアを妨害しようとします。 例えば、簡単にプロセスの停止を試みるものもあれば、 さらにユーザーに偽のシステムエラー ダイアログ ボックスを表示し、 セキュリティ ソフトウェアの問題のためのエラーである趣旨のメッセージを表示し、 ユーザーにセキュリティ ソフトウェアを一旦停止するように促すものまで、 手法はさまざまです。

一旦、アンチウィルスなどのセキュリティ ソフトウェアが停止されると、 後は何が起こるかわかりません。 この場合、結果的にウィルスが原因でコンピュータは停止しますが、 それを引き起こしたのは、 セキュリティ ソフトウェアを攻撃するスパイウェアだったことになります。

しかし、このような状態に遭遇した場合、 スパイウェアが原因であったと的確に解析できる技術者はまだ少ないと思われます。

ファイヤウォールを攻撃するスパイウェアもまた危険です。 多くの場合、その後リモート制御のためのソフトウェアなどのイントールや、 コンピュータ内の情報の盗難につながります。 問題の真の原因を突き止め、対処しない限り再発の可能性は残ります。

ブラウザのセキュリティ設定に注意

セキュリティ ソフトウェアを攻撃するのと同じように、 コンピュータのセキュリティ設定を変更するスパイウェアも存在します。

多くの場合、 BHO（ブラウザ ヘルパ オブジェクト）を利用したもので、 Internet Explorer のセキュリティ設定を変更してしまいます。 つまり、ブラウザのセキュリティ設定がいつの間にか「低」に変更されたり、 悪意のある Web サイトを信頼済みのサイトとして、 知らない内に登録してしまうものです。

ブラウザのセキュリティ設定など、一旦設定すると、 普段設定が変わっていないかなど確認することは通常ありません。 そのため、これを契機に2次被害を呼び込むことになり、 その結果、真の原因は不明のままコンピュータが利用できなくなります。

コンピュータのリソースを喰い尽す

アドウェアと分類されるスパイウェアも、 コンピュータに深刻な問題を引き起こします。

アドウェアによっては、 鬱陶しい広告を出すためにコンピュータに常駐し稼動するため、 メモリや CPU リソースを消費するものがあります。 1つのアドウェアが深刻にメモリやプロセッサを消費してしまうものもありますが、 多くの場合、 複数のアドウェアが同時に動作することでコンピュータに多大な負荷が掛かり、 マウスさえも思いどおりに制御できなくなったりします。 また、広告を表示するために頻繁に制御サーバーに接続するため、 インターネット(ネットワーク) バンドを消費してしまうことになります。

インターネットにつながらない？

インターネットに接続できない、 Web サイトが開けない、 などの問題は、 ルータやネットワーク機器が原因の場合もありますが、 スパイウェアが原因であることもあります。

例えば、DNS キャッシュを操作するものだったり、 多くの被害報告では hosts ファイルが改竄されていたことが原因でした。 Hosts ファイルの改竄では、 接続できなくなるばかりでなく、 Web サイトへのアクセスも見知らぬサイトに誘導されてしまいます。 こうして誘導された悪意を持ったサイトを開くだけで、 ドライブバイダウンロードにより、 さらに別の（次の段階の）ソフトウェアがインストールされることになります。

Active-X だけではないドライブバイインストール

ドライブバイインストール手法によるスパイウェアの侵入方法の多くは、 Active-X を利用しています。 Active-X 利用したスパイウェアの侵入を回避するために、 セキュリティ設定を変更したり（Microsoft Windows XP SP2 では、 これらの危険性を回避するために Active-X が自動的実行される際に警告が表示されるようになりました）、 通常利用するブラウザとして、 IE ではなく Firefox など、 Active-X を実装していないブラウザに変えたりする方法があります。

しかし、最近報告された手法では、 Firefox で開いた Web サイトから Java Runtime をインストールし、 Java アプレットが IE を起動、 ユーザーに Active-X ブロックを解除することを要請し、 その後ソフトウェアをインストールするというものでした。 （スパイウェアガイド投稿を参照）。

メールなどで見られるフィッシングのように、 偽ったメッセージで巧みにユーザーにセキュリティ設定を変更させるものまで存在します。

ハイジャッカの脅威

コンピュータの利用用途が、 Web サーフィングや電子メールの交換などインターネットでのサービスと密接になった今、ブラウザをハイジャックされることは、 コンピュータにとってもはや致命的とも考えられます。 ユーザーは、常にブラウザを起動する環境にあるということは、 ブラウザの起動をきっかけに動作するスパイウェアにとっては、 格好のイニシエータとなります。

ブラウザ ハイジャッカの多くは、 BHO（ブラウザ ヘルパー オブジェクト）として侵入し、 ブラウザの開始ページ、検索ページ、エラーページ、お気に入り、 などを書き換えてしまいます。 特に悪名の高い About Blank は、 他のソフトウェアを呼び込みます。 ブラウザを起動することでスパイウェアが活動を開始します。

また、これら危険性度の高いスパイウェアは、 起動するごとに自分自身を複数コピーすることで、 除去を困難にしています。 除去ができたとしても、 ユーザーによりブラウザが起動されることで、 再び元の機能が回復したりします。

また、たとえユーザーがブラウザを起動しないとしても、 ある種のスパイウェアは、 ブラウザを自動的に起動するようにオペレーティング システムを設定します。 つまり、コンピュータを起動すると自動的にブラウザが起動され、 Web サイトに接続し、 Web サイトから次々とダウンロードが始まるような状態になります。

除去が困難

除去を困難にする手法として、 こうして自分自身のコピーをいくつも作成して行くものあります。 About Blank などに見られるこれらのハイジャッカでは、 不用意にコンピュータを再起動するとさらに複製が作られることになり、 事態がどんどん悪化します。

また、Windows のスタートアップで起動し、 必要なファイルが正しく揃っているかを確認し、 必要であればアップデータを使ってインターネット経由で自分自身をダウンロードする機能を持つものもあります。 先にも説明したように、 一旦入り込めば次のレベルの侵略が始まります。

特に除去が困難なのは、 複数のスパイウェアに感染しているような場合です。 複数のハイジャカに感染されると、除去も一度では完了できません。

スパイウェアが何をするかについての分類は、 上記の他に、 ダイヤルアップを設定し、 高額な回線を利用して接続するダイヤラ、 ワームのように電子メールを勝手に送り自身は繁殖させようとするもの、 トロイの木馬バックドアとしてリモート接続を許可することを目的とするものなど、 さまざまです。 （詳しくは、スパイウェアガイド プロパティ リストを参照してください）。

スパイウェアは最新技術を利用した脅威

このようにスパイウェアという脅威は、 単にそれが何かをし、それにより直接症状が出てくるといったものより、 むしろ原因を引き起こす契機（イニシエータ）となるための、 様々な手法をもった脅威である、 と捉えたほうがいいと思います。

そしてその手法が最新の技術を利用したものであることも理解いただけたでしょうか。

また、こうした複数の攻撃技術を利用した脅威として、 rootkit（ルートキット）と呼ばれる、 ハッキングのためのツールからの攻撃もあります。 ルートキット攻撃から守る方法については、 スパイウェアとは別の技術が必要になるので、 詳細の説明を省略します。

Web サイト スパイウェアガイドでは、 スパイウェアの脅威についての啓蒙と同時に、 無料での検出と除去サービスを提供しています。 同じサイトでは、 検出されたスパイウェアの統計情報も公開しています。 これらの統計情報は、 実際に日本国内で検出された情報です（注意：ここで検出されたスパイウェアには、 ブラウザ クッキーは含んでいません）。 これらの情報もスパイウェアに関して学ぶ上で大いに参考になると思われます。

どんなスパイウェアが報告されているか

内容を見ると、 全体の約半分はアドウェアであることが分かります。 次に多いのは、ブラウザハイジャッカで約13％、 データマイナ12％と続きます。

ここでのアドウェアは、 比較的危険度が高いものは少ないように思われます。 しかし、ブラウザ ハイジャッカは当初考えていたよりも多いと感じています。 ハイジャッカは、 CoolWebSearch や About Blank などに代表されるように、 非常に除去が厄介です。 スパイウェアとしての検出/除去する方法を思いつかないユーザーは、 恐らくやむなくオペレーティング システムを再インストールしていると思われます。

気をつけないといけないのは、たとえ再インストールしたとしても、 原因を見つけ、対応しておかないと、 再び同じ被害に遭ってしまうことです。

サイトでは、除去できないスパイウェアの相談や、 スパイウェア除去のためのツールを紹介しています。 ぜひともご利用ください。