|
|
| Webテクノロジー |
2005年7月21日 16:00 |
| Webテクノロジー・バックナンバー |
スパイウェア対策――情報セキュリティリテラシの向上
著者: 株式会社ネクステッジテクノロジー 坂本堪亮 プリンター用 記事を転送
▼2005年7月21日 16:00 付の記事
□国内internet.com発の記事
スパイウェア対策について、
ここでは2004年春、
FTC 主催のスパイウェア ワークショップからの報告書を読みながら、
説明したいと思います。
スパイウェアガイドでは、
部分的に日本語で紹介していますので参考にしてください。
「IV. スパイウェア危機に対するハイテク業界の対応」で提唱されているように、
スパイウェアなどの最新の脅威に関する教育(情報セキュリティリテラシーの向上)は、特にハイテク業界が積極的に進めることが効果的です。
消費者が自らこうした情報を常に集め、適切な対応をするのは、
技術の進化速度を考えると不可能です。
ハイテク業界には、より最新技術を使った脅威の情報が多くあります。
それらの情報を元に、
的確な手法や対応方法などを企業や社会に公開し、
最終的に消費者にまで教育が広がるような仕組みが必要です。
また、行政などにも情報を提供しながら法的な整備を行い、
悪質な業者を刑罰で対処できるようにすることで、
抑止効果も得られることになります。
いつものように被害があってからでは遅すぎます。
幸運にもハイテク犯罪の場合、日本での犯罪は欧米を追って発生します。
つまり、欧米で発生するハイテク犯罪は確実に上陸するし、
その手法は全く分かったものであるということ考えると、
実施はそれほど難しいことではないように思えます。
セキュリティ強化と利便性の低下
この場合、気をつける必要があるのは、
一方的に危険性のみが大げさに伝えられることです。
またセキュリティを強化しようとすると、
利便性を犠牲にすることになります。
例えば、アンチスパイウェアの場合、
ブラウザクッキーをどう扱うかについての見解がいい例です。
技術的に、クッキーはスパイウェアではありません。
クライアントコンピュータに残るクッキーには、
スパイウェアとなるプログラムコードやスクリプトは入っていないからです。
しかし、アンチスパイウェアの多くは、クッキーをスパイウェアとして検出します。
クッキーは現在ほとんどの Web サイトで使われている技術で、
ユーザーのサイトでの利便性を高めたり、
ユーザーを見せたい情報に誘導するために欠かせない技術のひとつです。
しかし、技術的な知識のないユーザーがアンチスパイウェアソフトウェアでクッキーをスパイウェアとして検出したら、
そのまま削除することになるでしょう。
クッキーを削除したり、拒否することで利便性を犠牲にすることになります。
スパイウェアに限らず、
セキュリティの脅威への対策においては利便性とのトレードオフが不可欠です。
例えば P2P や IM(インスタントメッセージ)、
Skype など利便性の高い多くの技術が、
セキュリティへのリスクを理由にビジネス環境への実装が否定される傾向にあります。
しかし、本来向かうべき方向とは、
利便性を犠牲にするのではなく、
こうした「Graynet」(グレーネット)を効率よく管理して行く部分にセキュリティビジネスが発展し、
便利なものを安全に使えるようにすることであり、
それを実現する技術支援と、社会的な支援が重要になって来ると考えます。
クッキーはスパイウェアではない
時々、アンチスパイウェアベンダーは、
製品販促を優先するためか、
無実のものも脅威としてユーザーの恐怖心を煽っているように感じます。
例えば、ベンダーは、
クッキーをスパイウェアとしてシグネチャ データベースに登録することで、
シグネチャファイルを簡単に大きくすることができます。
アンチウィルスの DB データ登録件数を多く見せる方法に加えて、
クッキーをシグネチャに追加することで、
多く見せることは簡単です。
つまり、「xx社のアンチスパイウェア製品はxx万のデータベースがあります」と、
優位性を見せることができます。
先にも説明したとおり、
アンチスパイウェア用のシグネチャ DB にとって重要なことは、
量よりも質であるということを思い出してください。
インターネット上の Web サーバーを巡回し、
クッキーを自動的に収集するのはそれほど難しいことではありません。
しかしこれは、
スパイウェア対策という面では、あまり効果的な方法とは思われません。
追跡クッキーはプライバシーの侵害であるから、スパイウェア、
という意見もあります。
あるアンチスパイウェアベンダーは、
この追跡クッキーのことを「スパイウェアクッキー」と呼んだりしています。
これは間違いです。
これでは、
ユーザーのスパイウェアに対する誤解を招いてしまいます。
クッキーは、クライアントに保存される単純なテキストファイルです。
このファイルには、プログラムコードも、
またユーザー ID やパスワードなどの情報も一切含まれていません。
従って、クッキーがコンピュータの情報を盗む、外部に漏らす、
コンピュータ障害を引き起こすなどはありません。
一方、そのクライアント コンピュータ上に残るクッキー ファイルが盗まれることで、
セキュリティのリスクが発生するのは確かです。
追跡クッキー/サードパーティクッキー
このように、
クッキーは技術的にはスパウェアではありません。
しかし、クッキーがスパイウェアとみなされていたことには、理由がありました。
クッキーは本来、
唯一それを設定したサイトからのみアクセスが可能です。
これは利用者がひとつのサイトから他のサイトに移動している間も、
元のサイトでの情報を保存しておくためです。
しかしこの技術がある種有名な DoubleClick 社によって乱用されました。
その手法は、彼らのサーバーからさまざまなバナー広告を表示し、
それらのサーバーからクッキーを設定、
読み込むことでユーザーのサーフィングを追跡することです。
これらのクッキーは、サードパーティクッキーと呼ばれるもので、
ユーザーが表示している Web サーバーから設定されるファーストパーティクッキーとは違って、
見えない間に、
バナー広告に埋め込まれた Java スクリプトなどを利用して設定されます。
DoubleClick 社は、数千もの Web サイトに広告を持っていて、
それらの各広告は自身のサーバーから呼び出され、
クッキーを設定、読み込みを繰り返すことで、
ユーザーがどこにいるかを把握することができるシステムを構築することができました。
先にも述べましたが、
クッキーはスパイウェアではありません。
しかしクッキーの技術を乱用したこうしたシステムは、
ユーザーの嗜好を監視し、プライバシーを侵害します。
つまり、プライバシーの侵害がスパイ行為であることから、
追跡クッキーが、さらにクッキーがスパイウェアのように見なされていました。
プライバシーを守るためのブラウザの設定
しかし、こうしたことから自身を守る方法はすでにあります。
以下に追跡クッキー(サードパーティクッキー)を回避するためのブラウザの設定を紹介しておきます。
Mozilla や Netscape では[編集>設定]で [プライバシーとセキュリティ−>クッキー]で「文書がある Web サイトから送信されてくるクッキーのみ受信する」を選択します。
これによりサードパーティのクッキーがブロックされます。
クッキーの期限や他のプライバシー設定を行い、
クッキー、ダウンロード マネージャ、サーフィング履歴を調整することができます。
最新バージョンの Internet Explorer では、[ツール−>インターネットオプション]で[プライバシー]タブをクリックし、
[詳細設定]ボタンを押します。
「自動 Cookie 処理を上書きする」をチェックし、
サードパーティ クッキーにある「ブロック」をチェックします。
ユーザーにはより詳しい解説も必要
情報セキュリティリテラシの向上を図るうえで重要なのは、
やはり正確な情報を提供することではないかと思います。
例えば、「コンピュータの情報が盗まれる」といった場合に、
どんな情報がどのような方法で盗まれるかについての説明も、
正しく提供してあげる必要があるのではないでしょうか?
スパイウェアの定義に関して、
このコラムで解説しようとしているのですが、
これは逆に、
実はスパイウェアが定義できないものであることも説明しようとしています。
例えば、
「スパイウェアによってあなたのクレジットカードの情報が盗まれる!」といっても、
実際は、
「スパイウェア」というクレジットカードの情報を盗み出すソフトウェアが存在するのではなく、
リモートアクセスツール、もしくはキーロガー、
または BHO(Browser Helper Object)などのソフトウェアが利用されることで、
それが可能にるわけです。
そして、
そうした行為をするソフトウェアのことを、
スパイウェアと呼んでいるのです。
この辺りのことを一般消費者に明確に説明することで、
スパイウェアだけでなく、
情報セキュリティリテラシの向上が図られるのではないかと考えています。
販促目的で何でも脅威として恐怖心だけを煽る方法は、
ユーザーのセキュリティ意識を高めることはできますが、
本来のリテラシの向上とは違うのではないかと思います。
実際大きなセキュリティ関連ベンダーでも、
こうしたことを行っているのが見られるのは残念なことです。
また、大手のベンダーではありえませんが、
インターネットでは、
悪意のある偽のセキュリティベンダーに遭遇する場合もあります。
例えば、アンチスパイウェアと名乗るスパイウェア製品やセキュリティ製品と名乗る、
マルウェアやトロイの木馬も実際に存在します。
こうした二重スパイと呼ばれるセキュリティ製品に、
ダウンロードに慣れた個人ユーザーが被害に遭うことがあります。
またスパイウェア除去サービスを名乗る詐欺サービスも報告されています。
恐らくクッキーでも削除して、
スパイウェアを除去したと報告したりしていたのでしょう。
企業内におけるスパイウェアに関する教育もまた、
セキュリティリテラシの向上のために有用です。
また学生など若い世代への教育も必要です。
新しいものが好きで、
色んなことに興味を持つ若い世代に、
こうしたセキュリティリテラシに関する教育がより必要であることは明らかです。
便利であるインターネットやコンピュータの利用の裏に、
こうした危険性もあることを知っておくことは重要です。
法の整備
次に、日本よりも少し進んだ米国の例を見てみます。
先日下院を通過した SPY ACT 法(H.R. 29)の内容について見てみましょう
(原文はこちら)。
ちなみに SPY ACT とは、SECURELY PROTECT YOURSELF AGAINST CYBER TRESPASS ACT の略です。
この法案で興味あるところは、
「スパイウェア」を定義してそれを違法とするのではなく、
各種の行為を挙げてそれを違法としていることです。
長い間 FTC は積極的にスパイウェアを定義するために時間を費やしてきました。
しかし、
昨年のスパイウェア ワークショップでの結果に見られるように、
スパイウェアを定義することはできませんでした。
スパイウェアを定義し、それを違法であるとする代わりに、
この法案では多くの具体的な行為を違法としています。
それらには、
前回の「スパイウェアによって何が起こるか?」で説明したことが含まれています。
ここでは便宜上スパイウェア用語を使っていくつかを紹介して見ます。(カッコ内は原文の対応するセクションと項目)。
いわゆるハイジャッカ行為の禁止(SEC 2.(a)(1))
コンピュータを制御して情報を盗む行為(A)―ブラウザハイジャッカ(B)、
ダイヤラハイジャッカ(C)、悪質なアドウェア(E)
コンピュータの設定の変更に関して(2)、
ホームページ ハイジャッカ(A)、検索エンジンハイジャッカ(B)、
お気に入りへの書き込み(C)、セキュリティ設定の変更(D)
キーロガーの行為に関して(3)、
フィッシングなどで見られる偽の Web サイト(4)、
紛らわしい表現の禁止
インストールに関して、強制的にインストールする行為を禁止(5)
セキュリティソフトウェアへの攻撃禁止に関して(9)
データ収集に関して(SEC3)、個人情報を収集、送信することを禁止、
閲覧した Web ページを集め、広告表示に利用することを禁止(B)
サードパーティクッキーの乱用についての禁止を連想されることとして、
唯一読んでいる Web ページのみが情報を集め、
特定の Web サイト内でのみこれを利用できる情報収集するプログラムは、
その機能に応じて、
適切なメッセージをユーザーに明示するように勧告しています(C)。
例えば、
「このプログラムはあなたに関する情報を収集し、送信します。
利用に関して同意しますか?」
「このプログラムは、あなたの訪問した Web サイトに関する情報を収集し、
その情報を利用してあなたのコンピュータに広告を表示します。
利用に関して同意しますか?」
「このプログラムはあなたに関する情報を収集し、送信します。
また、あなたの訪問した Web サイトに関する情報を収集し、
その情報を利用してあなたのコンピュータに広告を表示します。
利用に関して同意しますか?」
法による規制でどんな効果があるか?
法案ができ、刑罰が定義されても、
スパイウェア犯罪が減ることはないと思います。
しかし、法の整備は必要です。
これら法の整備がもたらす効果として、
悪意を持っていない制作者がこれに確実に準拠すること(抑止力)、
またユーザーは、
何が悪質で何が正統かを、
こうした法に照らし合わせて識別できるようになること、
またユーザーがこれらの製品や Web サイトを見つけた場合、
その制作者やそれを配布しているサイトに対し、
ソフトウェアの配布停止やサイトの停止を訴えることができることではないでしょうか?
こうした法の整備や情報収集(報告の受け口)のために、
IPA などが積極的に活動すべきと思いますが、
声が届かないのは残念なことです。
記事提供:株式会社ネクステッジテクノロジー
関連記事
スパイウェアによって何が起こるか?
スパイウェアはウイルスより複雑
スパイウェアの定義
関連テーマ
ブラウザ
フィッシング
P2P
Mozilla
Java
|
|
|
 |
|
 ブログ一覧 |
 |
 |
【Graphic Design Forum】
|
|
 |
【データメーション】
|
|
 |
【ジュピターメディア創設者がITを斬る】
|
|
 |
【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】
|
|
 |
【エンジニアの独り言】
|
|
 |
【デスマーチからの脱却】
|
|
 |
|
(携帯・ワイヤレス 7月19日 12:00)
IT部門のジレンマ、解決します。
