★阿修羅♪ 現在地 HOME > 掲示板 > IT4 > 359.html
 ★阿修羅♪
次へ 前へ
企業秘密も盗まれる? ますます危険になるスパイウェア【ZD Net記事】
http://www.asyura2.com/0311/it04/msg/359.html
投稿者 クエスチョン 日時 2003 年 11 月 24 日 19:00:21:WmYnAkBebEg4M

ZDNN 2003年11月20日 11:49 AM 更新
企業秘密も盗まれる? ますます危険になるスパイウェア【ZD Net記事】
http://www.zdnet.co.jp/news/0311/20/ne00_spy.html

最近ではWebサーフィン習慣を監視するばかりではなく、キー入力の内容
を盗むスパイウェアまでも市販されるようになっている。拡大するスパイ
ウェアへの懸念に、法律や業界コンソーシアムによる対策の動きも高まっ
ている。

 今年の7月後半、英国のあるクレジットカード・金融会社の従業員あて
に、企業の機密情報を記録してインターネット経由で送信できる「スパイ
ウェア」を忍ばせたメールが送られた。

 このメールは「結婚式の招待状」という件名で、一見スパムか普通のワ
ームのように見えた。だがセキュリティ企業Clearswiftのコンサルタント
は、このメールはその企業から特定の情報を引き出すことを狙った攻撃の
一環だと考えている――コーポレートセキュリティの世界では、悪夢のよ
うな筋書きだ。

 この出来事は、コンピュータへの侵入においてスパイウェアが主役の座
を担うようになっているという新しい危険なトレンドを浮き彫りにしてい
るとClearswiftは語る。ネットワークを混乱させて注目を集めようとする
比較的害のない攻撃は影を潜め、パスワードなど金につながる機密情報を
盗もうとする高度な攻撃が目立つようになっている。

 「スクリプトキディやオタクの古き良き日は過ぎ去ってしまった」と
ClearswiftのThreatLab部門マネジャー、ピート・シンプトン氏。「これ
はならず者の犯罪者で、動機は明らかに利益だ」

 ここ数年スパイウェアへの懸念は高まってきているが、今や世界中のコ
ンピュータセキュリティ・ポリシーコミュニティで頂点に達しつつある。
スパイウェアという言葉自体つかみにくくあいまいなもので、Clearswift
が発見したような情報を盗むプログラムと、KazaaやGroksterなどの無料
プログラムにバンドルされる煩わしい広告ソフトの両方を指して使われる
ことも多い。

 しかし、これらのソフトどちらにも次第に厳しい目が向けられるように
なっている。米連邦議会の委員会は11月19日、メアリー・ボノ下院議員
(カリフォルニア州選出・共和党)が提出したスパイウェア規制法案につ
いて審議する過程で、この問題に関する証言聴取を行った。この法案では、
最も消費者をいら立たせる慣行の多くが違法とされている。

 その一方では民間企業によるコンソーシアムが、スパイウェアの排除に
向けて別のアプローチを進めている。このコンソーシアムConsortium Of
Anti-Spyware Technology Vendors(COAST)は人気スパイウェア対策ソフ
ト「Ad-Aware」「Pest Patrol」の開発元により結成され、「スパイウェ
ア」「アドウェア」などの害虫プログラムの標準定義を定め、スパイウェ
ア対策ソフトにブロックされたくないという企業向けに最良の慣行を提案
しようとしている。

 「われわれは何が受け入れられ、何が受け入れられないのかという標準
定義を見つけようとしている。ベンダー各社はわれわれがどのような定義
を定めるのかを見守っている。彼らは、どんなものが倫理的と判断される
のかを知りたがっている」とPest Patrolの事業開発担当副社長ピート・
カファルシオ氏。

小さな害虫、大きな問題

 セキュリティ企業は、ここ数カ月で「煩わしい」レベルから「危険」な
レベルまで、いくつかのトレンドが高まっているとしている。

 煩わしいというレベルでは、「ブラウザヘルパーオブジェクト(BHO)」
を開発する企業がかなり増えている。これはInternet Explorer(IE)に
組み込まれて、広告の表示からWebサーフィンの監視まで何でもこなす小
さなプログラム。これらはたいてい、インターネットダウンロード高速化
ソフトや検索ツールとして提供されるが、消費者がすぐには気付かず、気
付いてもアンインストールしにくいという特徴を備えていることが多いと
セキュリティコンサルタントは話している。

 さらに、デジタルビデオビューアやファイル交換プログラムなどと一緒
にインストールされる「アドウェア」もはるかに増えている。アドウェア
の中には、ユーザーのWebサーフィン習慣を監視して、収集したデータを
開発元に送り返すものもあれば、単にプログラム内に広告を表示するだけ
のものもある。

 もっと危険なのは、Clearswiftが「結婚式の招待状」メールで見つけた
ようなプログラムだ。このプログラムは、「iSpyNow」と呼ばれる「リモ
ート監視」アプリケーションで、市販されている。これはコンピュータ上
で偽装することができ、そのコンピュータ上でキー入力された内容を、プ
ログラムをインストールした人物に報告する。

 この種のリモート監視アプリケーションは、もっぱらハッカーやその他
の悪質なプログラム作者の道具だったが、数カ月前から一部ベンダーによ
り、子供や配偶者のコンピュータ利用を監視する手段として販売されてい
る。企業の間では、このような「キーロガー」がハッカーやスパム業者の
手で従業員のマシンにインストールされ、機密データを盗まれるのではな
いかとの懸念が次第に高まっている。

 セキュリティ専門家は、自宅のコンピュータやノートPCを使ってオフィ
スの外から仕事をしている従業員が、スパイウェアに感染するリスクが高
いと指摘している。これらのマシンは企業のファイアウォールの外でネッ
トサーフィンしてから、VPN(バーチャルプライベートネットワーク)を
使って企業ネットワークへログインすることがあるため、社外と通信でき
るスパイウェアを持ち込む恐れがある。

 「これらのマシンは(企業)ネットワークの管理下にない。ほとんどの
環境では、ファイアウォールは侵入者を中に入れないよう設計されている。
しかし内側から送り出された通信は、ほとんどのファイアウォールを通過
する」(カファルシオ氏)

法律よりも個人レベルで

 ハッカーのようなツールから単純な広告プラグインまで、さまざまなプ
ログラムが存在するため、スパイウェアを抑えようとする取り組みは依然
難しいものとなっている。

 この問題を対象とした初めての大型法案と言えるボノ議員の法案では、
その点にスポットライトを当てている。同議員は、cookieやMicrosoftが
提供しているような自動アップデート機能など、普通のWeb機能までブロ
ックされてしまうのではないかとの懸念に対応して、最初の法案を書き直
しているところだと同議員のスタッフは話している。

 ワシントンのプライバシー擁護団体、民主主義と技術のためのセンター
(CDT)は18日に公表した報告書で、スパイウェアのつかみ所のない性質
を理由に、厳密にスパイウェアをターゲットとした法案に反対している。
企業が恐れているソフトによる悪質なスパイ行為の大半は、既にコンピュ
ータプライバシー法、ハッキング防止法、米連邦取引委員会法で違法とさ
れているとこの報告書には記されている。

 それよりも、すべてのソフトに対して個人情報を収集する際にユーザー
に明確に通知すること、ユーザーが監視機能を簡単にオフにしたりアンイ
ンストールできる手段を提供することを義務付ける広範なプライバシー法
の方が消費者のためになるだろう。

 最も重要なのは、消費者がソフトをインストールする前に利用規約をよ
く読み、コンピュータにスパイウェアをインストールされたかもしれない
と思った場合は、LavasoftのAd-Awareなどの対策ソフトを実行することだ
と報告書では述べられている。

 CDTのアソシエイトディレクター、アラン・デビッドソン氏は次のよう
に語っている。「われわれが区別しようとしているのは、通知や有効な選
択肢があるかどうかだ。問題は、ユーザーが自分のコンピュータがどのよ
うに利用されているのかを把握しているのか、プログラムが不要だと思っ
たときにそれをアンインストールする有効な選択肢があるのかだ。最も問
題があるスパイウェアのケースでは、これらの質問への答えはいまだに
『ノー』だ」

原文へのリンク
関連記事
FTCが警告、「ファイル交換とスパイウェアはプライバシーを脅かす」
米国議会にスパイウェア規制法案提案
スパイウェアから身を守る方法
マシンに潜む“害虫”ソフト、急繁殖
セキュリティ How-To 第2回:ソフトウェアに紛れ込むスパイ


[John Borland, ZDNet/USA]

 次へ  前へ

IT4掲示板へ



フォローアップ:


 

 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。