スパイウェアの基礎知識
急速に広がるスパイウェアの脅威
仲秋 理佐子ウェブルート・ソフトウェア株式会社
テクニカルサポート
スーパーバイザー
2005/11/30
オンラインバンキングの顧客をターゲットにしたサイバー犯罪のニュースがメディアをにぎわせたことで、「スパイウェア」という言葉が急速にクローズアップされている。
「ウイルス」とは違う目的で作られ、まったく異なる動きをするスパイウェア。放っておけば個人情報流出やクレジットカード/オンラインバンキングの資産を盗まれるなど、企業・個人双方にとって取り返しのつかない被害をもたらす。
しかし残念ながら、この新しいオンライン脅威に対して、正しい対策を取っている企業・個人ユーザーはまだまだ少数なのが現状だ。 そこで本稿では、スパイウェアとは何か、ウイルスとはどう違うのか、最新スパイウェアの技術的特徴、そしてスパイウェアへの正しい対策法を紹介したい。
スパイウェアとウイルスは何が違うのか
そもそも、スパイウェアとは何か。各団体・ベンダにより細かい部分は異なるが、おおむね「ユーザーの同意なしにオンライン/オフラインの活動を監視し、そこから得た情報を第三者に送るソフトウェア」というのが共通した定義だ。
代表的なスパイウェアの例としては、オンラインバンキングのユーザーID/パスワードからクレジットカード番号までユーザーのキーストロークをすべて記録する「キーロガー」、フリーウェアやファイル共有ツールに付随しポップアップ広告を表示させたりオンライン活動履歴を収集したりする「アドウェア」、hostsファイルやWebブラウザの設定を書き換えユーザーが意図しないサイトに誘導する「ブラウザハイジャッカー」などがある。
従来、ユーザーに実害を与えるソフトウェアといえばウイルスだと思われていた。では、このスパイウェアは、ウイルスとどのように違うのだろうか。スパイウェアとウイルスには4つの大きな違いがある。
1.金銭的利益を目的とする
ウイルスは愉快犯または技術力の誇示を目的とし、拡散によって巻き起こされる騒ぎそのものを狙いとするところが大きい。ひとたび騒ぎになると、ソースコードに少しだけ改変を加えた「模倣犯」が次々と現れるのもこのためだ。
一方スパイウェアは、金銭的利益を得ることを明確な目的としている。スパイウェア作者・配布者にはアドウェアベンダや犯罪組織から金銭が支払われるため、常に最大効率で目的を達するよう最新テクノロジーが模索される。
2.「隠れる」ための高度な技術
ウイルスが拡散・増殖を目的としており、感染がすぐに判明するのに対し、スパイウェアは「スパイ」という名前からも分かるように「隠れる」ことを目的としている。PCからPCへと拡散しないスパイウェアは、ターゲットのPCにピンポイントでひそかに侵入する。このためスパイウェアは、従来ウイルス研究に用いられてきたハニーポットを仕掛ける方法で検体を集めるのが難しい。
3.除去が困難
ウイルスは多くの場合、1つの実行ファイルまたはいくつかのレジストリエントリの改ざんの形で現れる。実行ファイルを削除したり、改ざん個所を元に戻したりするのは比較的容易である。
一方でスパイウェアは、「除去されない」ために、1回のインストールでシステムのあちこちに数十、時には100以上もの「トレース」(=ファイル生成・レジストリエントリやホストファイル改ざんなど)を残す。1つのスパイウェアが次々とほかのスパイウェアをダウンロードしたり、PC上で「スピンアウト」により亜種を生み出したりするものもあり、完全な除去が極めて困難である。
 |
| 図 1つのスパイウェアが何十という「トレース」を持つ例 |
4.被害の種類が違う
ウイルス感染による被害は、ネットワーク帯域の占有、PC上のファイルの削除、システムクラッシュなどである。被害の規模は非常に大きいが、その本質は迷惑行為だ。
一方のスパイウェアによる被害は、個人情報・知的財産・金銭の盗難などである。特に企業にとっては、社会的信用の失墜や法的責任を問われるなど、取り返しのつかない結果を招く可能性が高い。
|
1/3
|
 |
| Index | |
| 急速に広がるスパイウェアの脅威 | |
 |
Page1 スパイウェアとウイルスは何が違うのか |
| Page2 最新型スパイウェアの技術的特徴 |
|
| Page3 スパイウェア被害を防ぐにはどうしたらいいのか |
|
 |
急速に広がるスパイウェアの脅威 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
