スパイウェアの基礎知識

急速に広がるスパイウェアの脅威

仲秋 理佐子
ウェブルート・ソフトウェア株式会社
テクニカルサポート
スーパーバイザー
2005/11/30

 最新型スパイウェアの技術的特徴

 ここまで見てきたようにスパイウェアは、1.特定のターゲットにひそかに侵入する 2.一度侵入すれば除去が難しい 3.ユーザーPCの奥底に隠れ、金銭的利益につながる重要な情報を第三者に送信するという特徴がある。金銭的利益を得るという目的を達成するため、スパイウェアの作成・配布に利用されるテクノロジーも驚くべき勢いで進化している。そのうちのいくつかを紹介しよう。

1.ドライバ・レベル技術

 RUNキーの追加や INIファイルと実行ファイルの組み合わせといった旧来の方法は時代遅れになりつつある。最新のスパイウェアは「ドライバ・レベル・ルートキット」と呼ばれる技術を利用してユーザーPCでインストール、実行される。

 ルートキットとは、システムのルート権限を不正取得するプログラムの総称である。従来ウイルスやクラッキングに利用されてきたこの技術がいまやスパイウェアでも一般的になりつつある。

 このタイプのスパイウェアは、Windowsのカーネルやロウ・レベルAPIと呼ばれる通常のプログラムからは利用されないAPIを利用(フッキング)することで、リング0の特権レベル、つまりCPUやメモリ、ハードディスクなどすべてのリソースをOSからの制約なしに自由に制御する権限を取得する。

 一度このようなスパイウェアの侵入を許せば、ユーザーになすすべはない。スパイウェアはユーザーとシステムがやりとりするデータを自由に改ざんすることができる。OS 上から見えるファイル情報、走っているプロセス名、サービスの内容、ドライバ、レジストリキーなどは、スパイウェアが好きなように改変できるのだ。このため、「最近PCの動作が怪しいな」と思っても、スパイウェアによって改ざんされた肝心の個所は、ユーザーには検知も訂正もできなくなってしまう。

2.ウォッチャー・プロセス

 除去を阻止する高度な技術の1つが「ウォッチャー・プロセス」である。このタイプのスパイウェアは、いくつかのコンポーネントに分かれてインストールされる。それぞれのコンポーネントは互いに相手を常時監視し、削除を検知すると自動的に再インストールが行われる。

 この代表例ともいえるのが、アドウェア「Look2Me」の亜種の1つである。実行ファイルやレジストリエントリなどすべてのトレースを削除してしばらくたつと、すべてのコンポーネントが復活していることに気付く。ドライバ・レベルでインストールされるコンポーネントが残っている限り、ほかのコンポーネントを削除しても Look2Me が復活してきてしまうのだ。

3.ドライブ・バイ・ダウンロード

 高度化しているのは除去を阻む方法だけではない。ユーザーにスパイウェアのインストールを促す手法も、巧妙を極めている。

 アドウェアベンダが従来利用してきた「分かりにくいEULA(End User License Agreement:使用許諾契約書。スパイウェアがインストールされることが最後の方に小さく書いてある)」によるフリーソフトやシェアウェアとのバンドルはいまも健在だ。だが、米国を中心に各国で進むスパイウェア対策法の制定や消費者のアドウェア嫌悪の広がりから全体として減少傾向にある。

 しかし一方で、「ドライブ・バイ・ダウンロード」と呼ばれる技術を悪用するサイトは増加傾向にある。手法として、1.セキュリティパッチの当てられていないWebブラウザで閲覧した場合、自動的にコンポーネントがダウンロードされる、2.セキュリティレベルが低く設定されている場合、ActiveXコンポーネントが勝手にインストールされるなどが代表的なものだ。

4.「人質型」スパイウェア

 厳密には新しい技術というより、ドライバ・レベルなど、より検出・除去を困難にするスパイウェアが広がってきたことにより生まれたものともいえる。これらのスパイウェアは、システムの最も基本的な部分で活動しているため、除去を試みるとそのままシステムがクラッシュしてしまう。「自分(=スパイウェア)の命を取るのなら、引き換えにお前(=システム)の命を取るぞ」と、まるで自分のPCを人質に取られた格好だ。

2/3

Index
急速に広がるスパイウェアの脅威
  Page1
スパイウェアとウイルスは何が違うのか
Page2
最新型スパイウェアの技術的特徴
  Page3
スパイウェア被害を防ぐにはどうしたらいいのか

急速に広がるスパイウェアの脅威


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間