Insider's Eye もはや人ごとではないスパイウェアの脅威 知らずに侵食されるセキュリティとプライバシー Michael Cherry 2004/10/27 Copyright (C) 2004, Redmond Communications Inc. and Mediaselect Inc.

本記事は、（株）メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』 2004年11月号 p.40の「Windows XP SP2でも防げない？ 拡大するスパイウェアの脅威」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

　Windows XP SP2のセキュリティ強化機能を適用したとしても、ますます深刻な被害をもたらすようになってきているスパイウェアからはPCを完全に保護することができない。スパイウェアはこれまで、ユーザーの好みに合ったWeb広告を表示するために、ユーザーに害を及ぼすことのない限られた範囲の個人情報の収集に使われてきた。しかし最近では、パスワードや銀行口座番号などの重要なデータを盗み出すといった、不正なスパイウェアが急速に増えてきている。スパイウェアの被害を防ぐには、少なくともスパイウェア検出ソフトウェアを使用するなど、さらなる対策が必要だ。

　最近行われたテストによると、たとえファイアウォールが有効になっていたとしても、インターネットに30分接続しているだけで、Windowsコンピュータへのスパイウェアの侵入が次々に始まるという。

スパイウェアの侵入経路

　スパイウェアのインストールは、バッファ・オーバーフローなどの脆弱性を利用して行われる。また、PCに最新の修正プログラムを適用することがいかに重要かを知らしめることになったDownload.Jectのケースのように、サーバとブラウザの両方の脆弱性を利用して、スパイウェアがインストールされる場合もある。

　しかしスパイウェアのほとんどは、「社会工学（ソーシャル・エンジニアリング）」的なトリックを利用して、ユーザーを欺くことでインストールされる。ユーザーを欺き、ユーザー自身にスパイウェアをインストールさせたり、承認させたりしてしまうトリックには、次のようなものがある。

●トロイ（トロイの木馬）
　古代ギリシャ軍がトロイの町に侵入するために使用した木馬のように、トロイ型プログラムは、無償のプログラムや、画像、音楽、動画ファイルなどに、ユーザーが望まない不正なソフトウェアを忍ばせ、ユーザー自身にこれらのファイルをダウンロードさせることで、ユーザーのPCのセキュリティ設定をすり抜けるものをいう。不正なプログラムが潜んでいるファイルをダウンロードやインストールした時点では、スパイウェアが含まれているかどうかユーザーには分からない。

●ポップアップ
　Webサイトの多くは、有用なメッセージや情報の表示にポップアップを使用しているが（Webページ内の画像の拡大表示を提供する場合など）、ユーザーを困惑させて、スパイウェアをインストールさせる目的でポップアップが使われることもある。この場合、通常は、ポップアップを次々と表示させるという方法が取られる。これは、表示されたポップアップのすべてを閉じるのは面倒なため、ユーザーがついソフトウェアをインストールするコントロールをクリックしてしまうことを狙ったものだ。

●ユーザーを欺くダイアログ・ボックス
　Webサイトによっては、一見したところ望ましい、または無害な操作（皮肉なことに、スパイウェアの検出などの操作）の実行を勧めるダイアログ・ボックスを表示するものがある。ユーザーがその操作の実行に同意すると、実際にはスパイウェアがダウンロードおよびインストールされてしまう。

●紛らわしい使用許諾契約
　ソフトウェアの中には、ほとんどのユーザーが使用許諾契約書（EULA）を読まないか、理解せずに、OKボタンをクリックして、ライセンスに同意をしてしまうという事実を利用して、ソフトウェアとスパイウェアの両方のインストールを承認させるEULAを含んでいるものがある。

●紛らわしいWebサイト名
　不正なWebサイトの中には、知名度が高く人気のあるWebサイトに非常によく似たURLを使用しているものがある。例えば、これらのサイトでは、人気のあるWebサイトのURLに1文字を追加しただけのものや、よく間違われる綴りなどを使っている。ユーザーがこのような不正なサイトにアクセスすると、既知の脆弱性やポップアップの連続的な表示、またはユーザーを欺くダイアログ・ボックスなどの社会工学的なトリックを使用して、スパイウェアのインストールが試みられる（ドライブバイ（drive-by）・インストールと呼ばれる）。

　最初の侵入方法がどのようなものであっても、スパイウェアの検出と除去は難しい。なぜなら、スパイウェアは、［コントロール パネル］の［プログラムの追加と削除］に通常は登録されないことを除いては、スパイウェアではないアプリケーションやユーティリティと同じように動作するためだ。また、たとえ［プログラムの追加と削除］に登録されていたとしても、ユーザーの操作によって、完全もしくは問題を残さないような形で削除できることはまずない。スパイウェアは、最も単純な方法でインストールされている場合でも、通常はシステム・ディレクトリやプログラム・ディレクトリにファイルをコピーしたり、レジストリ・キーを作成・変更したり、コンピュータが再起動されるたびに自動的にスパイウェアが読み込まれて実行されるように設定したりするなど、何かしら検出を免れるような方法でコンピュータ・システムに侵入する。このため、ウイルス対策ソフトウェアやスパイウェア検出プログラムでは、署名や異常なマーカーを検出することができず、ユーザーが望んでインストールしたソフトウェアとスパイウェアを区別することができない場合が多い。

スパイウェアからコンピュータを保護

　Microsoftは、Windows XP Service Pack 2（XP SP2）において、ブラウザ･ソフトウェアのInternet Explorer（IE）にセキュリティ強化を施したが、これが効力を発揮するのは限られた場合しかない。

　確かに、XP SP2の改良によって、ポップアップの制御が容易になり、スパイウェアのインストールを誘引するような紛らわしいポップアップをある程度ブロックできるようになった。また、IEの情報バーを使用して、詳細を取得したり、ダウンロードを拒否したりできるようになるなど、ダウンロードの管理も容易になった。しかし、このような機能はWindows XP上で実行されるIEでしか利用できない。

　また、Microsoftが展開している「Protect Your PC」キャンペーンで推奨されている3つの手順に従ったとしても、スパイウェアを完全に阻止することはできない。最新の修正プログラムの適用を怠らず、ウイルス対策ソフトウェアを使用して、最新のウイルス署名ファイルをインストールし、ファイアウォール（特に、受信データしか監視しないWindowsファイアウォール）を使用していたとしても、新たな脆弱性や社会工学的なトリックを利用してスパイウェアがインストールされてしまう可能性をなくすことはできないのだ。同様に、IE以外のブラウザに変更した場合でも、IEの既知の脆弱性を利用してインストールされるスパイウェアの数を削減することは可能かもしれないが、社会工学的なトリックを利用した攻撃はほとんど防ぐことができない。

　少なくとも、「Protect Your PC」キャンペーンで推奨されている手順に加えて、ユーザーは以下の2つの操作を実行することが推奨される。

■スパイウェア検出ソフトウェアを実行
　現在、最新のウイルス署名ファイル（いわゆるパターン・ファイル）をインストールしたウイルス対策ソフトウェアの使用が推奨されているように、最新のスパイウェア検出ソフトウェアをコンピュータにインストールしておくことが推奨される。ただし、ウイルス対策ソフトウェアの場合は、1社の製品を実行すれば十分だが、スパイウェアは新しい種類のマルウェア（malware）であることから、急激に変化を遂げており、すべてのスパイウェアを完全に検出するためには、複数のベンダのスパイウェア検出ソフトウェア製品を使用する必要があるかもしれない。

■制限付きアカウントで実行
　Windowsを使用しているユーザーの多くは、コンピュータへのソフトウェアのインストールなど、システム・レベルの変更が可能なすべての権限を持った管理者（Administrator）権限でPCを実行している。技術的には、権限を制限した、ユーザー・レベルの権限しか持たないユーザーIDを作成することは可能だが、実際には、Windows自体やほとんどのWindowsアプリケーションの仕様上、制限付きアカウントでのPCの実行は不可能であるか非常に不便である。例えば、ユーザー・レベルのアカウントでPCを実行している場合は、ほとんどのソフトウェア（スパイウェアも含めて）のインストールができなくなり、無線アクセス・ポイントの再接続などの一般的な操作も制限される。

スパイウェアとは？ 　最も基本的な定義としては、スパイウェアは、ユーザーの認識や承認なくインストールされるソフトウェアで、ユーザーのある特定の操作を監視し、その結果収集された情報を第三者にインターネットを介して送信するソフトウェアを指す。ほとんどのスパイウェアは、Windowsのコントロール・パネルにある［プログラムの追加と削除］には登録されず、ウイルス対策ソフトウェアでも検出できないため、専用のツールがない限りユーザーがこれを削除することは難しい。 　スパイウェアの種類には、次のものがある。 ■承認されていないアドウェア 　この種類のアドウェアは、ユーザーの承認なく、ユーザーのインターネットの閲覧状況を追跡して、その閲覧情報を中央の広告サーバに報告する。次に、ユーザーが特定のWebサイトにアクセスした際に、報告された情報を基にユーザーの好みを判断してそれに合った広告を表示するソフトウェアである。ユーザー側では、アドウェアのこのような動作を制御することは難しい。アドウェアは、ユーザーの関心をひきそうな広告を表示するという意味では有用であるとする向きもあり、一部のWebサイトやWebサービスでは、アドウェアを以下に挙げるような不正なスパイウェア（マルウェア：malware）から区別しようとしている。なお、アドウェアの中には、例えば、無料の電子メール・アカウントなど、何かしらのサービスを提供することで、ユーザーによって実行が承認されているものもある。 ●ブラウザ・ヘルパー・オブジェクト（BHO） 　Internet Explorerの起動時に読み込まれるCOMコンポーネントで、プログラマがブラウザのプロパティを変更できるようにするものである。例えば、BHOを使用すると、新しいブラウザ・ウィンドウ（ポップアップ）を作成したり、ブラウザの起動時に表示されるホームページやお気に入りの登録内容を変更したり、強制的にある特定のWebサイトにブラウザを接続したりできる。厳密には、すべてのBHOがスパイウェアになるわけではないが、しばしばユーザーの承認なくインストールされ、アンインストールが難しいことから、スパイウェアと見なされることが多い。 ●ハイジャッカー 　典型的なハイジャッカーは、不快なコンテンツを含むWebサイトやユーザーが望まないWebサイトに接続するように、ブラウザのデフォルトのホームページや検索の設定を変更するBHOである。通常、ハイジャッカーはユーザーに気付かれないようにレジストリを変更して、PCがリブートされるたびにハイジャッカーにとって都合の良い設定に復元されるようにしている。このため、ハイジャッカーが設定したリンクを削除したり、ユーザーの元の設定を復元したりすることは、たとえユーザーがその方法を知っていたとしても難しい。 ●ダイヤラー 　有料または特定の番号に継続的にダイヤルして、攻撃者がこの通信の発信元である電話番号にサービス料を請求できるようにするソフトウェア・プログラムである。現在のダイヤラーは、モデムの使用を前提としているため、電話会社側は、ダイヤラー対策として、ある国への通信を直接的には行えないようにする措置を取り始めている。しかし今後、ダイヤラーは、VoIP（Voice-over-IP）接続を利用するようになることも考えられる。 ●キーストローク・ロガー（キー・ロガー） 　ユーザーに気付かれないようにバックグラウンドで実行され、ユーザーのすべてのキーストローク（キーボード入力）をファイルに記録するプログラムである。キーストロークが記録されたファイルは、攻撃者によって定期的に回収されるか、攻撃者に自動的に送信される。例えば、ユーザーが作成したすべての電子メールを閲覧することや、ユーザーが所属するネットワークやインターネット上のどのリソースにアクセスしたかを知ることができる。最も一般的な使われ方として、キーストローク・ロガーによって収集された情報は、ユーザーのユーザーIDやパスワード、クレジット・カード情報などの個人情報を特定するために使われる。 ●リモート管理ツール（RAT） 　攻撃者のコンピュータ上のクライアントと被害者のコンピュータ上のサーバを利用することで、権限のないユーザーが任意のコンピュータをリモートで制御できるようにするプログラムである。基本的には、権限のないユーザーがWindows XPのリモート・デスクトップ機能をハイジャックしたようなものである。攻撃者はRATを使用して攻撃対象のPC上にあるデータやファイルを閲覧したり、正規のユーザーを装ってプログラムを実行したりする。

　

Directions on Microsoft日本語版 本記事は、（株）メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申し込みができます。

「Insider's Eye」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）