敵を知り、防御法を知れば、危うからず! ウイルス ワーム の 近年、 「MSBlaster」や「Sasser」などに代表されるコンピュータウイルスによる被 害が拡大している。本連載では、まずそれらのウイルスの特徴や動作を分析し、各ウ イルスの特徴に合わせた防御法について解説していく。最終回となる今回は、ウイル ス/ワームと同様に問題となっている「スパイウェア」とその対策について解説する。 最終回 個人情報を盗むスパイウェアとその対策 ユーザーに気づかれずに 個人情報を盗むスパイウェア ■スパイウェア スパイウェアということばは、後述するアドウェアなど を含めて広義の意味で使用されることが多いが、狭義の意 スパイウェアとは、一般的にユーザーが知らない間に 味では、PC内部のメールアドレスやパスワード、クレジ PC内の情報を外部に送信するプログラムのことをいう。 ットカード番号などの情報をユーザーに気づかれずに送 スパイウェアには、ユーザーの“好み”などを調査するた 信するものを指す。 めにWebブラウザの履歴やクッキーの内容などを収集し、 特定のWebサイトに送信するもの、広告ページを表示させ るもの、特定のサイトにジャンプさせるものなどがある。 ■ブラウザハイジャッカー ブ ラ ウ ザ ハ イ ジ ャ ッ カ ー は 、強 制 的 に Internet スパイウェアは、Webブラウザなどのセキュリティホー Explorer(IE)などのWebブラウザのスタートページを特 ルを悪用してユーザーに知られずに侵入する悪質なもの 定のサイトに変更したり、独自の検索バーを追加したりす もあるが、有用なフリーソフトやシェアウェアなどととも るもので、ActiveXコントロールやWebブラウザのセキュ にインストールされるものも多い。この場合、そのソフ リティホールを悪用してインストールされる。代表的な トウェアの使用許諾契約書にスパイウェアのインストー ものとして、 「CoolWebSearch」がある。 ルと使用についての説明があることが多い。しかし、ほと んどのユーザーはきちんと使用許諾契約書を読むことな く同意してしまうため、スパイウェアがインストールさ れてしまったことに気づかない。 ■ダイヤラ ダイヤラは、強制的にある特定の有料電話サービスなど にダイヤルアップし、攻撃者がこの通信の発信元であるユ スパイウェアは破壊活動を行うことはないが、ユーザー ーザーに高額なサービス料を請求するといった悪意のあ が気づかないうちにインストールされ、個人情報が盗ま るソフトウェアである。ダイヤラは、ActiveXコントロー れるという問題があり、これまでに紹介してきたウイル ルを利用してインストールされる。 ス/ワームと同様に大きな問題となっている。 ■キーロガー キーロガーは、ユーザーが入力するキー入力や訪問した 広告表示や情報を盗み出すなど その目的はさまざま Webサイトの情報をログとして記録し、電子メールなどで スパイウェアにはその目的によってさまざまな種類の バンキングなどを利用した場合、訪問した銀行のWebサイ ものがあるが、細かく分類すると次のようになる。 136 NETWORKWORLD Feb 2005 外部に送信する機能を持つ。これにより、インターネット トと口座番号、暗証番号などの情報が悪意のある第三者に ウイルス 盗まれてしまう。 ワーム の ここでは、フリーでありながら強力な検出・除去機能を 備えたアンチスパイウェアソフトである「Spybot - Sear ■アドウェア ch&Destroy」と「Ad-Aware SE Personal Edition」 、さら アドウェアは、宣伝を目的としてユーザーのPC上にポ に、これらのアンチスパイウェアソフトでも検出するこ ップアップ広告を表示させるものである。ユーザーの好 とが難しい「CoolWebSearch」と呼ばれるブラウザハイジ みに合わせた広告表示を行う目的で、PC内部の情報を収 ャッカーを専門に検出・除去する「CWShredder」を紹介 集するものが多い。 する。また、スパイウェアのインストール自体を防ぐた めのツールとして「SpywareBlaster」や「SpywareGuard」 ■クッキー もあわせて紹介する。 クッキーは、特定ユーザーが特定サイトを訪問した回数 これらは非常に有効なスパイウェア対策ツールである や日付などを記録したものであり、それ自体は便利な機能 が、現在、スパイウェアも急激に進化しているので、1つの である。しかし、アドウェアなどは、情報収集のためにク ツールで十分であるとは言えない。これから紹介するツ ッキーを利用することが多い。こういったクッキーは「ト ールを組み合わせて利用することをお勧めする。 ラッキングクッキー」 「スパイウェアクッキー」 「アドウェ アクッキー」などと呼ばれる。後述するアンチスパイウェ アソフトでは、アドウェアなどが利用するクッキーを検 出して削除したり、クッキーの利用自体をブロックしたり することができる。 日本語対応で手軽に利用できる Spybot - Search&Destroy Spybot - Search&Destroy(以下、Spybot)は、Patrick M. Kolla氏によって開発されたフリーのスパイウェア検 OSのセキュリティパッチ適用や Webブラウザの設定で対策を行う スパイウェアへの対策としては、次のものがあげられる。 出・除去プログラムであり、ボランティア有志によりメン テナンスが行われている。現在の最新バージョンは1.3で ある。Spybotは、レジストリやハードディスクを完全に スキャンせずに、既知のスパイウェアが残す痕跡を基にピ ンポイントでスキャンするため、スキャン時間が短くて済 ●Windows Updateなどを頻繁に行い、スパイウェアが 利用する可能性のあるセキュリティホールを修正してお く。 むという特徴がある。 除去したスパイウェアを元に戻したい場合は、リカバリ のセクションから修復することが可能である。また、スパ ●クッキーや一時ファイルを定期的に削除する。 イウェアの検出と除去のほか、使用履歴(クッキー) の削除 ●IEのセキュリティ設定を、通常の利用に支障がない範囲 やレジストリ情報の不整合 (ヘルプファイルや共有DLLが で高くする。 ●ActiveXコントロールのセキュリティ警告が表示された 存在しないなど)の検出と修正を行う機能も備えている。 Spybotは、画面1のように、メニューやヘルプなどが日 場合に、ActiveXコントロールをダウンロードしないよ うにする。 これらの対策を施すことで、スパイウェアの被害を完全 に防ぐことができるわけではないが、その可能性をより減 少させることができるだろう。 しかし、完全に防ぐことができない以上、何らかの対策 を行う必要がある。そこで、専用のスパイウェア対策ソフ トを使用することをお勧めする。スパイウェアの検出・除 去機能は、最近のアンチウイルスソフトなどにも含まれて いることが多いが、完全に除去できるものはまだ少ない。 画面1● 日本語に対応しているため手軽に使えるフリーのアンチ スパイウェアソフト「Spybot - Search&Destroy」 NETWORKWORLD Feb 2005 137 本語に対応しているため、英語の苦手なユーザーもごく 手軽に利用できるだろう。 また、Spybotは定期的にスキャンを行ってスパイウェア ブラウザハイジャッカーも検知 CWShredder を検出・除去するだけでなく、ActiveXコントロールとし CWShredderは、これまでに紹介したSpybotやAd- てダウンロードされるスパイウェアに対する免疫機能を Awareでは検出されにくい、CoolWebSearch系のスパイ 備えている(画面2)。この機能を有効にすることで、 ウェア(ブラウザハイジャッカー)を検出し、除去するこ ActiveXコントロール系の既知のスパイウェアのインス とが可能なツールである(画面4) 。 CWShredderは、オランダの学生であったMerijn Belle トールを防ぐことが可能となる。 kom氏によって開発されたが、現在は、米国のインターミ Spybot - Search&Destroy ュートによってフリーソフトとして提供およびメンテナ http://www.spybot.info/en/download/ ンスが行われている。現在の最新バージョンは2.0である。 疑わしいものはすべて検知 Ad-Aware SE Personal Edition CWShredder http://www.intermute.com/spysubtract/cwshredder_ download.html Ad-Awareは、スウェーデンのラバソフトによって開発 されたスパイウェア検出・除去プログラムであり、ハー ドディスクの指定した個所やメモリ、レジストリをスキ 有害なActiveXコントロールを遮断 SpywareBlaster ャンして検出を行う。 Ad-Awareには、フリーソフト版である「Ad-Aware SpywareBlasterは、米国のJavacool Softwareによって SE Personal Edition」 (画面3)のほかに、 「Ad-Watch」と 開発およびメンテナンスされている、スパイウェアのイン いうリアルタイム監視機能などを備えた有償版の「Ad- ストールをブロックするためのツールである。現在の最 Aware SE Plus Edition」と「Ad-Aware SE Professio 新バージョンは3.2である。 nal Edition」がある。Ad-Aware SE Personal Editionの SpywareBlasterには、画面5のように、IEでダウンロ ードされるActiveXコントロールを使用したスパイウェ 最新バージョンは1.05である。 アと、スパイウェアによって個人情報などを収集するため Ad-Aware SE Personal Edition に使用されているクッキーの一覧が登録されており、それ http://www.lavasoft.de/support/download/ らをブロックすることが可能である。なお、クッキーのブ ロック機能はIE6.0以上でのみ利用可能だ。 登録されたActiveXコントロールのブロックは、IEの 「Kill Bit」機能を利用して実現されている。IEには、Acti 画面3● Ad-Aware SE Personal Editionはラバソフトから フリーで提供されているアンチスパイウェアソフトだ 画面2● Spybotの免疫機能でActiveXコントロール系のスパ イウェアがインストールされるのをブロックできる 138 NETWORKWORLD Feb 2005 画面4● CWShredderはCoolWebSearch系の スパイウェアを検出・除去する ウイルス 画面5● SpywareBlasterはスパイウェアが使用する ActiveXコントロールのインストールとクッキーをブロックする 画面6● SpywareBlasterによりユーザーのPCにスパイウ ェアをインストールするサイトへのアクセスをブロック ワーム の 画面7● SpywareGuardはPCに常駐してスパイウェアをリ アルタイムで検出する veXコントロールの動作を制御するためのレジストリキー フトウェアに紛れてインストールされるスパイウェアを が定義されているが、これを利用して、スパイウェアと思 検出し、除去することが可能である。スパイウェアの検出 われるActiveXコントロールのクラス識別子(CLSID)の は、スパイウェアプログラムが実行される前に行われるの 「Compatibility Flag」を「Kill Bit」と設定することで、IE で、被害を被ることなくスパイウェアを除去できる。 がそのActiveXコントロールを呼び出すことができない ようにするのである。 また、画面6のように、SpywareBlasterにはスパイウェ SpywareGuard http://www.javacoolsoftware.com/spywareguard.html アのインストールやトラッキングなどを行っているサイ トの一覧が登録されており、これらのサイトをIEの制限付 きサイトのゾーンへ追加することによって、アクション スパイウェアの除去を行う前に レジストリバックアップを忘れずに を制限することができる。WebブラウザにIEではなく、 Mozilla 1.7以上またはFirefox 0.9以上を使用している場 合には、クッキーの制限のみを行うことが可能だ。 特定のフリーソフトのインストール時に紛れてインス トールされたスパイウェアを除去した場合は、そのフリ SpywareBlasterの特徴は、プログラムを常駐させるこ ーソフトがスパイウェアが除去されたことを認識し、動作 となくスパイウェアのインストール自体を防ぐことがで しなくなる可能性がある。もし、そのフリーソフトが必要 きる点である。ただし、最新の状態を維持するために、少 不可欠のものであり、スパイウェアの動作も許容できるも なくとも1週間に1度はアップデートすることが推奨され のであれば、除去したスパイウェアを元に戻すことも必 ている。有償(年間$9.95)ではあるが、自動アップデート 要になるだろう。したがって、アンチスパイウェアソフト 機能を利用することもできる。 で除去を行う前に、必ずレジストリのバックアップを行っ ておくことをお勧めする。 SpywareBlaster http://www.javacoolsoftware.com/spywareblaster.html 以上、これまで6回にわたりお届けしてきたこの連載も 今回で最終回である。読者の方がウイルス/ワーム/ス パイウェア対策を行う際に、この連載で紹介した内容がお PCに常駐してリアルタイム監視 SpywareGuard SpywareGuardはSpywareBlasterと同じく、米国のJav acool Softwareによって開発およびメンテナンスが行われ ている常駐型のスパイウェア防御ツールである(画面7) 。 現在の最新バージョンは2.2である。 SpywareGuardは、アンチウイルスソフトのようにリア ルタイムでスパイウェアを検出する。このため、ほかのソ 役に立てれば幸いである。 ● 著 者 よ り 一 言 ● NTTデータ 馬場達也 今回、私も初めてSpybotやAd-Awareを使用したのですが、非常に 多くの警告が出てきて驚きました。ほとんどがいわゆる「トラッキ ングクッキー」だったのですが、知らず知らずのうちに自分のPC内 の情報が漏れているかと思うと気持ちのよいものではないですね。 NETWORKWORLD Feb 2005 139
© Copyright 2024 Paperzz
