前回、スパイウエアは利用者がインストールするところがウイルスとは違うと書きましたが、ウイルスも、メールを受け取った利用者をだまして起動させ、自分自身を感染させる（インストールさせる）という点で、目的は違うが入り込む方法は同じです。それに加えて、スパイウエアで問題なのは、利用者がそれをソフトウエアと認識してインストールしていることです。この点は、ウイルスとの大きな違いで、これまで育ってきたフリーソフトやシェアウエアといったソフトウエア文化に対する悪影響が心配です。

スパイウエアについては、さんざんインターネット上で騒がれているので、どのような脅威かは漠然としては分かります。しかし、ほとんどの報道は、自分のプライバシーが筒抜けになると脅かすだけだし、スパイウエア自身にもいろいろなバリエーションがあって、一体、なにに注意したらよいのか分かりません。そんなWeb情報の中で、よく書かれてあるものを見かけました。ガートナーという調査会社の、リサーチサンプル[gartner.co.jp]です。サンプルといいながら、調査会社ですから、そこらのＩＴ系サイトの記事よりは、よく整理された書き方をしていると思います。ただ、調査報告サンプルですから、いつ削除されるか分からないので、役に立ちそうだと思った方は、ブラウザの「ファイル＞名前をつけて保存」メニューでディスク上にコピーしておくと良いでしょう。ただし、著作権がありますから、メモとして保存するだけで、自分のサイトで公表してはいけません(^_^;。こういう、役に立つ情報は、削除しないで欲しいですね

ま、スパイウエアの勉強は、ガートナーのページを読んでいただくとして(^_^)、ざっと見ても、いろんなレベルの脅威が、いろんな手でやってくるようだし、そもそも、ひどいものになるとウイルスとの違いが分からなくなりますね。ウイルスの定義には、自分で自分の分身を作って、複数のパソコンに感染していくという部分があるので、インストールさせて居座るスパイウエアとは、目的が違うように思えます。ただし、それは発生当初の目的であって、ウイルスソフトにスパイウエアの機能が載ることも可能なので、この先は、あまり分けて考えないほうが良いようです。スパイウエアの基本は、そのパソコンの中の個人情報を収集して送り返すというスパイ行為にあります。ガートナーの報告書にもあるように、そうした行為自体は、利用者の同意のもとで一般のソフトウエアでも行われているものです。例えば、パソコンのソフトがエラーを起こすと、その情報をメーカーに送信しますかという窓が表示されることがあります。この時に送られる情報には、パソコンにインストールされている他のソフトウエアの情報や、ハードウエアの構成、記録されている利用者情報もあるかもしれません。こうした個人情報の扱いについては、最近問題意識が高まったので、例えば、マイクロソフトの場合、送り出す内容も参照できるようになっているなど、かなり気を使ってはいます。

他にも、個人情報が自動的に送られるソフトは身近にあります。音楽のプレイヤーソフトは、利用者が何を聴いているのかサイトに送り続けるし、そもそも、Webブラウザに至っては、個人情報放送局のようなものになっていますね。技術的には、Webページを開いた瞬間に、サイトは誰がアクセスしたかを知ることだってできます。これには、ブラウザとサイトの間でクッキーという文字データをやりとりしてチェックします。クッキーは、サイト側が利用者のディスクに情報を書き込める数少ない手段です。サイト側は、ページを開いた相手のブラウザに、相手のニックネームと自分のページ情報と日付、時間を暗号化して書き込んでいきます。これを、任意のサイトから参照できる設定にしておけば、クッキーに記録された履歴を一括して読み出すことで、そのパソコンがどのサイトのどのページを、どのような頻度で開いたかを分析することができます。しかし、さらに、利用者がそのサイトでクレジットカードを使えば、カード番号から個人が特定できるので、その個人とニックネームの情報がつながります。こうして、クッキーがたまっていくと、本人の知らないうちに、自分の趣味や、買い物の傾向が筒抜けになります。

スパイウエアは、もっと積極的に利用者から情報を引き出します。そのためには、自分をパソコンにインストールさせて、パソコンがどのように操作されたかを記録し、好きな時に情報を自分のサーバーに送信する必要があります。どうやって、それをさせるかは、ガートナーのページの後半に書かれていますね。これが、結構面白い。馬鹿な三択をさせて、ボタンをクリックさせるなんてのは、人間の心理を突いていますね。例えば、どこかのサイトを開いたら、「日本で一番高い山を次から選べ：八ヶ岳、富士山、おばさん」とかいう窓が出る。つい、こいつ馬鹿だなぁとか言いつつ、ボタンをクリックしそうではないですか。でも、どれのボタンをクリックしても、スパイウエアのインストールが開始されるというわけです。さらに、馬鹿の相手はできないねと「閉じる」ボタンを押すことでも、インストール開始につながる可能性があるのですね。ともかく、相手は、ボタンを押させたくて仕方ないのです。こうした、わけのわからないダイアログ窓に対しては、右上のウインドウズのクローズボタン（×印）をクリックして閉じることを心がけると良いようです。こういうことって、学校ででも教えたほうが良いのではないでしょうか。窓はクローズボックスで閉じる。元のページに戻すのは、ブラウザの「戻る」アイコン。

こうしたネットワーク経由の強引なインストールの他に、もっと心配なのはフリーソフトや、シェアウエアによるスパイウエアの配布です。作者が、意図的にスパイウエア付きのフリーソフトを作っていれば犯罪ですが、知らないうちに裏でコードが広がったりすることだってありうるのではないですか。例えば、インターネットに、便利な通信用プログラムコードをライブラリとして無料で公開します。その一部に、スパイウエアを混ぜておくと、それを組み込んだフリーソフトは、全部スパイウエア付きになります。しかも、作者は知らない内に加害者になっている。Perlなどの目で読めるコードは、まだ防ぎようがありますが、リンカで組み込むライブラリになってたりしたらどうでしょ。これは、かなり想像の世界ではありますが、不可能ではないという意味で危険かも。そして、それが現実に被害を及ぼし始めたりしたら、これまで、ソフトウエア文化を支えてきた、フリーソフトや、シェアウエアが存亡の危機を迎えかねないと思います。自分がインストールするソフトが安全かどうか、どういう基準で確かめたらよいのでしょうか。今のところ、使用条件が書かれた文書に、責任のある企業や団体の名前があるかどうかでしか確認できません。

スパイウエアと真っ向勝負する方法[cside.com]もあります。しかし、これは、野放しにしない程度の効果はあるでしょうが、ウイルスと同様のいたちごっこになるでしょう。ガートナーのページの最後にある結論も、敵も進化しているので手の打ちようがないです、みたいにも読めますが(^_^)、さらに付け加えれば、基本に立ち戻って、自分のパソコンが誰と裏で通信しているかをモニタする機能を、ＯＳにつけるべきだと思います。いつ、誰と通信してよいかを判断できるのは、利用者本人ですからね。そういう私のパソコンも、最近、起動すると勝手にフレッツスクエアにアクセスするんですが、これって、スパイウエアじゃないでしょうね。