報告書のなかから、特に個人的にも興味のある部分を紹介しました。スパイウェアを考える場合に、個人情報をどう扱うかという点で日本で施行される'個人情報保護法'のガイドラインと重複していることが分かります。しかし、どちらかというと情報を扱う側にばかり重圧がかかり、それを犯す者をどう処罰するかというのなSPY Actなどのような範囲をカバーはしていません。
これでが実際に方手落ちではないかと考えられる理由として、どう護るかを考えるにはどう漏れるか、というより'盗まれるか'の手口について(特にIT技術を利用した方法による)を十分検討し、そうした行為に対応するという部分が欠けてるように思われるからです。最近では'フィッシング'に関しては何かと話題も多く、その手口も多く紹介されるようになりました。フィッシングが騙す方法とすればスパイウェアは、その道具ともいえます。どんな道具を使ってあなたを攻撃してくるかを知ることは、それらから護るための最も有効な手段であると思われます。ぜひともより公的機関でも取り上げられるようになることを願っています。
スパイウェアの定義
'ユーザの知らない内に知らない、動作をするソフトウェア'をスパイウェアと定義することはから、EULAに記述しているかしていないかを'スパイウェア'の定義と省略して説明する記事や、紹介がよく見られます。正しくはこれは違うということを理解しないといけないのではないでしょうか?
また、ユーザの嗜好を知るための行為として、プロファイル情報を収集し、ユーザに通知することなく外部に送信する行為は、スパイウェアです。しかし、Webサイトなどが、クッキーなどを利用してユーザの嗜好を分析し、適した広告をそのサイト内で表示する行為はスパイウェアではありません。また、多くの機会に説明しているように、クッキー そのものはスパイウェアではありません。
FTCの報告書を読んで、スパイウェアの手口について各業界のパネリストから紹介されていることは非常に興味のある部分です。これらの'手口'を知ることでどう防御するを考えることができます。
特に恐ろしいと思うのは、最近のソフトウェアで提供される自動アップデート機能を使ったスパイウェアです。トロイの木馬と呼ばれるこの種のスパイウェアは、インストールされるときに、またはそれ自身はスパイウェアではなかったりしますが、インストール後、突然、インターネットから知らないソフトウェアをアップデート機能を利用してインストールし、実行することを目的としています。こんなこ技術とを利用すると関係のないソフトウェアのアップデート機能(例えばWindowsアップデートなど)そのものを流用して、ソフトウェアを送り込むことも可能なのかも知れません。
by 2005.03.27 T.Sakamoto
スパイウェアに関するコラム
企業ITセキュリティ管理者のためのスパイウェア知識
|