インターネットを利用する一般ユーザーにとって、ウイルス/不正アクセスと並んで最も被害の大きい脅威が、「スパイウェア」や「ペスト」と呼ばれるソフトウェアである。スパイウェアは、ウイルスと同様、最近急激に進化し高度な機能を持つタイプが次々に出現している。ウイルス/ワームの類 と異なり、一般のアンチウイルスの防御シールドでは発見できない場合が多いため、専用のアンチスパイウェア・ソフトでスキャンする必要がある。侵入経路は、メールの添付ファイルは少なく、ネットサーフィン時に、特定のサイトから無断で勝手にインストールされることが多く、警告があっても気がつき難い。除去方法も簡単ではなく、専門知識がないと除去できない場合もある。何度スキャンし削除しても復活する場合は、駆除の専門家に依頼してください。
最近のウイルスの感染例の増加は目に余るものがあるが、同じように感染が広がりつつありながら、ユーザーの理解・認識も不足している脅威が「スパイウェア」である。当サイトのサポート実績からも、ウイルスと同等に感染が広がっており、駆除はウイルスより難しい、という結果がでている。そろそろ、日本のネットユーザーも、インターネットのもたらす脅威を体系化して、総合的な防御策を検討するべき時代に入ったといえるだろう。
|
項目
|
ウイルス
|
不正アクセス/DoS攻撃
|
スパイウェア
|
|
予防措置
|
■セキュリティホール/脆弱性の解消(バージョンアップ/Windows Update/Office Update) ■バックアップ
■セキリティ レベルの設定アップ ■パスワード変更 ■使用しないサービスの停止/削除 等 |
||
| ■アンチウイルス ■APOP ■メーラー変更 等 |
■ルーター ■ファイアウォール ■プロキシ ■暗号化 等 |
■アンチスパイウェア(シールド) ■ブラウザ変更 等 |
|
|
リカバリー
|
■ワクチン(スキャン/削除) |
■専用ツール ■手動リカバリー 等 |
■アンチスパイウェア(スキャン/削除) ■手動リカバリー 等 |
ほとんどのユーザーは、「Windows Update」と「アンチウィルス」程度の防御しか実施していないのではないだろうか。たとえば、次のようなわずかな投資と工夫により、これらの脅威を格段に低減することができる。
- フリーウェアを使用してメールサーバー上から怪しいメールを自動削除する。
- 添付ファイルを送受信しないユーザーはウエブメールを使用する。
- 使用するアンチウイルスの定義ファイルの定期更新日を認知し、タイミングよく迅速に更新する。
- 1台しか使わない個人ユーザーでも、ルーターを経由してインターネットに接続する。
- 無線接続しているユーザーは、WEP(Wired Equivalent Privacy)を設定する。
- ファイアウォールを有効にする。
- ブラウザ用のクッキーと一時ファイルをまめに削除する。(後述)
- 使用しないサービスを停止させる。
- 使用しないデバイスを無効にする。
- 利用しない国際電話会社には、海外へのダイヤルができないよう手続きをする。
○スパイウェアの定義
「パソコンを使うユーザの行動や個人情報などを収集したり、マイクロプロセッサの空き時間を借用して計算を行ったりするアプリケーションソフト。得られたデータはマーケティング会社など、スパイウェアの作成元に送られる。
スパイウェアは他のアプリケーションソフトとセットで配布され、インストール時にはそのソフトと一括して利用条件の承諾などを求められる。また、スパイウェアはユーザに気づかれないよう、ウィンドウなどを出さずにバックグラウンドで動作するため、ユーザはスパイウェアがインストールされていることに気づきにくい。
スパイウェアが行なう活動の内容は、実はインストール時に表示される利用条件の中に書かれているため、インストール時にその利用条件を承諾してしまっている以上、スパイウェアの活動は直ちに違法と言えるものではない。しかし、利用条件をまともに読む人はほとんどいないため、ほとんどのユーザはスパイウェアに気づかず、スパイウェアごとソフトをインストールしてしまう。
このため、スパイウェアは事実上無断で個人情報を収集しているとして、プライバシー擁護団体などの消費者団体を中心に反スパイウェア活動が起こっている。また、スパイウェアは一般ユーザの間でもおおむね不評で、特にパソコンの扱いに慣れ、パソコンの動作を熟知しているユーザほどスパイウェアを嫌悪する傾向がある。
なお、広告を表示する代わりに無料でソフトを利用できるアドウェアというものもあるが、意味の上ではアドウェアとスパイウェアの間に直接関係はない。しかし、アドウェアではユーザに表示する広告を選別するなどの目的で情報収集を行っていることが非常に多く、かなりの割合のアドウェアがスパイウェアの機能を持っている。」 ( IT用語辞典「e-Words」より」 )
最近では、上記の定義に加え、悪質な「アドウェア」、「ペスト」、「パラサイト」などと呼ばれているソフトの総称として広義の「スパイウェア」が使用されるようになってきた。悪質なスパイウェアは次のように分類される。
○攻撃パターンによる分類
- 狭義のスパイウェア:
パソコンの中の情報(メールアドレス、訪問したサイト、インストールされているアプリケーションなど)を勝手に外部に送信する。基本的なパターンの宣伝ツールであり、さほど悪質ではない。
- ダイアラー:
ダイヤルアップの接続先を勝手に外国の電話番号等に変更したり、新しいダイヤルアップを作成して勝手に接続する。後日、高額な通信料を請求されるトラブルの原因となるのがこのパターンである。
- ホームページ・ハイジャッカー:
ブラウザ(インターネットエクスプローラ)の「ホームページ」のURLを勝手に変更する。悪質なものは、ユーザーによるリカバーを不能にする。(元に戻してもすぐに変更される。)
- ブラウザ・ハイジャッカー:
ブラウザーに、勝手に自前の検索バーを追加し、ユーザー情報を送信したり、強制的に特定の広告主のサイトに移動する。「ブラウザ・ヘルパー・オブジェクト」(ブラウザの機能拡張のための便利ツールとして配布されるようなアドイン)の中にもブラウザ・ハイジャッカーが含まれていることがある。
- アドウェア:
本来ポップアップ広告を表示させ、広告収入を狙う、メーカーの販売促進ツールであるが、さまざまな機能が追加され、悪質な場合は、パソコン内の個人情報を勝手に送信したり、悪意あるサイトへ誘導される。たとえば、「スパイウェアに侵入された」ポップアップを表示し、ユーザーが表示された対策サイトのURLをクリックすると、対策プログラムを売りつけるサイトに移動する、などである。
- キーロガー(Keylogger):
ユーザーが入力するキー操作(キーログ、キーストローク)や訪問するサイトのアドレスをすべて記録し、外部に送信する。たとえば、A銀行のサイトでログインした際に、入力したIDとパスワードをログして、送信する。送信先の悪意あるハッカーは、これらのユーザー情報を使用して簡単にログインできる。感染すると、入力時のキーの反応が鈍くなる、ひらがなだけを入力したにもかかわらず、アルファベットとひらがなが混在して表示されるなどの症状があらわれる。
- スキャムウェア:
ブラウザを使用中に、勝手に本来のアドレスと異なる広告のリンクを作成する。たとえば、「ニ○サン」のWebサイトに「ワンボックスカー」という単語が表示されていた場合、その単語にすべて、ハイパーリンクを作成し、ユーザーがクリックすると、なんと「ト○タ」のサイトに移動させる、というものである。
○システムへの影響
悪質なスパイウェアが侵入すると、次のような症状が発生する。(ウイルスと異なり、破壊活動は行わないはずであるが、結果的に「トロイの木馬」と同様の症状がでる場合もある。)
- システムが不安定になり、特に、Windows 95/98/Me の場合はフリーズしやすくなる。
リソース管理の脆弱なOSほど不安定になる。
- 特定のアプリケーションを実行中に突然ハングアップする。
環境によっては正常に稼動しないものもある。特に、さまざまなアプリケーションとの共存テストなど実施しているはずもなく、相性の悪いソフトも存在する。
- 停止状態でも、HDDアクセスランプが「チカチカ」点滅したり、全体に遅くなる。(キータッチなども)
勝手に何か読み出しているか、書き込んでいる。キー入力の際に点灯するなど。キーロガーが稼動している可能性がある。
- 停止状態でもモデムが「チカチカ」点滅する。(何か送受信している。)
何も送受信していないのに、モデムの「DATA」ランプが不規則に点灯する。通信アイコンをクリックすると「送受信バイト数」が不自然に増える。
- アンチスパイウェア・ソフトを実行し、削除しても、何度でも復活する。
ペストのようにしつこく、ブラウザが使用できなくなり、最悪の場合、システムの再インストールが必要になる。
主に、次のようなコンポーネントから構成される。単独で動くものもあるし、メモリー上にロードされるようにレジストリに登録し、起動時に特定のクッキーを使用して、ブラウザを悪意あるサイトに移動させるものもある。
- 実行ファイル(EXE、VBS、BATなど)
- ダイナミックリンク・ライブラリ(DLL)
- 「レジストリ」ファイル内の特定の「キー」と「値」
- インターネットエクスプローラ用の「クッキー」ファイル(XPの場合は、C:\Documents and Settings\ログインユーザー名\Cookies\)
- Temp(一時)フォルダの中のファイル(C:\WINDOWS\Temp)
- Windowsフォルダの中のhosts ファイル(XPの場合は、C:\WINDOWS\system32\drivers\etc)
このファイルはウイルスにも悪用されることがあり、特定のサイトのIPアドレスと名前が追加される。(書き換えられると日付と容量が変化するのですぐ分かる。)
まめにクッキーを削除しておけば、スパイウェアに感染する危険性はかなり低下するだろう。アンチスパイウェアソフトのスキャン時に警告されるクッキーに「valueclick」と呼ばれるものがあるが、これは、様々なサイトで使用しており、そうしたサイトを訪問した際に拾ってしまうのである。スパイウェアが利用した前歴のある怪しいクッキーについては(全てではないが)「Spybot」等のアンチスパイウェア・ソフトで防御することができる。
○ウイルスとスパイウェア
明確な分類は難しいので、このサイトなりに区別しておく。アンチスパイウェアでスキャンするとウイルスも検出される場合がある。仕組みや構造が類似しているものもあるということである。
ウイルス(含ワーム)は、ウイルスワクチンを製造する各メーカーサイトで、ウイルスとしての名称/型番が設定されているソフトウェアであり、主にメールの添付ファイル、記録媒体、各種セキュリティホール(脆弱性)を経由して侵入する。自分自身を増殖させるタイプ、攻撃型タイプなど様々であり、早期であれば最新のウイルスワクチンで大方駆除できる。
広義のスパイウェアは、ウイルスの名称/型番は設定されずスパイウェアとして命名/呼称されるソフトウェアであり、主にアドウェアのダウンロード時や特定ウェブサイト訪問時に勝手にダウンロードされ侵入する。セキュリティホールを狙うタイプも存在する。情報収集タイプ、ハイジャッカータイプなどがあり、特定のアンチスパイウェア・ソフトで大方削除できるが、完全に駆除できない場合もある。(悪質なものは、とにかくしつこく、数種類のアンチスパイウェアでスキャンしなければならないかもしれない。)
○Windows Updateを自動実行する。
セキュリティホールが発見されてから修復されるまでの時間を短縮するため、Windows Updateは頻繁に実行してください。「自動アップデート」を有効にしていてもインターネット接続時間が十分でないとダウンロードが間に合わない。インストールまで確認してください。
○アンチスパイウェア・ソフトをインストールし、防御シールドを有効にしておく。
- 「SpywareBlaster」、「Spyware
Guard」などのシールド機能のあるソフトをインストールしておく。
この種のフリーウェアの定義ファイルのアップデートは自動ではないので、時々手動でアップデートするか製品版に移行してください。(Alt+F4キーを押してブラウザを強制終了させる。)
- アンチウィルスソフトをインストールし、防御シールドを有効にしておく。
最近のアンチウイルスで検知・削除できるスパイウェアもある。定義ファイルの自動アップデートは有効にし、常に最新に保つ。(アンチスパイウェア・ソフトとの相性を必ず確認すること。)
○クッキーと一時ファイルをまめに削除する。
インターネットエクスプローラを使用するなら、「インターネットオプション」の「全般」タブを開き、「Cookieの削除」と「ファイルの削除」を実行する。ブラウザの使用中またはブラウザを終了する際に、まめにこの処理を行うことにより、感染の危険度はかなり低下する。
○ブラウザのセキュリティとプライバシーの設定を見直す。
インターネットエクスプローラならインターネットオプションを開き、次のように設定を変更する。
- セキュリティ
キュリティレベルが低い場合は「中」以上に変更する。あるいは「高」にしておき、よく訪問する確実なサイトのみ「信頼済みサイト」に登録しておく。
- プライバシー
IEの「プライバシー」は次のように6レベル設定でき、初期値は「中」である。高く設定するほど、悪意のクッキーを受け入れる可能性は少なくなるので、できるだけ高いレベルに保つ。1にした際、どのような不都合が起きるか試してみることをおすすめする。(たとえば、パスワード入力を求められるページなどが無効になり、先へ進めなくなる。)
- すべての Cookie をブロック
- 高
- 中-高
- 中(初期値)
- 低
- すべての Cookie を受け入れる
○複数のブラウザを使い分ける。
「Java Script」の機能を「無効」にすると、信頼できないサイトを訪問した際の被害は極小化できるはずであるが、「有効」にしないと正しく表示されないサイトも多いため、あえて無効にせよ、とは言いがたい。Java Scriptやポップアップウインドウなどは、「Opera」などの「タブブラウザ」を利用すると、容易に制御できるので試してみて欲しい。(危険なサイトを訪問する際には、スクリプトを無効に設定したタブブラウザを使用すればリスクを低くできる。)
○フリーソフトは原則インストールしない。
これまでも何度となく話題になったが、フリーソフトにはかなり高い確率でスパイウェアやウイルスが添付されている。ネット上でもアダルト系サイトはもちろん、フリーの壁紙やスクリーンセーバーをダウンロードできるサイトなどに多い。ダウンロードする場合は、利用規約や解説を見て、スパイウェア的な機能が組み込まれていないかどうか確認してください。さらに、問題が発生していないかどうかネット検索してみることをおすすめする。ダウンロードしたらファイルをスキャンすることも忘れずに!
○ActiveXの「セキュリテイ警告」ウインドウには原則「いいえ」で対応する。
このウインドウが表示されたら、まずスパイウェアが仕組まれていると思うことである。特にアダルト系のサイトなどの「信頼できないサイト」でこの警告が表示されたら、必ずダイヤラーやハイジャッカーの類がダウンロードされるはずである。絶対に「はい」をクリックしてはならない。しつこく警告ウインドウが開く場合は、次のように処理する。
- Alt+F4キーを押してブラウザを強制終了させる。
- 「スタート」右横のタスクバーに表示されている隠れブラウザがあれば右クリックして全て「終了」する。
- Ctrl+Alt+Deleteキーを押してタスクマネージャを開き「xxxx Microsoft Internet Explorer」を全て終了させる。
- インターネット接続を切り、アンチスパイウェア・ソフトでスキャンする。
スパイウエアの駆除方法
○まずクリーンアップを
スキャンの時間を短縮するために、まずパソコンのHDDをクリーンアップしてください。これだけで駆除できる場合もある。
- ブラウザのインターネット一時ファイルとクッキーを全て削除する。
- インターネットエクスプローラを使用しているなら「プログラム(アプリケーション)の追加と削除」から「修復」を実行する。
- WindowsフォルダのTempフォルダのファイルを削除する。(「ディスククリーンアップ」を実行してもよい。)
- 「スキャンディスク」と「デフラグ」は定期的に実行しておく。
○アンチスパイウェアによるスキャンと駆除
アンチスパイウェア・ソフトには、完全にフリーのもの、機能により価格が異なるもの、スキャンは有効だが削除は製品版でのみ可能なものなどがあるので、症状に応じて信頼できるものを選ぶ必要がある。人気が高いのはフリーの「Spybot - Search & Destroy」、「AD-AWARE Standard」などである。フリーソフトはシールドを張っておくことができないものもあるようなので、典型的なスパイウェア対策としての定期スキャンと削除用に使用するのが無難である。オンラインスキャンの可能な「PestPatrol」のようなウェブサイトもある。機能は制限されるが、「もしや」の際の緊急チェックにはおすすめである。米国にはかなり進んだサイトもあるので、上記のソフトで駆除できないしつこいスパイウェアの場合は、英語のサーチエンジンで検索してみるとよい。
ダウンロード後、圧縮ファイルであれば解凍し、実行ファイルであればそのままクリックしてインストールする。インストールされたら、次のようにスキャンと削除を実行する。
- インターネットに接続する。
- 免疫化、アップデートを行いアンチスパイウェア・ソフトを最新の状態にする。
- インターネット接続を切断する。
- アンチウイルスやその他の常駐ソフトを停止・終了させる。(相性の悪いソフトがある!)
- スキャンを実行する。
- スキャンで見つかったスパイウェアの削除を実行する。
- 再度スキャンする。(削除したアイテムが発見されなければ削除完了。)
- 4の常駐ソフトを起動し、インターネットに再接続する。
多くのウイルスの場合、アンチウイルスソフトが自動的に削除・リカバーしてくれる。しかしスパイウェアの場合は、6で見つかったアイテムが全てスパイウェアとは限らないため、ユーザーがチェックして削除しなければならない。また、スキャンするソフトによっても結果が異なる場合がある。実際に、「Spybot」で除去できなかったハイジャッカーの一種が、「AD-AWARE」で削除できた例もある。どのツールを使用するにしても、一般ユーザーの場合は、結局全部削除することになってしまうだろう。(万が一、削除によるレジストリの変更が、後でトラブルに繋がっても、使用者の責任ということである。)
○システムの復元
この方法は、他の方法と組み合わせて削除できる可能性がある、という程度に考えておく方がよいだろう。
Windows Me/XP の場合、「システムの復元」を有効にしているなら、システムを症状が現れる以前の状態に戻すことにより、スパイウェアを駆除できる可能性がある。ただし、この機能は、基本的にレジストリを以前の状態に戻すだけであり、フォルダに保存されているアプリケーション・ファイルやクッキーや一時ファイルまで、元のクリーンな状態に戻すわけではない。スパイウェアやウイルスに悪用される「HOSTS」ファイルや「スタートアップ」も現状のままであり、それらを利用するスパイウェアは復活する可能性がある。さらに、仮に復元ポイントを10日前にすると、以降の10日間に実行したレジストリに変更を加えるインストールやアップデート(Windows Update等)は、無効になるのでやり直しということである。
○それでも駆除できないなら
削除したはずのアイテムが、再スキャン後再び発見されたら、そのアンチスパイウェア・ソフトでは駆除できないタイプなので、別途次のような対策を講じなければならない。
- セーフモードで実行してみる。
- 他のソフト/有料ソフトを実行してみる。
- スパイウェア対応のアンチウィルスでスキャンしてみる。
- インターネットエクスプローラのオプションの「Webの設定のリセット」を実行する。(ホームページもリセットする。)
- インターネットで検索してみる。 (同様のケースに関する情報が見つかる可能性あり。)
その他、レジストリ内のインターネットエクスプローラに関する設定値をリセットするツール等を紹介しているサイトもあるが、使用する場合は、Readmeファイル等の注意書きや制限事項を必ず確認してください。全てクリーンアップできるとは限らず、ゴミが残った場合は手動で削除しなければならないかもしれない。
どうしても削除できないなら、症状によってはパソコンのリカバリー機能(リカバリーCD)で購入時の状態に戻すか、経験者/専門家に依頼してください。依頼する際には、具体的な症状やそうなったきっかけなどを可能な限り詳細に伝えてください。さらに、専門家から要望があれば、怪しいファイルやレジストリ・キーを検索するログツール「HijackThis」を実行し、結果のログを保存して一緒に送ってください。(これらの情報でかなり絞り込むことができるはずである。)
○Spybot と AD-AWARE
仕様の相違については、各々のウエブサイトで確認してください。比較検討が目的ではなく、スパイウェア対策として共にインストールすることをおすすめしている。
|
|
Spybot - Search & Destroy
|
|
|
価格
|
無償。 | Standardは無償。PluとProfessional版は有償。 |
|
開発
|
ボランティア有志によりアップデート。 |
Lavasoft社の製品として開発。 |
|
対象
|
登録された特定スパイウェアの完全駆除。 | 疑わしきものを全てピックアップ。 |
|
日本語
|
対応済。 | 別途こちらからダウンロード。(ヘルプファイルは英語) |
|
機能
|
ライブラリ、免疫(シールド)、スキャン、削除 | スキャン、削除 |
個人的な経験から、スキャンが終了するまでの時間は、AD-WAREが圧倒的に速かったが例もあるが、画像ファイルが増えると急に遅くなったりするなど、断定できるものではない。Spybotは特定のスパイウェアを定義するライブラリを持ち、それと綿密にマッチングしながらスキャンしているが、AD-AWAREは、特定の条件に合致したものを全てピックアップする。パソコンによって差があるの当然であり単純な比較は難しい。
○ 「Spybot」で見つかるが駆除できないスパイウェア「CnsMin」
これは、ブラウザ・ハイジャッカーに属し、主に、N○C社製パソコンにプリインストールされている「JWord」のプラグインとして組み込まれていたり、また一部の著名なウエブサイトで使用されているため感染はかなり広範に及ぶと考えられる。(迷惑メールでも配布されているらしい。)アンインストーラーでJWordを削除した場合は問題ないが、「Spybot」で中途半端に削除してしまった場合は、次のように手動で削除してください。(JWordを使用しないならアンインストールしておいた方が無難である。)
- インターネットに接続する。
- 「プログラムの追加と削除」(「アプリケーションの追加と削除」)を開き、一覧から「Jword 日本語キーワード」を選択し、「削除」をクリックする。
- JWordのウェブサイトに繋がり、専用のアンインストーラが起動したら、それに従って削除を実行する。
- 再起動する。
- 「Spybot」でスキャンし、検出されたアイテムを削除する。
- 再起動する。
手動削除の方法も公開されているので検索してみてください。
○ブラウザ・ハイジャッカー「CoolWebSearch」
最近、最も感染率の高いハイジャッカーで、意図しないサイトに誘導される。大変しつこいスパイウェアで、変種も多い。主に、次のような症状が現れ、実質、ブラウザが使用できなくなる。
- インターネットエクスピュローラのホームページが「about:blank」に強制的に変えられ元に戻せない。(変更してもすぐに戻る。)
- 意図しない英語の検索サイト(「coolwebsearch.com」など)に誘導される。
- ホームページが強制的に「res://mshp.dll/index.html#xxxxx」に変えられる。
- 掲示板に投稿する際、意図しないURLが勝手に入力される。
- アダルトサイトやサーチサイトを訪問するとポップアップが表示される。
- よからぬサイトをIEの「信頼済みサイト」に追加し、このサイトからのダウンロードを許し、危険なコードをインストールすることができます。
- 特定の検索エンジンのページに行くことを拒否する。
- 文字入力時にキーの反応が遅くなる。
これは下記の専用ツールで駆除できる場合がある。これで削除できない場合は、ネット検索で関連情報を探してみてください。
- このサイトのダウンロードページから専用の駆除ツール(CoolWebShredder:英語版)をダウンロードしインストールする。
- ブラウザ、常駐プログラムを終了する。
- 「CoolWebShredder」を実行し、スキャンする。
- スキャン結果を確認して、「システム設定の変更」ダイアログが表示されたら再起動する。(メモリ上のCoolWebSearchを削除される。)
○ホームページ・ハイジャッカー「Raw Sex」
これもポピュラーなスパイウェアで、パソコンを起動するたびにデスクトップに「Raw Sex」というショートカットが作成され、ホームページが書き換えられる。プログラムを削除仕様とすると「Windowsが使用しています」と拒否される。
- 上述の「CoolWebShredder」を実行する。(これだけで解決できる可能性あり。)
- 実行後、デスクトップ上のRaw Sexのショートカットを削除する。
- それでも削除されない場合は、「Hijack This」を実行する。
- インターネットエクスプローラを終了して、「Hijack This」ログから、次を削除する。
O4 - HKLM\..\Run: [explorer] wscript.exe C:\WINDOWS\updates2.vbs %
- 再起動する。
- C:\WINDOWS\updates2.vbs を削除する。