スパイウェアにようやく定義 一歩前進へ
ユーザーへの脅威が指摘され、次第に深刻化しているスパイウェア被害の防止に向け、関係企業などでつくる団体の取り組みが一歩前進した。Anti-Spyware Coalition(ASC)は10月27日、スパイウェアの定義をまとめ、併せて、これをベースとした対策指針とするためのリスクモデルを発表した。“何がスパイウェアか”をめぐる混乱から抜け出すことができそうだ。
ASCは今年7月に設立された業界団体で、米Microsoft、米America Online(AOL)、米Symantecなどのベンダーや、ISP、学術団体などが加盟している。発足とともに、スパイウェアの定義についての草案を公表し、パブリックコメントを募集していた。
正式版は、この草案に対して寄せられた400件以上のコメントを反映させたもので、内容的には草案段階からあまり変わってはいない。ASCは、新たに作成したリスクモデルと合わせて、業界全体でのスパイウェア対策ベストプラクティス策定を目指している。
その定義によると「スパイウェアおよびその他の潜在的に好ましからざる技術」は、「適切なユーザーの同意なしに実装され、ユーザーのコントロールを損なう」もので、以下の3つの働きを持つものを指している。
- ユーザーの使い勝手、プライバシー、システムセキュリティに影響を与える
- コンピュータにインストールされたプログラムなど、ユーザーのシステムリソースを使用する
- ユーザーの個人情報、機密情報を収集・利用・配布する
ASCがスパイウェアの定義を決めるところから手をつけたのは、アドウェアを一括してスパイウェアに含められると困るマーケティング事業者の抵抗があったためだ。
たとえばアドウェアの米Claria(旧社名Gator)は、個人情報の入力を自動化する機能を持つ一方で、ポップアップ広告を表示し、ユーザーのオンラインの活動を収集する。Claria社自身は自社のソフトウェアがスパイウェアと呼ばれることを拒否しているが、スパイウェア対策ソフトベンダーの間では、Clariaのソフトウェアを駆除の対象とするかどうかの扱いは一致していない。
また、ユーザーのキー入力状態をモニタリングできるキーロガーは、ITヘルプデスクとユーザーには便利なソフトウェアだが、知らないうちにマーケティング事業者にインストールされた場合は、ユーザーにとっては不快なソフトウェアとなる。こうした混乱を収拾することは、ユーザー、スパイウェア対策ツールのベンダー、マーケティング事業者それぞれにとって、メリットとなる。
そのため、ASCでは今回、文書による定義以外に、スパイウェア/望まない技術の例を示し、通常使われる用語、土台となる技術とその説明、その技術が望まない技術とされる理由・望まれる技術である理由を書き出し、線引きを明確にしようとしているのだ。
ASCが今後の指針として公開したリスクモデルは、各種存在するスパイウェアをはじめ、その他の混同しやすいプログラムの分類を試み、プログラムの振る舞いとユーザーに与えるリスクを、低・中・高の3段階で評価した。
たとえば、ユーザーの明確な許可や知識なしにインストールすることは「高」、個人を認識できるようなデータを伝送することは「高」、しかし、個人情報を収集してローカルに格納することは「中」となっている。
業界全体でのスパイウェア対策を目的に設立されたASCの活動は始まったばかりだ。米国では家庭の66%のPCがスパイウェアに感染しており、その種類も平均で25種類のぼるという調査結果もある。法律で規制しようとする動きがある一方で、アドウェアのベンダー側は、自社製品を駆除するセキュリティベンダーに対し、訴訟を起こす構えも見せている。
問題は定義したあと、どう取り組んでいくかだが、まずASCの定義と対策指針が混乱を根本から解決し、真にユーザーにメリットをもたらすかに今後、注目したい。
ASCでは、11月27日までリスクモデルに対するパブリックコメントを受け付けている。