BACK
TOP
佐々木俊尚 Toshinao Sasaki
東京都内に住む転職支援サイト運営者の男性(43歳)が、取引している外資系銀行からの不審なメールに気づいたのは、昨年9月18日のことだった。その自動応答メールには「振込を完了しました」というタイトルがつけられ、金額は口座残高のほぼ全額にあたる1640万円。何かの間違いかと思った男性が銀行に問い合わせてみると、預金はすべて消え失せてしまっていた。何者かが男性のIDとパスワードを使ってネットバンキングを利用し、架空名義の口座に送金したのだ。
事件から半年後の今年3月、警視庁は川崎市の元大手シンクタンク社員(35歳)ら2人を電子計算機詐欺などの容疑で逮捕した。容疑者らの供述で明らかになったのは、ネットカフェのパソコンにスパイウェアを仕込むというきわめて単純な手口だった。容疑者らは、ユーザーのタイピングを記録するキーロガー・プログラムを渋谷などのネットカフェ十数店舗にこっそりインストールしておき、数週間後に店に再び出向いてログを“回収”していた。そしてデータを自分のフリーメールアドレス向けに送信し、別のネットカフェで受信。ログを読んでネットバンキングのIDとパスワードを抽出していた。手口は「書店でパソコン雑誌を立ち読みしていて思いついた」(容疑者の供述)という。
取材に対し、被害者の男性はこんなふうに気持ちを打ち明けた。
「ネットカフェでバンキングを利用したのは2年も前に一度やっただけ。そんな昔のログが今ごろになって悪用されたなんて……」
この事件は、これまであまり知られていなかったスパイウェアの存在を、きわめて鮮明に浮かび上がらせたといえる。誰でも簡単にネットに転がっているフリーのスパイウェアを悪用でき、そして誰でも簡単に監視される対象になってしまう。「監視社会」は警察当局と個人の間だけの問題ではない。企業と個人、個人と個人の間にまで監視というスキームは入り込んでいる。社会全体が監視社会という枠組みに呑み込まれつつあるのだ。
それが証拠に、スパイウェアは広告やマーケティングといった真っ当なビジネスと密接に関わっている。後述するアドウェアといわれるプログラムがそうだ。
その枠組みの中では、スパイウェアはコンピュータウィルスとは働きは似ているものの、持っている意味合いはまったく異なる存在といえるかもしれない。
ウイルスは派手な動きで人々を驚かす、破壊の帝王。しかしスパイウェアは監視社会の落とし子だ。こっそりとあなたのマシンに忍び込む、ネズミのような存在。知らず知らずのうちにプライバシーが囓られ、浸食されていく。
ご存じのように、コンピュータウィルスはコンピュータに感染し、ファイルを削除するなどの破壊活動を行う。そして他のコンピュータにも感染し、自己増殖を続けていく。インターネット経由で瞬く間に世界中の数万台、数百万台のパソコンの感染し、破壊を続けていく様は、一昨年のNimdaや昨年のSQL Slammerでイヤというほど見せつけられた。
これに対し、スパイウェアは何をするのだろうか。
基本的な定義は、ユーザーの知らないうちにハードディスク内のデータを収集し、ネット経由で特定の場所にこっそり送信してしまうプログラムのことだ。収集される個人データには、次のようなものがある。
・インターネットブラウザーの閲覧履歴
・Cookieの中身
・コンピュータのIPアドレス
・コンピュータのOS
・ソフトウェアの使用回数
・ソフトのダウンロード履歴
これらはアドウェアなど、比較的穏便なスパイウェアの集めるデータだ。キーロガーなど犯罪性の高いスパイウェアともなると、もっと危険度の高い個人データが流出する可能性がある。
・ウェブブラウザー上でタイプしたIDやパスワード
・ウェブブラウザー上でタイプしたクレジットカード情報
・住所や氏名、電話番号
・各種アプリケーションのディレクトリに保存されているパスワード
スパイウェアはアプリケーションとしてコンピュータのハードディスクにインストールされる。ということは、ディスク内のすべてのファイルを参照できてしまうということだ。集められる情報は限りなく多い。
しかしスパイウエアは、破壊活動は行わない。また自己増殖や感染もしない。目的はあくまで情報収集なのである。その点が、コンピュータウイルスとは根本的に異なっている。広義でいえば、冒頭の事件に出てきたキーロガーがそうだし、コンピュータウイルスの変種に含まれている「トロイの木馬」もそうだ。たとえばその代表的な存在であるBackOrificeは、侵入したコンピュータに対してアプリケーションの実行やファイル削除、レジストリ変更、パスワードの入手などの操作を行うことができる。破壊活動が可能な点はウイルスに似ているが、みずから増殖して他のコンピュータに感染せず、情報収集を主に行うという性格は、スパイウェアに限りなく近い。
また、コンピュータウイルスがワクチンソフトによって駆除できるのに対し、スパイウェアは駆除できない。ワクチンソフトのパターンファイルに含まれていない――という定義のしかたもある。これは一面真実なのだが、間違っている点もある。BackOrificeなどのトロイの木馬は、パターンファイルに含まれているからだ。
ではトロイの木馬と、スパイウェアを区別するものは何なのだろうか?
それは結局、「誰が作って、誰が仕込んでいるか」という問題に他ならない。スパイウェアの多くは、マーケティングツールと称して一応は真っ当な企業がリリースしている。それに対して、たとえばBackOrificeを開発・配布しているのは、ハッカー集団「Cult of the Dead Cow」だ。
国内のワクチンソフトメーカー社員は語る。
「アドウェアなどのスパイウェアとコンピュータウイルスを分けるのは、作る側がオフィシャルな企業かどうかという点だけで、動作内容によって区別しているわけではない。アドウェアはソフトのインストールの際に利用規約が掲示されているし、非合法とはいえない。こうしたソフトまでワクチンで駆除してしまうことには問題がある」
「じゃあどれだけその“真っ当なマーケティング会社”が信用できるのか?」――最後はそういう議論に落ち着くのかもしれない。だがユーザーの側から見れば、どの会社が信用できて、どの会社が犯罪まがいであるかなど、どうやって判断すればいいというのか。アダルトサイトを運営している会社がマーケティングの材料だと言ってスパイウェアをユーザーのパソコンに送り込んだ場合、その信用度を推し量るのはとても難しい。
結局、ユーザーの側から見れば、悪意のあるスパイウェアも、マーケティングツールであるアドウェアも、どちらも「自分を監視している薄気味の悪い存在」という意味ではまったく変わりはないのだ。
前のページでも書いたように、スパイウェアには大きく分ければ、きわめて犯罪性の高いプログラムと、マーケティングツールとして企業が利用規約にその存在を記載したうえで提供している「アドウェア」の2つに区分される。
ここ数年、疫病ののような勢いで広がりつつあるのは、アドウェアだ。
そもそもアドウェアがこれほどまでに蔓延するようになった背景には、インターネットの広告モデルの迷走がある。バナー広告から始まったネットの広告は、ネットの普及と反比例するようにクリックするユーザーが減少していき、途中で何度もビジネスモデルの軌道修正を迫られた。そんな中で注目を集めるようになったのが、ユーザー層を思い切り絞り込んだターゲット志向型の広告だ。その最右翼は、最近ますます人気を集めつつある検索エンジンを使ったPPC(Pay Per Click)広告モデル。そしてアドウェアというスパイウェアの一種も、広告・マーケティング業界の中でその存在感をひそかに高めつつある。いわば影の主役とでもいうべき存在だ。
アドウェアが台頭してきたのには、大きく分けて2つの要因がある。まず常時かつ高速な接続を実現するブロードバンドの普及。第2に、そのインフラをベースにしたP2Pファイル交換サービスの流行だ。
単純なバナー広告では、ユーザーをターゲット化するのには限界がある。不特定多数を相手にした広告というビジネスモデルは、すでに成り立たない。ではどうすれば特定の趣味や志向を持った人に対して、うまく広告を発信することができるだろうか――。
そんな悩みを抱えていた広告業界の前に現れたのが、P2Pファイル交換ビジネスだった。ファイル交換企業の側は、Napstar崩壊後の時代の中で、収益を上げるモデルを確立できず、苦闘を続けていた。
「そうだ、無料でファイル交換サービスを提供するかわりに、ターゲット広告をユーザーに受け入れてもらえばいい!」
そんな発想で、誰が言い出したのかは今となってはわからないが、広告業界とP2Pファイル交換はめでたく縁結びした。そしてその仲を取り持ったのが、スパイウェアだったわけだ。P2Pファイル交換ソフトをダウンロードし、パソコンにインストールすると、同時にアドウェアもインストールされる。アドウェアのデータによって配信された広告の代金の一部がファイル交換サービスを提供している企業に環流され、収益の源泉となる。
当初は性別や年齢、職業、趣味などをユーザーに入力させ、それにあわせた広告を表示させるというプリミティブなシステムだった。しかしただでさえ広告に胡散臭さを感じている海千山千のファイル交換ユーザーたちが、素直に個人データを入力するとは考えにくい。面倒だからと間違った情報を適当に入力するユーザーが相次ぐ。そこでサービス提供者の側は、知恵を絞る。「ユーザーが見て回るウェブサイトの履歴を見て、それにあわせた広告を配信すればいい」
その発想から、アドウェアはきわめて精巧なスパイウェアへと進化し始めた。ユーザーが何も入力しなくとも、インターネットブラウザーの履歴を事細かに収集し、そこからユーザーの興味に適合した広告を送り込む。ユーザーがみずからの意志で趣味や買いたい物を入力するのと比べ、自分でも気づいていなかったような潜在意識化の習慣や志向までをも浮かび上がらせてしまう可能性さえ持っている。きわめて巧妙、かつ効率の良いターゲッティングを実現してしまったわけだ。
さらにアドウェアはファイル交換だけでなく、ダウンローダーや翻訳、動画再生、検索ツールなどオンラインソフトのさまざまな分野へと浸透している。今ではオンラインソフト/サービスの収益モデルとして、デファクトスタンダードの地位を堅めそうな勢いだ。オンラインソフトをインストールしようとすると、必ずアドウェアがおまけに付いてくる、といった状況が現実になりつつある。世の中で動いているパソコンの半数に、スパイウェアがこっそり潜んでいるという試算もあるほどだ。
そしてこのどこかの段階で、アドウェアはスタンドアロンで情報収集するツールから、インターネット経由で個人データを外部に送信するネットワークアプリケーションへと変貌を遂げてしまっている。後者の方が、プライバシー侵害の危険性が高いのは当然だ。何しろ、アドウェアはバックグラウンドで動くアプリケーションとしてハードディスクにインストールされている。つまり、ハードディスクの中身を自由自在に参照できてしまうのだ。
もちろん、ファイル交換の無償ソフトをインストールする際、利用規約をよく読めば「ユーザーの情報をサーバに送信することを認める」といった記載があることに気づくはずだ。だがたいていのユーザーは、利用規約なんていう面倒なものは読まない。自分でも気づかないままに、スパイウェアをインストールしてしまう結果になっている。この点が大きな批判を浴びる原因となっている。米国ではプライバシー保護団体や消費者団体の間に、広範囲な反スパイウェア運動が巻き起こっている。「誰も読みもしない利用規約に記載しているだけでは、アカウンタビリティ(説明責任)を果たしたとはいえない」という主張だ。アドウェアと、犯罪的なスパイウェアを区別するのは、ユーザーに対して事前の承諾があるかないかであるという考え方もある。だが小さな文字の利用規約にこっそり書いただけで承諾を得られたと決めてしまうアドウェアは、犯罪的なスパイウェアとほとんど変わらないのでは、というわけだ。これらの団体は、きちんとみずからの意志でアドウェアの導入を承認したユーザー以外にはインストールさせない――つまりオプトイン方式でのインストールを求めている。
そしてアドウェア=スパイウェアは、今も進化を続けている。たとえば、Cookieを積極的に使った情報収集の仕組みがそうだ。
Cookieというのはご存じのように、Webサーバが送信した情報をユーザー側のパソコンのハードディスクに自動保存しておき、次に同じWebサイトを訪問した際、この自動保存されていた情報をWebサーバに送信する機能だ。そもそもの目的は、毎回ログイン作業を繰り返さなくてもすむように、ユーザーの認証を管理することによって入力の手間を省くためのものだった。だが最近はこのCookieを悪用した手口も登場してきている。スクリプトを使い、ハードディスクから個人情報を集めてCookie経由で送信する。あるいはユーザーがどのバナー広告を見て、そのうちのどれをクリックしたかといったデータを送信することもできる。
あるいは、特定のウェブサイトをブラウザーに表示させると、「ダウンロードしますか?」というメッセージを表示するというパターンも出現している。OKをクリックすると、アドウェアが自動的にダウンロードされ、ActiveXを使って勝手にインストールされる。以前、アダルトサイトなどで利用者にダウンロードを促し、国際電話やダイヤルQ2回線経由のダイアルアップ接続をインストールしてしまう悪質なプログラムがあった。コンピュータリテラシー低い初心者をうまく騙す手口だったが、それと同じような手法といえる。さらに最近は、ユーザーの確認画面さえ現れず、サイトを表示すると同時にダウンロードと導入を始めてしまうという恐ろしいケースさえ出現しているという。
このあたりまで来ると、犯罪的なスパイウェアとの境界はほとんどなくなってくる。キータイプをこっそり記録したり、パスワードをアプリケーションから抜き出したり、あるいはどんなアプリケーションを起動したかなど、ユーザーのパソコンの操作を記録するスパイウェアと、マーケティングのためと称するアドウェアは限りなく融合していく。
いずれにせよ、問題は同じだ。スパイウェア/アドウェアがハードディスクのどこを見て、どんなデータを集め、そしてそれをどこに送っているのか――そうした情報は、ユーザー側にはいっさい明らかにされない。そして勝手にシステムに常駐し、ユーザーの個人情報を外部に流し続けているのだ。