どこまでをスパイウエアに含めるかが問題になるのは,アドウエアだけではない。トラッキングCookieは,それ自体をスパイウエアに含めるかどうかが微妙なものである。なぜなら,トラッキングCookieそれ自体はソフトではなく,単なるデータだからだ。

 トラッキングCookieは,Webサイトが発行してパソコンに送ってくるCookieの一種で,ユーザーのWebアクセス履歴を収集するためのものだ。Webページに埋め込まれたバナー広告の発行元が,ユーザーのWebアクセス履歴を調べるのに使うことが多い。トラッキングCookieが直接集めるのは,Webアクセスの履歴だけである

 そもそもCookieは,Webアクセスの際にWebサイトが発行する小さなテキスト・データで,WebページとともにWebブラウザに送られてくる。パソコン側ではそのデータを保存しておき,再度同じWebサイトにアクセスするときにリクエストと一緒に送る。こうして動くので,Webサイトではユーザーの識別にCookieを使うケースが多い。

 あるサイトが発行したCookieが,ほかのサイトに送られることはない。Cookieは発行元のドメイン名が明示されており,そのドメインとの間でしかやりとりできないことになっている。例えば「nikkeibp.co.jp」が発行したCookieは,「example.co.jp」には送られない。こうした制限があるので,CookieでWebアクセスを追跡するのは無理だと思いがち。しかし,トラッキングCookieは「サード・パーティのCookie」というしくみを使ってユーザーのアクセス履歴を追跡する。

広告サイトがCookieを発行

 バナー広告の発行元X社がトラッキングCookieでアクセス履歴を追跡するようすを見てみよう(図1-6)。

図1-6●トラッキングCookieでアクセス履歴を取られる
図1-6●トラッキングCookieでアクセス履歴を取られる
Cookieはソフトウエアではないが,バナー広告サイトなどが発行する「トラッキングCookie」はWebアクセスの履歴を追跡するのに使われることがある。ただしCookieの中身だけでは誰がアクセスしているかまではわからない。設定を変えればこうしたCookieは拒否できる。
[画像のクリックで拡大表示]

 X社のバナー広告がはめ込まれているA社のWebサイトにアクセスした場合,ユーザーは,A社のWebサーバーだけでなく,バナー広告を受け取るためにX社のWebサーバーにもアクセスすることになる。

 あらかじめX社は, A社のWebページに置かれるバナー広告のURLに「A社からのアクセス」とわかる情報を書き足しておく。ユーザーがA社のWebページにアクセスすると,X社にはURLと共にバナー広告の要求が送られる。そこでX社はユーザーにCookieを発行し,バナー広告と共に送る(図1-6の1-1)。A社にアクセスしたときにX社から送られてくるので,サード・パーティのCookieとも呼ばれている。

 X社が発行したトラッキングCookieには,ユーザー識別用のID情報が含まれている。X社はトラッキングCookieの発行と同時に,ユーザー管理用データベースに,IDと「A社にアクセスした」という情報を書き込む(同1-2)。

 続いて,ユーザーはB社のWebページにアクセスする。ここにもX社のバナー広告が置かれていると,ユーザーのWebブラウザは,バナー広告のリクエストと一緒にX社から受け取って保存していたトラッキングCookieを送信する(同2-1)。トラッキングCookieを受け取ったX社は,その中のIDを見て,データベースで管理しているそのIDの履歴に「B社にアクセスした」という情報を追加する(同2-2)。このように,X社のバナー広告が埋め込まれたサイトにアクセスするたびに,ユーザーがアクセスしたサイトの情報がX社に蓄積される。

 バナー広告の代わりに「Webバグ」という目に見えないイメージ・データが貼り付けられたページにアクセスして,知らない間にトラッキングCookieが送り込まれるケースもある。

インストールさせる手口に知恵を絞る

 ここまで一通り,スパイウエアの種類別に情報を盗む手口を見てきた。ただ,ユーザーのパソコンに入り込まなければ情報は盗めない。そこで,スパイウエアは,ユーザーのパソコンに潜り込む手口に知恵を働かせている。そうした手口についても確認しておこう。

 スパイウエアがユーザーのパソコンに入り込む手口は大きく二通りある。

 一つは,だましてインストールさせる方法だ(図1-7の手口1)。例えば,オンライン・バンキングのログイン情報を盗むために使われたキー・ロガーは,銀行名で郵送されたCDの中に入っていたり,取引先からの電子メールを装って送りつけられたりした。郵便には,「セキュリティ対策のためにCDのソフトをインストールしてください」という説明がついていた。電子メールには,メール本文にクレームが書かれ,「クレーム内容を説明する画像」という名目でキー・ロガーが添付されていた。いずれも,関係者なら開かずにいられないように工夫されていたわけだ。

図1-7●スパイウエアはインストールさせることに知恵を絞る
図1-7●スパイウエアはインストールさせることに知恵を絞る
スパイウエアの多くはウイルスやワームと違い,感染を広げる機能を持っていない。このためユーザーをだましてインストールさせるのに工夫を凝らす。 [画像のクリックで拡大表示]

 Webページ上にリンクを用意して組み込んでおくという手口もある。ユーザーが興味を引くようなボタンにスパイウエアを貼り付け,思わずクリックさせてしまうという方法だ。メール・アドレスを盗み出すHachilemは,画像リンクをクリックすると実行されるしくみだった。

 犯人が海外にあるWebサーバーを利用していると,悪質なスパイウエアをばら撒かれても追跡は困難。アダルト・サイトなどはこの方法でスパイウエアを送り込むことが多い。

 一方,有用なソフトに紛れ込ませて送り込まれることもある(同手口2)。

 アドウエアなどユーザーによってスパイウエアかどうかの判断が分かれるソフトの多くは,有用なソフトと一緒に送られてくる。ソフトをインストールするときには,使用許諾の画面が表示されるが,スパイウエア付きのソフトの多くは,使用許諾用の画面に目立たないように「個人情報を収集して送信する」という意味の内容が表示されるようになっている。多くのユーザーが,画面を読まずに許諾用のボタンをクリックすることを見越しているわけだ。悪質なものは,いったんインストールすると,アンインストールできないようになっていたりする。

 有用なソフトに紛れ込ませるスパイウエアには使用許諾を取らないものもある。例えばTROJ_HIROFU.Aは音声処理ソフト「Vocal Cancel」の一部として組み込まれていた。ユーザーにはまったく通知することなく情報を送るようにできていた。

 ここまでで,スパイウエアが情報を盗み出す手口とユーザーのパソコンに入り込む手口は理解できただろう。そこで次のPart3では,ユーザーが取るべきスパイウエア対策を見ていくことにする。

出典:日経NETWORK 2006年3月号 66ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。