スパイウエアは,ユーザーに実行させるのに工夫を凝らしている。また,中には巧妙にスパイウエア対策ツールをすり抜けるように開発されたものもある。気を付けていても実行してしまう可能性だって否定できない。スパイウエア対策は一筋縄ではいかないのだ。

 では,ユーザーはどのようにスパイウエアを防げばいいのだろうか。有効なのは,複数の対策を組み合わせた多重防御だ(図2-1)。(1)ユーザー自身が意識して実行しないようにし,(2)スパイウエア対策ツールで検出・除去し,(3)パーソナル・ファイアウォールで情報の送信を止める――のである。

図2-1●スパイウエアは3段構えで防御する
図2-1●スパイウエアは3段構えで防御する
スパイウエアはユーザーをだましたり,対策ソフトをすり抜けたりする工夫を凝らしている。決定的な対策はないので,いくつもの対策を講じておく。
[画像のクリックで拡大表示]

 一つひとつの対策には,穴がある。しかし,三つの対策を施せば,被害に遭う確率をゼロに近づけられる。

セキュリティ設定を再確認

 では対策を順番に見ていこう。まずはユーザー自身がスパイウエアを実行しないようにすることからだ。ただ,これには前提条件がある。それは,Webブラウザのセキュリティ設定を安全に保っておくこと。読み込んだソフトを自動的に実行するように設定していては,いくらユーザーが気を付けてもスパイウエアが侵入してしまうこともある。

 そこで,Webブラウザの安全な設定をWindows XP SP2のInternet Explorerで確認しておこう。とはいっても設定は簡単。インターネット接続時のセキュリティ設定を,デフォルト設定の中以上に保っておけばいい。こうすれば,Webページを表示しただけでActiveXコントロールがインストールされたり,リンク先のファイルを自動実行したりすることはない

 さらにトラッキングCookieを禁止したいなら,ツールからインターネット・オプションを開き,プライバシ設定を変更しておく。詳細設定でサード・パーティのCookieの「ブロックする」をチェックすればよい。

ファイル名は拡張子まで表示

 ただし,設定だけでは自分のパソコンは守れない。ユーザーは,怪しいファイルを実行しないようにいつも気を付けておく必要がある。Webブラウザから直接実行する場合は,リンク元や開発者を慎重に判断する。少しでも怪しいものは実行しないのが原則だ。

 ただ, Webからダウンロードしたファイル,電子メールやP2Pネットワークで到着するファイル,CD-ROMなどに収められたファイルを開くときは,これだけでは不十分。スパイウエアの中には文書や画像のファイルに偽装するものもある。ちょっと中を見てみようと思ってクリックしたものが,実はスパイウエアだったということもありえる。

 そのため,ファイルの拡張子を確認して,実行形式かどうかを確認することが重要になる。拡張子まで常に確認しておけば,間違って実行してしまうことはなくなる。

 初期設定のWindowsは,ファイルの拡張子を表示しない。きちんと表示させるために,設定を変えておこう。すべてのファイルの拡張子を表示させるには,パソコンの画面上で適当なフォルダを開き,ツール・バーの「ツール」から「フォルダ・オプション」を表示し(図2-2の(1)),そこで表示メニューの詳細設定の下側にある「登録されている拡張子は表示しない」のチェックを外す。それから「すべてのフォルダに適用」,「適用」の順にクリックする。

図2-2●安全だと確信できる拡張子のファイル以外は開かない
図2-2●安全だと確信できる拡張子のファイル以外は開かない
ファイルの拡張子を表示するよう,Windowsの設定を変えておく。初めてファイルを開くときは,見知らぬ拡張子のファイルは開かないようにする。
[画像のクリックで拡大表示]

 表示させた拡張子が「.txt」,「.jpg」といったデータ形式のファイルなら,開いても大丈夫だ(同(2))。それに対して,見知らぬ拡張子のファイルは,実行形式でないことを確認するまで開かないようにする

 拡張子の確認には,一つ気を付けなくてはいけないことがある。本当の拡張子がきちんと表示されているかを意識する必要があるのだ。実は,ユーザーをだまして実行させようとするスパイウエアの中には,アイコンや拡張子を偽装するものがある(図2-3)。実行形式ファイルなのに別形式のアイコンを表示させたり,わざと長いファイル名を付けてパソコン上で拡張子が表示されないようにするのだ。怪しいところから入手したファイルは,右クリックでプロパティを表示させ,ファイル名を確認する習慣を付けておくとよいだろう。

図2-3●アイコンや拡張子が偽装されることもある
図2-3●アイコンや拡張子が偽装されることもある
ちょっと見ると安全なファイルのようでも危険なことがある。

 場合によっては,危険なファイルかもしれないが開かなければならない状況があるかもしれない。そのようなときは,ネットワークから切り離したパソコンで実行するのが望ましい。万一スパイウエアを起動しても情報を送らずに済む。

専用ソフトはすばやく検査する

 Webブラウザの設定に気を付けたり,拡張子を確認していても,ユーザーがうっかりしたり安全性を誤認したりして,スパイウエアを実行してしまうことはある。そのようなときに備えて併用したいのがスパイウエア対策ツールだ。

 対策ツールは,パソコンにインストールするパソコン・ソフト型と,ネットワーク上を流れるデータをチェックするゲートウエイ型のものがある。パソコン・ソフト型は,専用のスパイウエア対策ソフトや,ウイルス対策ソフトの付加機能として提供される。ゲートウエイ型は,ファイアウォールやセキュリティ・ゲートウエイの付加機能として提供されるのが一般的だ。

 まず,パソコン・ソフト型の検査方法を見ていこう。パソコン・ソフト型は,「オンデマンド・スキャン」と「リアルタイム・スキャン」の二つの方法でスパイウエアをチェックする(図2-4)。

図2-4●スパイウエア対策ソフトはさまざまな方法でスパイウエアを見つけ出して除去する
図2-4●スパイウエア対策ソフトはさまざまな方法でスパイウエアを見つけ出して除去する
ユーザーの指示で潜んでいるスパイウエアを探すのがオンデマンド・スキャン。常駐してスパイウエアの到着や活動を監視するのがリアルタイム・スキャンである。
[画像のクリックで拡大表示]

 オンデマンド・スキャンは,ユーザーの指示をトリガーにしてスパイウエアがいるかどうかを検査する方法。同じパソコン・ソフト型でも,専用のスパイウエア対策ソフトとウイルス対策ソフトの付加機能でやり方が少し違う。

 専用のスパイウエア対策ソフトは,スパイウエアに特化したおかげで高速に検査できるように工夫してあるものが多い。例えばアークンの「AntiMalware」は,メモリーや実行中のプロセス,システム設定などだけをチェックする(図2-4の方法1)。保存しているファイルを検査するときも,すべてのファイルを検査するのではなく,システム・ファイルやプログラム・ファイルといった,スパイウエアに関係するものだけをチェックする(同方法2)。

 一方,ウイルス対策ソフトの付加機能は,ウイルス検出用のエンジンにシグネチャを追加してスパイウエアを検出する。多くは,ウイルスとスパイウエアを同時に検査する。まとめて検査できるが,スパイウエアが存在する可能性がないファイルも全部検査するので,チェックには時間がかかる。

 パソコン・ソフト型のもう一つの検査方法であるリアルタイム・スキャンは,パソコンに常駐して到着したり書き込まれるファイルを検査するやり方。ファイルの検査自体は,オンデマンド・スキャンと変わらない(同方法2)が,これに加えてソフトの挙動まで監視するものもある(同方法3)。米ラバソフトのAd-Awareの場合,システム・フォルダへのアクセスやレジストリの読み書き,情報の送信といった動作を監視して,疑わしい動作があったら,画面上に警告を表示するようになっている。

出典:日経NETWORK 2006年3月号 70ページより
記事は執筆時の情報に基づいており、現在では異なる場合があります。