［米国］
「凶悪化するスパイウェアに法的な措置を！」──IT関係者が悲痛な訴え

【Black Hat USA 2006 リポート】

（2006年08月04日）

　スパイウェアが多くのコンピュータ・ユーザーの悩みの種となっていることを受け、一部の専門家やIT関係者は、スパイウェア配布者に禁固刑を含む厳罰を科すなどの抜本的な対策が必要だと訴えている。

　米国のラスベガスで8月2日に開かれたセキュリティ・コンファレンス「Black Hat Briefings」のパネル・ディスカッションでは、スピーカーらが、セキュリティ対策ベンダーはスパイウェア対策に手を焼いており、抜本的な対策が必要になっていると強調した。

　「スパイウェアを阻止することは技術的に実現不可能だ」と危機感を募らせるのは、独立系セキュリティ・コンサルタントのダン・カミンスキー氏だ。

　同氏は、「スパイウェアに感染したために膨大なPCが処分されたり、修復に出されたり、買い替えられたりしている。その被害額は莫大な規模に上る。それにもかかわらず、だれも刑務所に送られておらず、訴えられてもいない」と、怒りをあらわにする。

　スパイウェア対策ベンダーのウェブルート・ソフトウェアは最近の調査報告で、スパイウェアの増加が続いていると警鐘を鳴らす。同社は3月から6月までの間に、スパイウェアが仕込まれた新しいWebサイトを10万カ所以上発見したという。

　同社が2004年1月に調査を始めて以来、それまでに発見したそうしたサイトは42万7,000カ所に上るという。ちなみに、同調査は特別なチューニングが施された検索エンジンを使って行われており、ウェブルートのCTO、ジェラード・エシェルベック氏は、これを「スパイウェア用のGoogle」と呼んでいる。

　エシェルベック氏は、「ウイルスの追跡はとても簡単で、センサを見張っていればよいが、スパイウェアを追うのは非常に大変だ。スパイウェアは毎日、毎時間のように変わるので、神経を張り詰めて追跡しなければならない」と説明する。

　ウェブルートによると、企業が所有するPCを含むすべてのPCのうち31％がトロイの木馬に感染している。企業内の感染PCは1台当たり平均1.3個のトロイの木馬を含んでいるという。

　東海岸の金融サービス会社の情報セキュリティ・マネジャー、パメラ・ファスコ氏は、同氏のチームはスパイウェア感染への対応に毎日追われていると語った。最悪だったスパイウェア・インシデントでは、「スパイウェアが猛烈な速さで増殖し、20秒でわれわれのMicrosoft Exchangeシステムをダウンさせそうになった」という。

　このインシデントは、ファスコ氏が包括的なスパイウェア対策を実施していたにもかかわらず発生した。同氏が実施していた対策は、マカフィーとSPIダイナミクスのスパイウェア対策技術の利用、定期的なPC監査、グローバル・アラート・システムの利用、PCのフル・アクセスを必要としない従業員に対するPCの使用の制限、ライブ・デモやWebビデオを通じた教育プログラムの実施などだ。

　カミンスキー氏は、企業は、DNSのログを注意深く監視するなどの対策も講じなければならないと指摘する。

　また、ウォルト・ディズニーのシニア・セキュリティ・ストラテジスト、ドルー・マネス氏は、ITヘルプデスク担当者をトレーニングすることによって、動作が異常に遅いPCがスパイウェアに感染しているかどうかを診断するようにすることが効果的だと推奨した。

　コンティネンタル航空のCISO（最高情報セキュリティ責任者）、アンドレ・ゴールド氏は、社内のコンピュータに害を与えているマルウェアのうち80％がスパイウェアだと指摘する。同氏のチームは日常的に、ハードドライブをフォーマットしてOSとソフトウェアを完全にインストールし直すことで、スパイウェアによって障害が発生したPCを修復しているという。

　スパイウェアが猛威を振るう一方で、アドウェアは勢いが弱まっているようだ。現在、企業内のPCには1台当たり平均2.8個のアドウェアがインストールされており、これは2005年秋の3.9個よりも減少しているという。

　比較的被害の少ないアドウェアと、より悪質なスパイウェアの違いを明確に区別・認識できる人は多くない。カミンスキー氏は、両者の境界があいまいなことが、スパイウェア対策をさらに困難にしていると指摘する。

　同氏は、法律によって、スパイウェアやアドウェアを配布しようとする者に対するペナルティを明確に規定する必要があると強調した。例えば、「広告は、ユーザーが簡単なマウス操作（右クリックなど）で10秒以内に削除できなければならず、そうでないものはスパイウェアと見なされる」といったことを法律で定めるべきだというのが同氏の意見だ。「だれでも灰色である間は、刑務所に入れることはできない」

　ファスコ氏も、現在の法律では、スパイウェアを根本的に阻止することは不可能だと力説した。一方、ゴールド氏は、スパイウェア感染の被害にあった企業が、政府機関への情報提供に消極的なことも問題だと指摘している。

　「企業にしてみれば、データを提供すれば、助けてもらえるかもしれないが、社内管理の不備によって法的責任を問われるおそれもある。これは究極のジレンマだ」（ゴールド氏）

「Black Hat Briefings」のサイト
http://www.blackhat.com/html/bh-link/briefings.html

(エリック・レイ／Computerworld オンライン米国版)