『スパイウェア』という言葉には、広義の意味と狭義の意味があります。

広義の意味では、

セキュリティやプライバシーに妥当な配慮を持ったコンピュータユーザが知らせて欲しいと考える、また場合によっては削除したいと考える種類のソフトウェア

を指します。

「抽象的でよくわからない！」

そうなんです！　
定義をするのが非常に困難で、定義しようと思うと、上の文章のようになってしまいます。ちょっとだけ、我慢してお読み続け下さい。

マカフィーでは、正確には、広義のスパイウェアを『不審なプログラム：Potentially Unwanted Program: PUP』と呼んでいますが、一般的にこのようなソフトウェアを『スパイウェア』と呼び、認知されだしていますので、今後は広義のスパイウェアの場合は、『スパイウェア』と記述します。

一方、狭義の意味では、『スパイウェア』の１つのカテゴリと考えられます。『スパイウェア』は、動作や手口により、下記のカテゴリに分けられます。

• （狭義の）スパイウェア
  ユーザの認識および明示的な同意を得ることなく、個人情報、機密情報を第三者に送信する機能を含むソフトウェア
• アドウェア
  自身がインストールされたコンピュータ上で、ポップアップ広告などを表示し、それによって収益を得ることを主な機能とするソフトウェア
• パスワードクラッカー
  正規ユーザまたは管理者が、紛失したり、忘れたパスワードをアカウントやデータファイルから回復できるように作られたソフトウェア
• リモート管理ツール
  管理者がシステムをリモートコントロールできるように作られたソフトウェア
• キーロガー
  電子メール、Internet Messengerの会話、Word文書、オンラインバンキングなど、入力されたキーストロークを記録するソフトウェア
• ブラウザハイジャッカー（ホームページハイジャッカー）
  ブラウザ設定を変更して、スタートホームページ、検索ページ、またはエラーページを予期しないホームページ（あるいはコンテンツ）に置き換えるソフトウェア
• クッキー
  訪問したページやその他の設定に関する状態情報を保存するための小さなテキストファイル
  *ほとんどのクッキーは無害ですが、一部には個人を識別できる情報を保存しているものもあります。

つまり、これらのソフトウェアのように、ユーザが迷惑、やっかいと感じる可能性*が高いソフトウェアを総称して『スパイウェア』と言います。

*「可能性」と書いたのは、ユーザが迷惑と感じない場合もあるからです。ユーザがその動作を許可している場合は、『スパイウェア』には該当しません。動作だけで善悪を判断するのが難しい、非常にグレーな存在のソフトウェアと言うこともできます。

スパイウェアの侵入経路

では、これら『スパイウェア』は、どのようにしてPCに侵入するのでしょうか？
ポイントをまとめてみました。

• 悪意を持った者から送られてくるメールの中のURLをクリックさせる
• 悪質なホームページ上で「年齢認証」と称したウィンドウを表示し、「はい」をクリックすることでダウンロードさせる
• ホームページ閲覧時にActiveXをダウンロードさせ、 HTMLのエクスプロイトを利用してインストールさせる
• フリーソフトウェアや、シェアウェアにスパイウェアを同梱させ、そのソフトと同時にインストールされる*
• エンドユーザ使用許諾契約（EULA）およびプライバシーポリシーのトリックでインストールさせる
• ホームページにCookie型のスパイウェアが仕掛けられており、閲覧時に侵入する
• ホームページ閲覧時に、必要なプラグインソフトウェアであると思わせ、ダウンロード・インストールをさせる

ほとんどに当てはまるのは、ユーザが気づかない（気づきにくい）状況で、ユーザ自身にインストールさせようとする点です。

インストールされた後、悪意ある動作が行われるという点で、スパイウェアは、トロイの木馬に似ており、機能的な違いはほとんどありません。しかし、明示的にスパイウェア対策機能を謳っていないウイルス対策ソフトでは検出、削除することはできません。また、ウイルスとの違いについて言えば、「感染（自身の複製）行動を行うかどうか」が大きな違いになります。

*非常に長文のソフトウェアのエンドユーザ使用許諾契約書（EULA）に記載されてはいるケースもあります。

スパイウェアの被害

• アドウェア
  AVERTへの問い合わせが一番多いスパイウェアです。コンピュータを起動するたびに、広告を表示したり、CPUリソースを使い切るほど広告を表示し、システムダウンを起こさせるものもあります。削除しようと思っても削除しにくいため、最悪の場合は再インストールが必要になる場合もでています。
• ブラウザハイジャッカー
  ブラウザのスタートページを意図しないWebサイトへ改変したり、アクセスしようと思うサイトではなく、別のサイトへアクセスさせたりします。「startpage」の名称がつく、スパイウェアはAVERTにも多数登録されています。
• スパイウェア
  侵入したコンピュータからシステム情報やパスワードなどを盗み出し、外部へ送信します。最近のECサイトを約1週間停止させたのもこの手のものによる被害です。

アドウェアやブラウザハイジャッカーは、被害の度合いとしては、低いと考えられるかもしれませんが、生産性という点では無視することはできません。コンピュータ使用者の作業効率は低下し、それを解消するため情報システム部門などでそのコンピュータを修復する時間とコストが発生します。

日本のAVERTへの問合せ件数を見ても、スパイウェアは現在20%以上を占めており、今後ますます増加することが予想されています。したがって、スパイウェアの被害は、現在は不愉快で時間を浪費させるものが中心といっても、対策を実施しないことは、今後さらに企業の生産性に影響を及ぼすものと考えられます。

スパイウェアにはどう対処する？

セキュリティ対策の基本は、侵入元を遮断すること、侵入される行動をとらないことに尽きます。したがって、ユーザがコンピュータの使い方を注意し、管理者が適切な管理を実施することである程度は防ぐことは可能です。

• 怪しいサイトへアクセスしない
  スパイウェアやトロイの木馬が知らないうちにインストールされるのを防ぐことが可能です。
• 不要なソフトウェアはインストールしない
  特に英語版のフリーソフトは、EULAにスパイウェアが添付されていることが記載されていてもなかなか読まない方が多いのが実情です。不要なソフトウェアはインストールしないに越した事はありません。
• 脆弱性パッチを適用する、IEのセキュリティレベルを上げる
  企業内で複数台のマシンを管理しようと思うと、なかなか難しいのが実情のようですが･･･
• スパイウェア対策ソフトウェアを使用する
  対策ソフトを使用すると、インストールされようとする際に検出、削除が可能です。

ウイルス対策ソフトの導入率が今ほど高くない頃、上記のような対策が盛んに言われていました。でも実際は、皆さんもご存知のように、心がけだけではウイルスの対策は出来ない方がほとんどでした。また、特に企業のコンピュータ利用を考えると、いくら管理者の方が注意喚起をしたところで、エンドユーザまでなかなか浸透しなかったことも経験されていると思います。スパイウェア対策も同様のことが言えます。つまり、効率的に、確実に対策を実施しようと思う場合は、対策ソフトウェアを購入した方が、結局は安上がりになります。スパイウェアがインストールされてしまった場合、修復する作業はウイルス対策と同じようなプロセスを踏む必要があるからです。

さらに詳細な内容は、こちら