スパイウェアとは？リスクや守るための対策方法

スパイウェアの歴史は古く、インターネットが普及する前から存在していました。スパイウェアが従業員のPCへ侵入すると、重要な情報が盗まれ流出する可能性もあり十分な注意が必要です。今回はスパイウェアとは何かといった基本から、企業のサーバー担当者が把握しておくべきリスク、対策まで分かりやすく解説します。

スパイウェアとは

スパイウェアとはPCやスマートフォンへ侵入し、ユーザーの個人情報や行動履歴を収集した上で外部へ送信するプログラムです。スパイウェアは様々な方法でユーザーのPCやスマートフォンへ侵入します。

たとえば、インターネット上からダウンロードしたフリーのソフトウェアやアプリに同梱されている例もその1つです。この場合、これらソフトウェア・アプリをインストールした際に、スパイウェアも一緒にインストールされてしまいます。その他、悪意あるWebサイトを閲覧したり、怪しいメールの添付ファイルを開いたりした際にスパイウェアが侵入することもあり注意が必要です。

ウイルスとの違い

スパイウェアはよくウイルスと比較されます。スパイウェアとウイルスの最も大きな違いは、感染後に自己増殖するか否かです。ウイルスはユーザーのPCやスマートフォンへ感染後に、同じネットワーク内にある他機器にも感染して自己増殖し被害を広げます。

それに対しスパイウェアは自己増殖することはありません。代わりに侵入したユーザーのPCやスマートフォンの中でひっそりと活動を続け、個人情報を外部へ送り続けることも多いです。

ウイルスとスパイウェアの違いは、その振る舞いにも見られます。ウイルスはシステムを破壊したりファイルを削除したりなど、ユーザーの「目に見える」被害を引き起こすタイプが多くなっています。（ウイルスの中にも、外部へ情報を送信するだけのタイプもあります。）

一方、スパイウェアは外部への情報送信が主な活動であり、必ずしもユーザーの「目に見える」振る舞いを目的としていません。そのためスパイウェアに侵入されても、ユーザーはそれに気づかないこともあるのです。

すべてのスパイウェアが悪質とは限らない

一口にスパイウェアと言っても、そのすべてが悪質であるわけではありません。ユーザーのニーズを把握するのに必要な情報を取得し、マーケティングに活かすタイプもあります。

たとえばオンラインで買い物した内容に関連するような広告が、ウェブサイト上に表示されたという経験をした方も多いでしょう。これはユーザーのPCにインストールされたソフトウェアが、そのユーザーの買い物履歴を企業に送信しているためです。企業は送信された情報に基づき、そのユーザーのニーズに適した広告をブラウザに表示させます。

マーケティング目的で、上記のようなソフトウェアを使っている企業は少なくありません。ただし、この場合は該当するソフトウェアをインストールする際の使用許諾に、きちんとそのことが書いてあります。

ソフトウェアやアプリを無償提供する代わりに、マーケティングに役立つ情報を取得するといったタイプも多いです。それらソフトウェアやアプリは情報を外部に送信するだけでなく、ユーザーにとって有益な機能を別に搭載しています。

企業のサーバー担当者が注意すべきスパイウェアのリスク

悪質なスパイウェアがインストールされた場合、そのリスクはただ「外部へ情報が送信される」だけではありません。企業のサーバー担当者が把握しておきたいその他のリスクが複数存在します。ここではどんなリスクに注意すべきか、具体的に紹介します。

情報が盗まれる

悪質なスパイウェアが盗むのは、マーケティングに関わるような情報だけではありません。インターネットの閲覧履歴や会員サイトへログインするためのID・パスワードの他、クレジットカードの情報などを盗むこともあります。クレジットカードの情報が盗まれると、不正に利用され身に覚えがない高額な請求がされることもあり、十分に注意しなくてはなりません。企業のPCに侵入した場合は、顧客の個人情報や社内の機密情報が外部に漏えいする可能性もあります。

不正ログイン

盗んだID・パスワードを利用し会員サイトへ不正にログインするというケースも多いです。たとえばそれがショッピングサイトであれば、勝手に買い物をされてしまうこともあります。

特定のウェブサイトへ強制的にアクセスさせられる

どのウェブサイトを参照しようとしても、強制的に特定のウェブサイトへ移動させられるという例です。トップページが強制的に書き換えられてしまい、なおかつ変更もできない状態になります。

システムが不安定になる

スパイウェアはウイルスのように、システムの動作を不安定にすること自体を目的にはしていません。しかしスパイウェアがバックグラウンドで不正に活動することにより、結果的にシステムの処理能力が低下することもあります。

特定の広告・ポップアップが強制的に表示される

同じ広告・ポップアップが何度も強制表示されるケースです。ポップアップを消しても、すぐに再表示され、それが続くパターンもあります。

【注意】金銭のやり取りをするECサイト等はターゲットになりやすい

ECサイトやクレジット決済会社のサイトをはじめ、金銭のやり取りをするサイトはスパイウェアやウイルスの標的にされやすい傾向があります。攻撃側の視点で考えてみると、そういったサイトを狙った方が、より効率的にお金を不正に獲得しやすいためです。そのため関連するウェブサイトを運営する企業は、特に注意が必要となります。

スパイウェアの対策

スパイウェアの攻撃にはいくつかの傾向がみられ、適切な対策をすることによってリスクを大幅に軽減可能です。ここでは実際にどうすればよいか、代表的な対策を紹介します。

怪しいソフトウェアはインストールしない

スパイウェアは、フリーソフト・アプリと一緒にインストールされる場合があります。そのため怪しいソフトウェアやアプリはインストールしない方が無難です。特に提供元が不明瞭なソフトウェア・アプリは、危険性が高いと想定されおすすめできません。インスール時に表示される使用許諾を熟読することで、スパイウェアが同梱されているかチェックできることもあります。

不審なメールは開かない

メールに添付されたファイルを開いたり本文のURLにアクセスしたりすることで、スパイウェアがインストールされてしまうこともあります。身に覚えがないような不審なメールは開かないなど注意しましょう。

このようなメールは英語表記だけなど明らかに怪しい場合の他、有名企業からのメールを装ったタイプも少なくありません。よく知る企業からのメールだからといって、安易に信じてはいけません。

OSを最新の状態にする

スパイウェアの中には、OSのセキュリティホールを狙って侵入してくるタイプも少なくありません。OSを最新な状態に保ち、これらスパイウェアの侵入を防ぎましょう。

セキュリティソフトを導入する

セキュリティソフトは、スパイウェアが侵入するのをブロックする機能もあります。そのためスパイウェアによる被害を防ぐためには、セキュリティソフトの導入も有効です。スパイウェアの攻撃は日々進化することから、セキュリティソフトの導入後は常に最新の状態に保つよう随時アップデートする必要もあります。

運用のルールを設け遵守する

企業単位でスパイウェアの被害を防ぐためには、PCやスマートフォンなどの運用ルールを設け順守することも有効です。許可のないソフトウェアやアプリをインストールしない、怪しいサイトやメールは開かないといったルールを決め従業員に遵守してもらいます。

スパイウェアは、外部の機器・メディアを介しUSBポートやCD/DVDドライブ等を経由して侵入することも稀ではありません。そのため外部機器の使用を制限するといったルール作りも有効です。

ブラウザのセキュリティ設定は高いレベルに設定する

怪しいプログラムがダウンロードされたり実行されたりするのを、ブラウザのセキュリティ機能が防ぐこともあります。ブラウザのセキュリティ設定は任意でカスタマイズ可能ですが、より高いレベルに設定した方がスパイウェアは侵入しづらいです。そのため、より確実にスパイウェアの侵入を防ぐためには、ブラウザのセキュリティ設定をできるだけ高いレベルにしておきましょう。

まとめ

スパイウェアはPCやスマートフォンに入り込み、ユーザーの個人情報・行動履歴を外部へ送信するプログラムです。ユーザーニーズ把握のため企業がユーザーの同意を得て運用するタイプもあるため、スパイウェアの全てが悪質とは言えません。ただし悪質なスパイウェアに侵入された場合、個人情報を盗まれたり、広告が強制表示されたりといった被害が生じます。

スパイウェアの被害を予防するためには、信頼性の低いソフトウェアをインストールしないなどの対策が欠かせません。スパイウェアの侵入を防ぐ機能をもつ、セキュリティソフトを導入することも有効です。企業単位でスパイウェアの被害を防ぐためには、PCやスマートフォンなどの運用ルールを定める方法もあります。