ウイルス対策はこれでカンペキ！　第8回　スパイウェア 明日のためのウイルス講座 トレンドマイクロ

最近、世間をにぎわせているものに「スパイウェア」というものがあります。名前のとおり、トロイの木馬によく似た性質を持つのですが、ワクチンソフトで検出することができません。今回は、その点も踏まえて解説していきたいと思います。

ウイルスのようでウイルスでない

図1a　スパイウェアの侵入	図1b　スパイウェアの活動	図1c　スパイウェアを撃退!!
【スパイウェアの動作と仕組み】

　ユーザーの環境から情報を盗み出すウイルスとしては、「トロイの木馬」型がつとに有名です。持ち出す情報としては、PC内のユーザーアカウントやパスワード、ファイルなどがあります。また、感染したPCから無作為にウイルスが添付されたメールを送信する(メールアドレスを持ち出す)のも、代表的な症状のひとつです。

　ところが、最近トロイの木馬に共通する「持ち出す」という症状と似たような性質を持つものが登場してきました。それが、「スパイウェア」というソフトです。スパイウェアは別名「アドウェア(AD Ware)」ともいいます。この呼称は、主な感染経路が、Webページを開いたときに表示されるHTMLや広告であることに起因します。通常、Webページを表示したときに、ユーザーのPCに保存されるデータは、キャッシュを除けば「Cookie」しかありえないのですが、スパイウェアはいつのまにかレジストリなどにも情報を書き込みます。また、市販ソフトの体験版などにあらかじめ仕込まれていることもとても多いです。

スパイウェアを提供する会社の一つ、「Cydoor(http://www.cydoor.com/Cydoor/)」。画像をクリックすると、同社ページに移動します。	スパイウェアを提供する会社の一つ、「webHancer(http://www.webhancer.com/)」。画像をクリックすると、同社ページに移動します。
【スパイウェアを提供するサイト】　スパイウェアの提供者は普通の会社の場合がほとんど。Webページをみただけで侵入する広告プログラムや、市販ソフトの体験版などに自社のスパイウェアを提供している。

　スパイウェアが収集の対象とする情報はトロイの木馬ほど悪質ではなく、感染したPC上でユーザーがアクセスしたWebページのリストなどがほとんどです。スパイウェアは、収集した情報を、あらかじめ設定されているサーバに対して送信します。

　見れば見るほどトロイの木馬との共通点が多いのですが、スパイウェアをワクチンソフトで検出することはできません。これは、スパイウェアがウイルスとして認められていないことを意味しています。性質上の理由としては、「伝染」しないことが挙げられます。確かにWebページなどから忍び込むには忍び込むのですが、ウイルスのように、そのPCを感染源にしてほかのPCに伝染したりすることはありません。

　とはいえ、これは大きな問題ではありません。実際は、ワクチンベンダーがウイルス扱いしようにもできないのが本当のところです。スパイウェアの症状はほとんどトロイの木馬と同じですから、本来はワクチンソフトで駆除できることに越したことはありません。しかし、スパイウェアは、Webから以外にも、ダウンロードしてきた市販ソフトの体験版にも含まれていることがあります。これを駆除することは、ソフトウェア自体も消すことになるため、ユーザーにすれば「ワクチンソフトが勝手にソフトを削除してしまった」となり、混乱が生じかねません。

スパイウェアをリスト表示したページの一つ。画像をクリックすると、同社ページに移動します。	スパイウェアの一覧ページ(http://www.tom-cat.com/spybase/spylist.html)。画像をクリックすると、同社ページに移動します。
【スパイウェアが含まれるソフト】　スパイウェアが含まれるソフトウェアを紹介しているサイト。市販ソフトの体験版の場合、レジストすればスパイウェアが無効になる場合が多いが、ここの情報は参考になる。

　さらに、トロイの木馬だけではなく、ウイルスは一般的に作者が不明のものがほとんどですが、スパイウェアの作者(提供者)はすべて普通の企業です。その企業に「市販ソフトや広告プログラムを通してサンプルをとっているのに、ウイルス扱いしてウチの商売の邪魔をするのか！」と訴えられる可能性もあるため、下手にワクチンソフトで駆除するわけにもいきません。実際、「TROJ_TSADBOT」というスパイウェアは一度ウイルスとしてパターン登録されましたが、後にパターンファイルから削除されています。ユーザーにとってイヤな存在ですが、ワクチンベンダーにも頭が痛いところでしょう。

スパイウェアを除去する
AD-Aware

【AD-Awareのダウンロード】　AD-Awareには有料のPlusと無償版が用意されている。スパイウェアの除去を行うだけなら無償版のほうを使えば十分だ。入手先はこちら(http://www.lavasoft.nu/)。

　そこでお勧めしたいのが、ワクチンソフトの代わりにスパイウェアを除去してくれる「AD-Aware(アド アウェア)」です。入手先はこちら(http://www.lavasoft.nu/)。これは、PCにインストールされているスパイウェアを、種類を問わずすべて感知して削除を行ってくれるものです。使用方法は簡単で、インストールして実行するだけです。HDDを完全検索するので少々時間がかかりますが、検索結果を見ると意外なほど多くのスパイウェアが検知されるので驚くと思います。アプリケーションに含まれるものは残すこともできます。

【AD-Awareの実行】　AD-Awareを起動すると、メニュー画面になる。この状態で、スキャンを行えば、時間はかかるもののPC内のすべてのスパイウェアを検知することが可能だ。

　なお、スパイウェアはウイルスと違ってステルス型やミュータント型のように姿を隠すスパイウェアは存在しません。そのため、AD-Awareを使えば完全に発見できますが、同様にAD-Awareにはワクチンソフトと違って未知のスパイウェアを発見する機能はありません。ですから、日々種類が増え続けているスパイウェアに対応するために、AD-Awareも常に最新のものを使ってください。

【スパイウェアの除去】　検知されたスパイウェアの一覧が表示される。中には、使用中のソフトに組み込まれている場合もあるので、手作業で確認しながら、不要なものだけ削除しよう。

• 【関連記事】ウイルス対策はこれでカンペキ！　第7回ステルス型ウイルス「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第6回バックドア「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第5回ミューテーション型ウイルス「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第4回　ウイルスドロッパー「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第3回　ワーム「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第2回　トロイの木馬「明日のためのウイルス講座」
• 【関連記事】ウイルス対策はこれでカンペキ！　第1回　ダイレクトアクション・ウイルス「明日のためのウイルス講座」
• 【関連記事】トレンドマイクロ「ウイルスバスター2003 リアルセキュリティ」レビュー
• 【関連記事】トレンドマイクロ「ウイルスバスター2002」レビュー
• 【関連記事】ウィルス対策／ネットワーク管理レビューインデックス
• 【関連記事】トレンドマイクロ「Trend Micro GateLock X200」レビュー
• 【関連記事】TA／ルータ／無線LANレビューインデックス
• 【関連記事】ASCII24「新種ウイルス『W32/Nimda』の感染が急速に拡大」ニュース
• 【関連記事】ASCII24「トレンドマイクロ、“Nimda”ワーム対策ページを主要ISPサイト上などに増設」ニュース

(アスキー PC Explorer編集部・田代 靖裕)