スマートフォンやパソコンで使える利便性の高いソフトウェア、アプリに偽装し、個人情報や機密情報を不正に取得することを狙うスパイウェア。マルウェアの一種とされるが、感染源は外部だけでなく内部からの場合も少なくない。この記事では、スパイウェアの定義やその種類に加え、被害事例や対策についても解説する。
スパイウェアとは
スパイウェアとは、無害なアプリやソフトウェアに偽装し、ユーザーの許可なくさまざまな情報を窃取しようとするマルウェアの総称だ。正規のソフトウェアやスマートフォン(以下、スマホ)のアプリでは、サービス改善につなげることを目的に、ユーザーの操作履歴をサーバーへ送信するものが存在する。その場合、原則としてユーザーのオプトイン取得が前提となるが、中にはユーザーの許可なく、操作履歴を送信するケースもある。このような背景もあり、正規のアプリやソフトウェアと、スパイウェアとの線引きが簡単ではないというのが実情だ。
一般的な解釈としては、「ユーザーの知らないうちに」、「機密データのリモート監視」を行うものがスパイウェアと定義されている。
スパイウェアの種類
スパイウェアには大きく分けて「アドウェア」、「キーロガー」、「リモートアクセスツール」、「トロイの木馬」と4つの種類が存在する。
1)アドウェア
アドウェアとは主に、広告表示を目的とした無料のソフトウェアやアプリの総称である。ユーザーに広告を閲覧させる、あるいは特定ページへ誘導を図ることで収益を上げようとする。最近では、セキュリティアラートに偽装したものをはじめ、フィッシング詐欺などへの誘導を狙うものが増えているため、注意が必要だ。
2)キーロガー
キーロガーはユーザーのキーボード操作を監視・記録するソフトウェアである。本来はソフトウェア開発の際に使用され、誤入力の履歴を取得してサービス改善につなげるなど、ユーザーの利便性向上を目的としている。スパイウェアの場合、ユーザーのキーボード入力情報からアカウント情報などを詐取し、外部サーバーに送信して不正アクセスを試みることを目的とする。
3)リモートアクセスツール
パソコンを遠隔から操作するためのソフトウェアがリモートアクセスツールだ。本来の目的は、遠隔からシステムのサポートや社内端末を操作するといった場合が多い。スパイウェアの場合、ユーザーの許可を得ず、不正にユーザーの端末を操作して、情報の窃取などを行う。
4)トロイの木馬(バックドア型、リモートアクセス型)
有益なソフトウェアやアプリを装い、裏で悪意ある行動を行うマルウェアがトロイの木馬だ。感染後、リモートアクセス可能な経路(バックドア)を設置し、情報の窃取などの不正行為を行う。そのため、バックドア型やリモートアクセス型とも呼ばれる。
スパイウェアの感染経路
スパイウェアの主な感染経路は以下のとおりだ。スパイウェアの感染経路の特徴として「内部犯行」が挙げられる。同僚や近親者などの内部犯行もあり得る点には、くれぐれも注意する必要がある。
1)無料のアプリやソフトウェア
スパイウェアの感染経路として多いのは無料のアプリやソフトウェアのダウンロードによるものだ。App StoreやGoogle Playなど公式のアプリストア以外で配信されるアプリをダウンロードするのは極力避けるようにしたい。
2)メールの添付ファイルやURLをクリック
メール経由でスパイウェアに感染するケースも少なくない。標的型メールやフィッシングメールなどに記載されたURLをクリック、あるいは添付ファイルを開くことで感染に至ってしまう。
3)閲覧したWebサイト
メールなどに記載されたURLをクリックし、Webサイトを閲覧しただけで感染するタイプのスパイウェアも存在する。「ドライブバイダウンロード攻撃」と呼ばれ、主にOSやアプリケーションの脆弱性を悪用し、ユーザーの端末に侵入する。
4)内部犯行
先述のとおり、スパイウェアの被害は内部犯行に起因するものも少なくない。本人や管理者の知らない間に、キーロガーなどのマルウェアをインストールし、情報を盗み出すのだ。
スパイウェア感染によるリスク
スパイウェアに感染してしまうと、大なり小なりリスクが生じる。以下に4つの例を挙げていく。
1)機密情報、個人情報などの漏えい
スパイウェアに感染した結果、攻撃者からリモートアクセスされてしまうことで、端末内に保存された情報が漏えいする恐れがある。また、キーロガーによって、IDやパスワードなどのアカウント情報、端末のスクリーンショットの窃取、あるいはスマホのカメラを起動しての盗撮などが想定される。また、それらの情報がダークウェブ上で売買される危険性もある。
2)窃取した情報を悪用した金銭被害
スパイウェアで収集された情報を悪用した二次被害として、アカウント情報を悪用したなりすましが考えられる。ネットバンキングのアカウントを悪用して不正送金する、といった具合だ。また、収集したプライベートな写真や動画を悪用した脅迫などに発展する可能性も否定できない。
3)端末のパフォーマンスの悪化
スパイウェアが端末の状況を常時監視して、サーバーと通信を繰り返すことによって、端末の処理速度が悪化する恐れがある。端末の動作が遅くなるだけでなく、強制的なシャットダウンが生じる可能性もある。
4)不要な広告の表示
先述したアドウェアに感染してしまった場合、不要な広告が頻繁に表示されるようになる。場合によっては偽の広告から悪意あるWebサイトへ誘導され、さらなる被害に遭う可能性がある。
スパイウェアの被害事例
実際のスパイウェアの被害事例としてはどのようなものがあるのか、いくつかを紹介する。
1)不正プログラムでほか職員の情報を盗聴
2008年、ある自治体において、ほかの職員の端末にキーロガーなどのスパイウェアが勝手にインストールされるという事態が発覚した。端末の操作情報を、所有者の許可なく盗み見るという不正行為が行われた。
当該職員はほかにもユーザーIDやパスワードを不正利用し、ほかの職員のメールを盗み見ていたことが判明。スパイウェアを用いた犯行が内部からでも生じ得るということを裏付けた事例となった。
2)スパイウェアに起因する不正振り込み
2005年、ある銀行において複数の顧客が、スパイウェアに起因する不正振り込みの被害に遭遇した。被害総額は400万円弱。銀行の発表によると、顧客はメールの添付ファイル経由でスパイウェアに感染。スパイウェアによってパソコン内のパスワードや暗証番号などが窃取され、不正アクセスされるに至ったとみられている。なお、この時期、複数の銀行で同様の被害が発生している。
3)OSやアプリの脆弱性を狙うスパイウェア「Pegasus」
2021年、iOSやAndroid OSを搭載したモバイル端末の脆弱性を悪用し、著名人や政治家の情報窃取を企むスパイウェア「Pegasus」の存在が、ある調査にて明らかになった。このスパイウェアPegasusは、攻撃者によって送り付けられるURLをクリックしただけでインストールされてしまう。アプリの脆弱性を悪用することで、アプリ間でやり取りされるデータなど、あらゆるデータを窃取できる点が重大な問題とされた。また、ユーザーの操作なく、攻撃が行われてしまう「ゼロクリック攻撃」による被害がiOSのSMSにて確認されている。
スパイウェアへの対策
これまで述べたようにスパイウェアの感染によってさまざまな被害に発展する恐れがある。以下に具体的な感染対策を解説していく。
1)安易に無料のソフトウェアやアプリをダウンロードしない
スパイウェアは無料のソフトウェアやアプリに偽装して、ユーザーがインストールすることを狙っている。無料・限定といった煽り文句に惑わされず、信頼性に確証が得られない開発元からのダウンロード・インストールは極力控えるようにしたい。
2)アプリは正規のストア経由でダウンロードする
アプリをダウンロードする際、App StoreやGoogle Playなど、正規のアプリストア経由でのダウンロードに限定すること。非正規のアプリストアやWebサイトから直接配布されるアプリには、スパイウェアが含まれている恐れがある。仮にダウンロードする必要がある際は、信頼できる開発元かを必ず確認すること。また、正規のアプリストアであっても、不審なアプリが紛れ込む可能性はゼロではないという認識を持つようにしたい。
3)端末にセキュリティソフトを導入する
パソコンやスマホなどの端末にセキュリティソフトを導入すること。キーロガーやトロイの木馬、不正な遠隔操作を行うソフトウェアなどは、セキュリティソフトによって検出される可能性が高い。また、危険性が疑われるWebサイトへのアクセスを遮断する機能により、そうしたWebサイトへアクセスする可能性を軽減してくれる。
4)離席時や紛失時に備え、端末にロックをかける
スパイウェアを仕込まれるリスクは組織内部にもあるという前提に立ち、端末の画面ロック機能を有効にしておくこと。最近では、パソコンのWindows Helloをはじめ、顔認証・指紋認証などの生体認証が使える端末も増えている。生体認証を搭載している端末であれば、設定しておくことで安全性が高まる。
5)OSやアプリケーションを最新の状態に保つ
ソフトウェアは絶えず脆弱性が生じるという前提に立つべきだろう。さまざまな攻撃は脆弱性を悪用して行われる。また、ドライブバイダウンロード攻撃などに備えるという点を踏まえても、OSやアプリケーションをアップデートし、常に最新の状態に保つようにしてほしい。
スパイウェアからの攻撃を防ぐために
日々の生活やビジネスに、もはや不可欠となったパソコンやスマホ。それらの端末内には、個人情報や業務情報を問わず、機密性の高い情報が大量に保存されがちだ。仮に、それらが漏えいしてしまえば、深刻な被害に発展することは想像に難くないだろう。
スパイウェアはそうした漏えいを目的とする攻撃手法の1つであり、その攻撃元は外部からとは限らず、組織内部の犯行もあり得るのだ。そのような前提に立ち、端末の取り扱いには細心の注意を払う必要がある。また、適切にセキュリティ対策を講じるべきであるということは、もはや言うまでもないはずだ。
