 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > Spywareについて | |||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
| HOME > SecuTool > Spywareについて | |||||
Internetで販売されている製品の多くはSharewareとFreewareに分類される。Sharewareは一定期間の試用後に製品代金をカードや振込みなどで支払えばレジストナンバーが発効され購入となるのだが、最近アングラなサイトでレジストナンバーが不正に公表されて購入者が減少することとなった。
またインターネット広告を発行している会社ではサイトを見ている訪問者が興味をもっている広告バーナーを表示しないと、バーナーをクリックしてもらえる率が低くなり、ただ単に表示しているだけとなってしまう。しかし訪問者にアンケートを呼びかけて興味ある分野を知ろうとしてもも反応は極わずかだ。
そこで出てきたのがADwareとよばれるバーナー広告の表示を行う代わりに使用するのは無償とした製品である。ここでもただ闇雲にバーナーを表示していたのでは広告効果は得られない。そこでADwareのインストール時に年齢、職業、興味のある分野を入力させる。それをサーバに送信して適したバーナーを表示させるものがでてきた。CydoorやRadiate(Aureate)といったものだ。
しかしこれだけではインストール時に嘘の情報を設定したり、何も設定をしなければ正しい情報をバーナーサーバに送信できない。ADwareは既にDisk上にインストールされたアプリケーションなので、ユーザーのDisk内は好きなように参照することが出来る。それならインターネットの履歴を見たりCookieを参照して、ユーザーがどういったサイトを廻っているのか、本当意興味があるのは何なのかを判断してサーバに送ることが出来る。やろうと思えばメールの内容や他のファイルも参照が可能だ。
本当にそんなことをしてバーナーサーバに個人情報を送っているのかは不明だが、やっていないと断言できない。これがSpywareと呼ばれる所以である。注意しなければいけないのはADwareとは目的のプログラム+広告表示用のプログラムとなっていることだ。つまり有名なReGetでもDownloadするためのToolであるReGet本体とCydoorなどのSpywareが組み合わされて一つの製品となっているが、プログラムは別と言う場合が多い。簡単にまとめてみよう。
| Adware | 広告を表示することで無償で使えるソフトウェア。広告の内容はユーザーが初期設定で選んだり、サーバから送られる内容を表示するだけのケースもある | 危険性は無い |
| Spyware | 表示する広告の内容はインターネットの訪問履歴やCookieをサーバに送信する。サーバはユーザーの動向から興味のある分野を分析してり、適切な広告を配信する | Cookieにはパスワードを含むものもあるので危険 |
ここで問題となるのは
このようにとSpywareとトロイの木馬の区別は非常にあいまいである。これがSpywareが嫌われ、問題視されている理由である。
ではこれらのSpywareに対抗するための手段をみていく。
まずSpywareを削除してFreewareだけが使用可能かということだが、これについては
これらのことを考えて、一番いいのはADware自体を削除して使用しないことである。しかし使い勝手がいいToolにSpywareが仕組まれていることが多いので、できれば手放したくない方も多いだろう。そこで筆者が考える対策は
(1)で動かなくなるADwareは少ないはずだ。また問題があってもすぐにもとにもどせる。Spywareを完全に包含しているADwareなら「許可しない」に出来ないのでSpywareの動作を完全に防ぐことは出来ない。(4)で動かなくなるADwareは多いだろう。
Cydoorでは名前、住所、などの個人情報の収集は行っていない.。ましてや政治信条、宗教に興味はない(広告表示に関係ない)。年齢、性別、職業、趣味&興味の分野については情報を集めている。また集めた情報を他者に渡すようなことはしない。以上がCydoorのサイトに明記してある。
個人を特定できるような情報は送っていないし、サイトで収集した情報を公開したり他者に渡したりしないそうだが、もし将来Cydoor社が倒産もしくは解散となったとき、その蓄積されたデータの処分方法に関してCydoor社は責任を持たないはずだ。つまり債権者が勝手に持っていこうと、他者が悪用しようとも・・・
Cydoor.exeという名のTrojanが現れたらどうなるのか?実際のCydoorと区別がつくはずも無い。唯一違うのはデータの送り先がCydoorのバーナーサーバかどうかという点くらいだろう。
実際の送受信の内容
Download Accelerator Plusを起動したまま1時間放置して、どんなやり取りを行っているのかを観察してみた。15分おきにads1.speedbit.comに接続していることがわかった。
起動時のads1.speedbit.comへの接続とデータのやりとり
[PC→] GET /cgi-bin/ads9.dll?R=0&DAUI=29946371&M=1&C=T1322-P2053-H1140&V=4.0.0.1&NR=0
[PC→] HTTP/1.1..Host: ads1.speedbit.com..Accept:
*/*..User-Agent: DA 4.0..Connection: close..Range:
bytes=0-....
[speedbit→] HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Date:
Mon, 14 May 2001 11:23:56 GMT..Connection:
close..
[speedbit→] ..;Build1756..2,3909,29946371,,SecondMedia,0,0,450,20,10..5672,30,10,500,
[speedbit→] http://st.valueclick.com/ad.s/a0036755.gif,
[speedbit→] http://redir.speedbit.com/click.asp?ID=5672..5673,30,10,1000,
[speedbit→] http://www.websponsors.com/leads/ebates/468X60_non$3_1_468.gif,
[speedbit→] http://redir.speedbit.com/click.asp?ID=5641..5541,30,2,500,
[speedbit→] http://redir.speedbit.com/click.asp?ID=2562..#300,0,0,0,0,
[speedbit→] http://www.speedbit.com/DAPfriend.asp,Tell
a friend about DAP,0..
15分後のads1.speedbit.comとデータのやりとり
[PC→] GET /cgi-bin/ads9.dll?R=0&DAUI=29946371&M=1&C=T1322-P2053-H1140&V=4.0.0.1&NR=4&KA=1&B5115=0$11&B5621=0$11&B5633=0$11
[PC→] HTTP/1.1..Host: ads1.speedbit.com..Accept:
*/*..User-Agent: DA 4.0..Connection: close..Range:
bytes=0-....
[speedbit→] HTTP/1.1 200 OK..Server: Microsoft-IIS/5.0..Date:
Mon, 14 May 2001 12:23:36 GMT..Connection:
close..
だいぶ省略しているが、パケットの内容は以上のような感じだ。実際のメールアドレスや名前や住所といった内容は含まれていない。ただGET時に送信されるパラメータの内容の記号が何を意味しているのかは分からない。
以上がSpywareについての考察だが、結論は「便利なツールはそれなりのリスクも存在する」ということだ。世の中無償ツールばかりではソフトウェア産業は成り立たない。
Personal Firewallなどで個人ユースでは無償というツールも会社や教育機関では有償となっている。つまりメインターゲットは会社や学校といった有償のユーザーなのだ。そのためSpywareのように広告表示も個人情報の送信といった行為も必要としていない。