スパイウェア(spyware)」についての記事を読んだ。元々は政府や法執行機関がテロリストや重大犯罪者を追跡するための「正義のツール」として開発されたが、いまやその建前は揺らいでいるという内容だ。世界中でジャーナリスト、活動家、野党政治家といった「監視されるべきでない人々」が標的にされる事例が次々と明らかになっているという。
象徴的なのがイタリアで起きた最新のスキャンダルだ。左派系政治家を支援するコンサルタントの端末から、イスラエル企業Paragonが開発したスパイウェア「Graphite」が検出された。攻撃の対象が「国家の敵」ではなく、ごく一般の政治関係者だったという事実が、多くの人を驚かせた。イタリアのような国が、そのようなことを行なっていることが驚きだ。
市民の端末が容易に監視対象となる背景には、スパイウェアのビジネス構造がある。NSOグループなどの企業は、政府に一括購入型で技術を提供し、同時監視可能なターゲット数に応じて価格を設定する。人権が尊重されていない国ほど、より多くの標的を同時に監視できる、高機能パッケージを導入しており、結果として対象者が拡大しているという。
スパイウェアとは、利用者の端末(スマホ、PCなど)に密かに侵入し、端末内の情報を収集・外部に送信したり、端末操作を監視したりするソフトウェアの総称だ。今の高性能スパイウエアは、以前は一度に数人を追跡する程度だったのに対し、現在では数百人規模の監視が可能になっているそうだ。
例えば、メッセージの内容、通話記録、位置情報、カメラ・マイクの起動まで可能なものがあるというから怖いものだ。商用スパイウェアでは、「ゼロクリック攻撃( victim が何も操作しなくても感染する手法)」なども確認されているという。
スパイウェアには大きく二つの系統がある。
- 政府・法執行機関向けスパイウェア:国家や警察、諜報機関が導入するケース。
- 商用/民間スパイウェア:監視用途で販売・提供される民間ベンダーによる製品。これが最近、政府だけでなく多様なクライアントに販売が拡大。
技術的には、「キーロガー(キー操作を記録)」「バックドア(遠隔操作/侵入口)」「ゼロクリック/ファイルレス攻撃(マルウェアがファイルとして検知されにくい)」といった専門用語が登場するが、基本的には感染に気づかずデバイスが丸ごと見られてしまうということだ。
個人で気をつけること
幸いにも日本では政府がスパイウエアを使っていることはないと思うし、使うことはないと信じたいが、一般市民として、スパイウエアの被害を防ぐための対策・意識は自分の情報を守るために必要だ。そのためには、以下のことに気をつけなくてはいけない。
- 端末・アプリの最新状態維持 OS・アプリが最新であれば、既知の脆弱性からの侵入リスクを減らせる。
- 不審なリンク・アプリのインストール回避 特にゼロクリック攻撃では被害者の操作不要で感染するケースもあるが、不審な SMS やメール、アプリは避けることが得策。
- プライバシー設定・監視検知機能活用 機種によっては「ロックダウンモード」や不審な通知を出す機能がある。Apple なども商用スパイウェアによる被害例を警告している。
スパイウェアはもはや国家の特殊な機関だけが使う道具ではなく、民間ベンダーを介し、あるいは犯罪グループを含め、一般市民にも影響が及ぶ技術へと一般化してきた。スパイウェアの最大の脅威は、誰が監視を受けているか分からない点にある。ただし、確実に言えることは、スパイウエアを使うということは、一般市民にとっては明らかな悪意を持つ行為者ということだ。つまり犯罪者だ。
それゆえ、監視されない安心できる環境を技術だけでなく制度・社会的観点からも考える必要がある。世界の多くの政府や関連機関が現実にスパイウエアを使って市民を監視していることは事実であり、そのスパイウエアの技術は犯罪者にも使われる可能性を常に意識する必要があるだろう。その意味では、AppleやAndroidの様な企業もスパイウエア対策には盤石にして欲しいものだ。
