分析テクノロジー業界では、マルウェア、アドウェア、スパイウェア、ランサムウェア、そして愛称で知られるPUP(潜在的に迷惑なプログラム)など、不正なソフトウェアを表す用語が数多く存在します。しかし、マルウェアとそれほど脅威的ではない用語との間には、必ずしも明確な違いがあるわけではありません。
カナダのモントリオールにあるコンコルディア大学の研究者2人、ザビエル・デ・カルネ・デ・カルナヴァレ氏とモハマド・マナン氏は、今月プレプリントサーバーArXivで配布された研究論文の中で、Wajamと呼ばれるソフトウェアの場合、こうしたカテゴリの区別によって、アドウェアが悪意のあるコードと同じ信頼できない手法に依存していることが分かりにくくなっていることを示している。
「アドウェアアプリケーションは一般的にマルウェアほど脅威とは考えられていません」と研究者たちは述べ、アンチウイルスアプリケーションがアドウェアコードを「非ウイルス」「リスクウェア」「迷惑プログラム」「PUP」と分類していることを指摘する。「結局のところ、広告の表示は悪意のある行為とはみなされていません。そのため、アドウェアはマルウェア研究コミュニティからそれほど厳しく監視されていません。」
カナダの専門家らは、ブラウザのトラフィックに広告を挿入する Wajam が、Zeus バンキング型トロイの木馬で見られるブラウザ プロセス インジェクション攻撃 (マン・イン・ザ・ブラウザ)、分析回避および回避技術、ルートキットで見られる検出回避機能、セキュリティ ポリシーのダウングレード、データ漏洩など、マルウェアで使われる技術を使用しているため、変更が必要であると主張している。
また、過去4年間、このコードには脆弱性が存在し、それを使用することで、任意のコンテンツインジェクション、中間者攻撃(MITM)、リモートコード実行(RCE)の危険にさらされてきました。しかし、セキュリティ企業は「マルウェア」という用語を軽々しく適用することに依然として慎重です。これは、疑わしいソフトウェアを開発した企業が訴訟を起こしてきた歴史があるためです。2005年、スパイウェア企業のZango(現在は倒産)が、自社のソフトウェアを「マルウェア」と呼んだとしてZone Labsを提訴したことを思い出してください。
「アドウェアとマルウェアの境界線はグレーゾーンだ」と、コンコルディア大学で情報システム工学の博士課程に在籍するデ・カルネ・デ・カルナヴァレット氏は、金曜日にザ・レジスター紙に宛てた電子メールで述べた。
「実際、用語は過去15年間で進化してきました。侵入型アドウェアは、個人情報や機密情報を収集するため、スパイウェアとみなされていました。これは、アンチウイルス企業を訴えたアドウェアベンダーの好みではありませんでした。現在では、これらの企業は単に『アドウェア』または『潜在的に迷惑なアプリケーション』という用語を使用しています。」
その結果、ウイルス対策企業も研究者も、アドウェア問題を、例えばランサムウェアよりも優先度の低いものと位置付け、無視する傾向さえあります。私たちは、この問題に再び注目が集まることを願っています。アドウェアは依然として存在し、以前よりもさらに大きな影響力を持つようになっています。
彼は、自身の論文がアドウェアの脆弱性にも触れていると付け加えた。「深刻な脆弱性を抱えている可能性があり、それを報告したり修正したりする動機が誰にもないのです」と彼は述べた。
そのサンプルを何してるの?
ドゥ・カルネ・ドゥ・カルナヴァレ氏は、モハマド・マンナン教授と共同で、2013年から2018年にかけて、広告インジェクター「Wajam」(長年にわたり様々な名称で呼ばれてきた)の52のサンプルを収集し、その時系列的進化を研究した。これらのサンプルには、最先端のマルウェアに通常見られるものよりも高度な分析回避機能やルートキットのような機能が含まれている。
同紙によると、モントリオールを拠点とするワジャム・インターネット・テクノロジーズが開発したワジャムは、2011年10月に初めてリリースされ、2016年5月にSocial2Searchにブランド名が変更され、さらに2017年8月にSearchAwesomeに改名された。
2016年と2017年に、カナダのプライバシーコミッショナー事務局(OPC)が同社とそのソフトウェアを調査し、カナダ個人情報保護および電子文書法(PIPEDA)の複数の違反を発見しました。OPCは違反を是正するための一連の勧告を行いましたが、結局、同社は香港に拠点を置くアイアンマウンテン・テクノロジー・リミテッドに資産を売却することになりました。
カナダOPCの広報担当者はThe Registerに電子メールで送った声明の中で、同機関はワジャムの研究論文とそのソフトウェアの分析を認識していると述べた。
「私たちの調査は、より狭いプライバシーの観点からこの問題を検証しました」とOPCの広報担当者は述べた。「調査の結果、この機能はソーシャルメディア検索を可能にするというよりも、アドウェアと関連していることが判明しました。言い換えれば、このソフトウェアの目的はユーザーに広告を配信することであり、特定の法的原則に従って行われる限り、それ自体はPIPEDAに違反するものではありません。」
「一方で、私たちは一般的にマルウェアを、コンピュータユーザーとそのデバイスに害を及ぼす可能性のある悪意のあるソフトウェアと捉えています」とOPCの広報担当者は付け加えた。「マルウェアには、コンピュータウイルス、スパイウェア、ランサムウェアをインストールしたり、コンピュータをボットネットに組み込んだり、暗号通貨のマイニングに繋がったりするなど、様々な種類のプログラムが含まれます(ほんの一例です)。」
OPCの広報担当者は、ワジャムのプライバシー慣行のいくつかがPIPEDAに違反していると述べた。例えば、同社がソフトウェアのインストールについて意味のある同意を得ていなかったこと、そしてその結果、個人情報が収集・利用されたことなどが挙げられる。OPCはまた、同社がソフトウェアのアンインストールを困難にし、ユーザーの個人情報を保護するための措置を講じなかったことで、ユーザーが同意を撤回することを妨げていたことも認定した。
それは消えない
これらの調査結果にもかかわらず、8年経った今もワジャムは偽名を使い、別の管轄区域で生き続けている。レジスター紙はアイアン・マウンテン・テクノロジーにソフトウェアについて相談したいとメールを送ったが、返答はない。
「広告は本質的に悪いものでも、悪意のあるものでもない」とカルネ・ド・カルナヴァレ氏は述べた。「Wajamが表示する広告も悪意のあるものとしては知られていない。しかし、Wajamはユーザーの閲覧履歴やダウンロード履歴、そしてユーザーが行うすべての検索クエリなど、個人データを安全でない方法で収集するため、悪意のある広告とみなされる可能性がある。」
Wajam、Social2Search、SearchAwesome のユーザーが、ソフトウェアの仕組みや情報収集方法を理解していれば、現状のような動作を許可するかどうかは疑わしいと彼は指摘する。
Android関連:1億5000万台の携帯電話やガジェットに「アドウェアだらけ」のモバイルシミュレーターゲームがインストール
続きを読む
電子フロンティア財団の上級スタッフ弁護士アンドリュー・クロッカー氏は、レジスター紙との電話インタビューで、マーケターやサイバー犯罪者に加え政府機関でも現在一般的に使用されている不正ソフトウェアは、アドウェアやランサムウェアといった接頭辞で区別するのではなく、共通の動作で探すべきだと一部の同僚が主張していると語った。
「ユーザーの意に反して、あるいはユーザーの知らないうちにソフトウェアをインストールするのがマルウェアの行為だ」と同氏は述べ、法的に争う可能性のある手段として、コンピュータ詐欺・濫用防止法、盗聴防止法、電子通信プライバシー法を指摘した。
アドウェアをめぐる注目度の高い訴訟はいくつかあり、最近では昨年、レノボが自社のPCにSuperfishアドウェアを配布したとして730万ドルの和解金を勝ち取った。しかし、法執行機関は、クレジットカード窃盗犯や政府データベースの不正侵入犯ほど熱心にブラウザ履歴窃盗犯を追及するわけではない。
アドウェアの脅威を軽減するために、アドウェアをインストールしようとしている人に警告するための努力をさらに行う必要があり、デスクトップ プラットフォームでもモバイル デバイスのユーザーに提示されるものと同じ許可の開示の一部を採用する必要がある、と de Carné de Carnavalet 氏は主張しています。
「誰かが『望ましくないプログラム』を書くのを止めることはできません」と彼は言った。「しかし、そのようなプログラムはより真剣に検討され、より適切に検出される可能性があります。」®
