目次

1.身近に潜む「スパイウェア」の危険性
2.昨今大きく叫ばれるようになった「ビッグデータの価値」
3.ビッグデータになる前のデータの取得元はどこにあるのか
4.【事例】Baiduが犯した間違い
5.【事例】BLUブランドの端末が起こした二度の波紋
6.【事例】ベネッセ情報流出訴訟に見る
7.スパイウェアによるデータ通信を徹底的に管理するために
8.最後に

身近に潜む「スパイウェア」の危険性

セキュリティ担当者にとって、自社に流れている情報を管理し、不用意に情報が外部に出ていくのを防ぐことは責務です。しかし、ソフトウェアの中には勝手に情報を社外に送信しているものがあります。それが「スパイウェア」です。

スパイウェアとは、ユーザーの気が付かないようにそのユーザーの情報を送信しているスパイウェアの総称ですが、全てが悪意を持ってIDやパスワードを盗むようなソフトウェアというわけではありません。
たとえば、訪れたことのあるWebサイトの履歴からユーザーが興味を持ちそうな広告を表示するなど、マーケティング目的でも使用されています。
これらを総称してスパイウェアと呼んでいます。

ただ、悪意がある/ないに関わらず、スパイウェア的挙動をとるようなソフトウェアはしっかりと管理しなければなりません。
たとえ悪意がなくても、知らず知らずのうちに社外に情報が出ているという事態は避ける必要があります。それが「情報を管理する」ということなのです。

近年、フリーソフトやスマートフォンのアプリにはスパイウェア的な挙動を示すものが増えてきています。
一体それはなぜなのか、ひもとくためのキーワードは「ビッグデータ」です。
現代は大量なデータに金銭的価値が生まれている「ビッグデータ時代」といえます、誕生のバックグラウンドを理解し、中小企業のセキュリティ担当者はどう対処していくべきなのかを考えて行きましょう。

昨今大きく叫ばれるようになった「ビッグデータの価値」

ビッグデータとは、その名のとおり大量のデータのことです。
多くの人が持つWebサイトの閲覧履歴や位置情報の履歴などを含む膨大なデータのことを指します。
ビッグデータはそれ単体では単なるデータですが、分析をすることでさまざまな消費者行動を把握することができるデータとして、価値が上昇してきています。

ただ、ビッグデータの中には個人情報につながる情報や、もしかすると個人情報そのものが含まれている危険性があります。それにも関わらず、ビッグデータの取り扱いや売買には明確なルールが定められていませんでした。
そこで2017年6月26日に「データ流通推進協議会」という団体が設立されたのです。

協議会の目的は、ビッグデータを健全に取り扱い、売買を行うために企業や業界の垣根を越え、明確なルールを作ることにあります。
こちらは公共の団体ではありませんが、政府からも「データ流通に関わる事業者同士で管理をし合っていくべきだ」というコメントが発表されています。
ビッグデータの価値の上昇に従い、一つ一つの「個人データ」をどのように取り扱うべきなのか、明確にすることが求められているのです。

ビッグデータになる前のデータの取得元はどこにあるのか

気になるビッグデータの取得元は!?

ビッグデータの大本となる「個人データ」の取得元は、一体どこにあるのでしょうか?
大半は、たとえば電子マネーの使用履歴、交通系ICの移動履歴、ポイントカードの商品購買履歴などの、「ユーザーが使用したデータ」です。
日本国内においては、ユーザーの許諾なしにユーザーの個人情報を取得しないよう規制がされているため、ユーザーがしっかりと自衛していれば不安に思う必要はありません。

その一方で、マーケティング行動を左右するデータ――つまり、非常に精度と情報価値の高いビッグデータの取得元は「スパイウェア経由で集まった取得データ」である、という説があります。
ルールを無視したデータ取得方法のため、もちろんユーザーの許諾はとれていませんし、中には「個人情報」に該当するデータもあるかもしれません。
また、情報が「どこに」「どれぐらい」流れているのかも把握しづらくなっていて、全く管理ができなくなってきているのです。

法規制がないわけではないが、管理が追い付かない現状

このような無法状態を規制する法律が全くないわけではありません。
たとえば、検索履歴等のデータ取得やスパイウェアによるデータ収集についての規制として、2011年5月9日にアメリカで「オンライン追跡拒否法案」が、2011年2月18日に情報の最先端にいるカリフォルニア州でスパイウェアに関する法律を改正する法案が提出されました。
ただ世界的に見れば、スパイウェアを管理する体制ができているとは言いづらいのが現状です。
さらにコンピュータやモバイル端末だけでなく、さまざまなツールやシステムがインターネットを介するようになってきているため、管理が追いつかないという実情もあります。

実際にスパイウェアによって、あるいはスパイウェア機能を持たせたことによって大きな問題となった事例があります。振り返ってみましょう。

【事例】Baiduが犯した間違い

Baiduが2013年に起こした事件は、私たちが持つ「悪意を持っているスパイウェアだけが、私たちの情報を勝手に送信している」という認識を変えました。
また、もともとスパイウェア機能を持っていないソフトウェアやアプリでも、スパイウェアになりうる可能性があるということを、知ることになったのです。

まさかの日本語入力ツール「Simeji」からの情報流出!?

2008年に誕生したスマートフォン用のOS「Android」の日本国内の使用において、大きな問題がありました。それは、「変換機能の貧弱さ」です。
日本語の肝とも言える変換機能に支障があったため、日本でAndroid端末を利用する際には、サード・パーティ製の日本語入力ツールが必要不可欠である、とまで言われていたのです。

そこで生まれたのが、日本人が制作した日本語入力ツール「Simeji」です。
2009年に大手キャリアからAndroid端末が発売され広く出回るようになると、変換の精度が高かったSimejiはユーザーの間で話題となり、広く使われ始めました。

Simejiの爆発的なユーザー数の増加により、開発者は十分な利益を得ることができたのですが、そこに目を付けたのが、中国の大手検索エンジンである「Baidu」です。
BaiduはSimejiを買収し、Simejiの開発者もBaiduに移籍。大手企業の手が入ったことにより、変換機能の精度が上昇したり、絵文字や顔文字の汎用性が増したりと、さまざまな機能が拡充していきます。それに伴い、Simejiのユーザー数もますます増加していきました。

Baiduの謝罪から見るスパイウェア以外にも潜む流出の危機

しかし2013年に、とある疑惑のニュースが流れます。それは、「Simejiで入力した文字などの情報が、中国のBaidu本社に無断で送信されているのではないか」という疑惑でした。
Simejiの変換機能の精度はクラウドデータを利用することで向上されています。
ただそのクラウドの変換機能を利用するためには、Baiduのサーバを経由しなければなりません。
もしその際に、入力したデータが無断でBaiduに蓄積されているのであれば、セキュリティ上問題があるのではないか、という議論が巻き起こりました。

この問題では、「もともとスパイウェア機能がなかったにも関わらず、明確にスパイウェア機能を持ったと宣言しないまま、情報を無断で送信している状態であった」ことに非難が集中しました。
「情報を収集する機能をつけた」と明確にしていたら、ここまで大きな問題にはならなかったかもしれません。

【事例】BLUブランドの端末が起こした二度の波紋

BLUが起こした二度の問題

アメリカの格安SIMブランドとして有名な「BLU」は、2016年12月にとあるニュースで世間を騒がせます。
それは、「BLUが低価格で販売していた高性能スマートフォンが、スパイウェア機能を持っていた」というものでした。
中国の工場に生産を委託していたスマートフォンが、ユーザーに無断で入力情報や検索履歴などの情報を送信していたのです。
セキュリティの研究者等から大きく批判が集まり、BLUはさまざまな補償や対応に追われることとなります。

しかし事態はこれだけでは終わりません。
さらに2017年7月、アメリカのITメディアサイト「CNET」等で、「BLUが販売しているスマートフォンの中に、未だにスパイウェア機能を保有している端末が存在している」というニュースが流れます。
このニュースに対しては「誤報である。現在はそのような機能は搭載していない」と反論していますが、BLUのスマートフォンを販売していたAmazonでは「端末に不備がある」としてその販売が取り下げられる事態に。
さらに、日本で発売予定だったBLUのスマートフォンも販売中止に追い込まれました。

生産を海外の工場に委託することの危険性とは

こちらの一件の真相はわかりません。
ただ、BLUがスパイウェア機能を持たせるように指図した可能性はもちろんありますが、一方で生産を行っていた中国の工場が独断でスパイウェア機能を持たせた可能性もあります。

このように、現在主流となっている、自社で端末の設計を行い、生産は海外の委託企業で行うという販売体制においては、個人情報保護に関する基本的な意識が異なる場合が多く存在します。

さらに、「意識が異なれば異なるほど、販売企業がその内部のハードウェア・ソフトウェアを完全にコントロールするのは難しい」とも考えられています。
もちろんこの一件がそうであると決めつけるわけではありません。ただ、設計した企業側が十分に管理できず、下手をすれば意図していない機能を埋め込まれる可能性すらある、という認識は持っておく必要がありそうです。

【事例】ベネッセ情報流出訴訟に見る

ビッグデータとなったデータは、個人情報になりうるのか?

スパイウェアそのものの話からは逸れますが、収集されたデータは最終的にビッグデータとなり、マーケティングや分析などさまざまな目的で使用されることになります。

ここで不安になるのが、自分の個人情報がビッグデータのデータとなってしまうのではないか、という点ではないでしょうか?

ビッグデータを扱う関係者は、ビッグデータとなったデータは、「誰の」という情報を排除して一般化しているため、「個人情報保護の観点においては問題がない」と口をそろえて発言しています。
一方で、セキュリティ担当者や個人情報に関わる問題を取り扱う専門家の中には、「完全な一般化はできない」という見方をしている人もいるようです。
どこからどこまでが個人情報で、どこからどこまでが一般化されたデータなのかも曖昧なため、議論することも難しい状態にあります。
だからこそ、前述のとおり、ルール作りのための団体が立ち上がったのです。

未だ終息していない、2014年のベネッセ個人情報漏洩

近年、個人情報が関わるビッグデータやプライバシーデータの取り扱いについて、企業がしっかりと考えなければならないという風潮が高まってきました。
そのきっかけは、「ベネッセコーポレーションの個人情報流出問題に関する訴訟」の続報にあります。

2014年に発覚したベネッセの個人情報流出は、スパイウェアやビッグデータによるものではなく、顧客情報の管理者が悪意を持って個人情報を売却していた、という事件でした。
その対応として、ベネッセはユーザー1人あたりに500円の補償を行いました。

2014年の事件ではありますが、この事件は2018年4月現在、まだ収束していません。
個人情報漏洩の被害を受けたユーザーが、ベネッセに対して「個人情報漏洩に対する損害の補償金額としては低すぎる」として訴訟を起こしたのです。

一審、二審では原告側が敗訴しましたが、最高裁にて上告審弁論が行われることとなりました。二審の判決が覆される可能性がある、ということです。

ビッグデータの保有者は、自分の追う責任の明確化を迫られている

この事件で流出した個人情報はおよそ2989万件と、まさにビッグデータであると言えます。
今回は担当者が故意に流出させたものですが、もしセキュリティの穴をつかれて個人情報が盗まれてしまったら、ビッグデータの管理者に対してこのような訴訟が起こされる可能性があります。
回避するためには、ビッグデータのルールを策定することが重要です。
ビッグデータの保有者は、自身が管理している対象物に対してどのような責任を持っているか、明確にしなければならない段階にきている、と言えるでしょう。

スパイウェアによるデータ通信を徹底的に管理するために

スパイウェアによる通信は「しかたがない」??そんなことはありません

例示したSimejiやBLUのスマートフォンのように、スパイウェアは「いつ」「どのような」ソフトウェアやデバイス、アプリに紛れ込んでいるかわかりません。
だからといって、セキュリティ担当者は、スパイウェアによる通信を「しかたがないもの」と割り切るわけにはいかないのです。
なぜなら、その割り切りがいつどこで、重大な情報漏洩につながるかわからないからです。

企業においては、顧客の情報など、個人情報がサーバに蓄積されているはずです。そういった情報が知らず知らずのうちに漏れることのないよう、スパイウェア機能を持つソフトウェアがコンピュータ等に潜んでいないかどうかを把握する必要があります。

では、どのように管理をしていけばいいのでしょうか?大きく分けて、3つのポイントがあります。

不正な通信を見つける

意図していないタイミングでデータを通信していないかどうかを確認することが大切です。それは法人向けセキュリティソフトやファイアウォールの通信ログで確認することができます。もし意図していないタイミングでのデータ通信があれば、「海外のサーバに対して勝手にデータを通信するようになっていた」といった事例が考えられます。

ただ、たとえばドライバのアップデートのために海外のサーバにアクセスしている可能性などもあるので、一概に不正な通信であるとは言えませんが、原因を特定するよう動く必要があるでしょう。

許可されていないソフトウェアがインストールされていないか確認する

セキュリティソフトには、ログを見ることでユーザー(従業員)がどのようなソフトウェアを利用しているか知る機能を持つものもあります。
ただ、もし従業員が勝手にフリーソフトなどをインストールしているのであれば、その行為自体を管理する必要も出てくるでしょう。

業務の効率化、簡略化のためにフリーソフトを利用することは悪いことではありませんが、もし利用するのであれば明確なルールを定め、セキュリティポリシーに盛り込み、全従業員がそのポリシーに則って業務を遂行しなければなりません。
全社的なITリテラシーの向上を図りましょう。

ソフトウェアのスパイウェア機能を見つける

インストールしたソフトウェアがスパイウェア機能を持っているかどうかの判断は、不正な通信の見つけ方と同様、法人向けセキュリティソフトやファイアウォールの通信ログから行うほかありません。
しかし、データを送信されてからでは遅いと考えるべきであり、スパイウェアの侵入を未然に防ぐことが重要です。

そのためには、スパイウェアによる不正なデータ送信の挙動を検知してくれるセキュリティソフトが不可欠です。ヒューリスティック検知機能を持つセキュリティソフトであれば、未知のスパイウェアにも対応することができます。

意外な落とし穴・・・モバイル端末に気をつけろ

Android、iOSのモバイル端末アプリから収集されたデータを元にしたビッグデータの数も増えています。
GooglePlayStoreで公式に配信されているアプリの中にも、1,000以上のスパイウェア機能を持ったアプリがあったと言われています。
また、iOSのアプリストアにおいても、スパイウェアが発見されたという事例は後を絶ちません。

法人向けセキュリティソフトの中には、従業員のモバイル端末を管理する機能を持っているものがあります。そのようなセキュリティソフトを利用すれば、モバイル端末の管理がしやすくなるでしょう。

最後に

中小企業において、資産の活用やユーザ(従業員)の利便のためにフリーソフトの使用を認めたり、個人所有の端末をネットワークにつないだりすることは、決して悪いことではありません。

しかし、セキュリティ情報管理の観点から考えると、「フリーソフトはセキュリティの穴を生みかねない」ということは認識しておく必要があります。

大量のデータが集まったビッグデータが、多く流通している昨今。爆発的とも言える情報の氾濫を支えているのは、もしかしたらスパイウェアかもしれません。事実、スパイウェアの数は日に日に増しています。
もしかしたら、あなたが会社で使っているソフトウェアも、いつの間にかスパイウェア機能を搭載するかもしれません。

脅すわけではありませんが、そのような危機感は常に持っておくべきです。
自社がスパイウェアの被害に遭い、さらに顧客情報等を流出させてしまう。
その結果として多額の補償に追われる、といった事態に陥らないためにも、マルウェアだけでなくスパイウェアにも十分に注意を払い、正しく情報の管理を行うようにしましょう。