
昨日の中国レノボPCによる危険ソフト問題、是は初期よりインストールされているソフトの問題だが、同様な問題はフリーソフトのインストール時にも多くの同様危険が有る事を貴方は知っていますか?。
以前、以下の様な記事も有りましたが、添付画像の様なインストール巧妙に誘導する様なソフトは幾らでも存在します。貴方は其れを回避してフリーソフトをお使いですか?。
この様な状況は、メジャーなフリーソフトにでも幾らでも見る事が出来ます。自分はチエックを入れてないので大丈夫と云う物では無く、最近はチエックを外さないと余計なソフトがインストールされてしまい、通常アンインストールでは外す事が出来ない物も有ります。
皆さん、ソフトのインストールには本当に御注意下さい。ソフトの使用にも普通に通信モニターが必要な時代です。メジャーなセキュリティーソフトを使っているので自分は大丈夫では有りません。
通常、アドオンはセキュリティーソフトでは検出されません。
----------
※ 無料ソフト、勝手に情報送信:
http://www.yomiuri.co.jp/science/feature/CO017291/20150626-OYT8T50041.html?from=yartcl_popin# 2015年06月09日 Copyright c The Yomiuri Shimbun
----------
【記事引用】
インストール巧妙に誘導
業務上の必要に迫られ、インターネット上で探してきた無料ソフトウェアをパソコンに入れたことのある人は多いだろう。
だが、中にはこっそりパソコン内の情報を外部に送る悪質なソフトもある。先月、政府機関や大企業を顧客にもつ大手プロバイダーが調べたところ、こうしたソフトによって社外秘のシステム情報などが大量に外部送信されていたことが分かった。
PCから「社外秘」流出も
侵入の手引書
「社員のパソコンから海外のサーバーに大量の情報が出ている」
首都圏の東証1部上場会社が、通信監視を依頼しているプロバイダー会社「インターネットイニシアティブ(IIJ)」からこんな通報を受けたのは先月下旬。
外部送信されていたのは社員の閲覧先サイトに関する情報だった。セキュリティー担当者は慌てた。その中には社内システムへのアクセス情報もあり、外部に秘匿しているシステムの名称やIDなども含まれているからだ。「いわば社内システムの“見取り図”。サイバー攻撃をたくらむ集団に渡れば、侵入の手引書になってしまう」。取引先には政府機関もあり、重要情報も扱っている。「日頃から様々なセキュリティー対策を講じているのだが……」と不安をにじませる。
「実は同様の現象がうちの顧客で大量に見つかっています」と打ち明けるのは、IIJの斎藤衛セキュリティ情報統括室長だ。原因は社員が社用パソコンに入れた無料ソフトだった。
「画像を大きく表示する」「ツールバーの使い勝手をよくする」など便利な機能をうたっているが、インストールすると利用者の情報を第三者に送信する仕組みだ。斎藤氏はそうした機能のソフトを9種類確認。うち二つはインストールの際に情報収集する旨の説明が表示されたが、七つの表記は意味が分かりにくく、「情報を取られることに気づかないまま入れてしまうだろう」とみる。
こうした情報送信ソフトは10年ほど前から目立つようになった。アドウェアやスパイウェアなどと呼ばれ、多くは集めた情報を広告などに利用しているとみられるが、悪意ある第三者に転送されれば不正アクセスや不正課金に使われかねない。
悪質化
手法は年々悪質化している。Aというソフトを入れたつもりなのに、一緒にソフトBが紛れ込んで入ってくる「抱き合わせ型」や、ダウンロードサイトの広告スペースにまるで正規のソフトのように置かれて、クリックを誘うタイプもある=図=。いったん入り込むと、自動的にアップデートして次々と他のソフトを勝手にインストールするものまで登場した。
不正なウイルスに近いように見えるが、こうしたソフトの多くはウイルス対策ソフトでは検知されない。「カスペルスキー」日本法人の研究員、前田典彦氏は「利用者にとって望ましくないソフトはなるべく排除するようにしている」としながらも、「限りなく黒に近いグレーでも、利用者が自らインストールしている場合、なかなか認定しにくい」と打ち明ける。
法の壁
刑法の不正指令電磁的記録(ウイルス)供用罪での立件事例も少ない。2012年にはスマートフォン内の個人情報を外部転送するソフト「ザ・ムービー」を提供していた会社の元会長らが警視庁に逮捕されたが、全員不起訴になった。同罪に問うには、ソフトの「利用者の意図に反した動作」が要件となるが、インストールの際にスマホ画面に「連絡先データの読み取り」という表示が出ていたため、「利用者が同意した」とみなされたとの見方もある。
これに対し、セキュリティーに詳しい森亮二弁護士は「日本ではムービー事件が不起訴に終わったこともあって、立件のハードルが高くなっているようだが、分かりにくい説明を少し書きさえすればウイルスでなくなるのでは不当だ。利用者が期待するソフトの機能と取得情報のギャップや、インストールを誘導する手法などを総合的に判断し、悪質なものは検挙対象とする必要があるだろう」と指摘している。
社員の情報 企業の一部
情報端末を通じて様々な個人の情報が発信される時代だが、その個人が「社員」であれば、その情報は企業情報の一部かもしれない。
例えば、仮にA社の社員1000人が位置情報を発信するソフトをスマホに入れていた場合、毎朝、本社ビルに集まればA社の社員であることが推測される。その移動状況を調べれば、A社の営業先が分かってしまうかもしれない。
IIJの斎藤氏は「審議中の個人情報保護法改正案では端末情報は保護対象外で、成立すれば個人の行動情報を把握しようという試みは増えるだろう」と指摘し、「利用者が個別の同意を行って発信する情報の中に、企業の秘密にあたる情報が含まれていないか、企業側も精査する必要があるのではないか」と話す。
ただ、ブラウザーに機能を追加する場合、資産管理ソフトでは検知できないなど、企業が組織的に社員のインストールを制御することが難しいケースもある。冒頭の上場企業のセキュリティー担当者も「社内規定では勝手なインストールを禁じているが、検証するすべがない」と嘆きつつ、「根気強く、社員のセキュリティー意識を高めていくしかない」と話している。(編集委員 若江雅子)
----------
(*ー‥ー*)」 イヨッ