スパイウェアとは？感染しても気づかない！？特徴と対策を解説

情報資産をサイバー攻撃から守ることは企業にとって重要な課題です。情報資産が外部に漏れることは企業の信用喪失、売上の減少に繋がります。 

近年、スパイウェアを使ったサイバーテロは増加傾向にあり、対策を怠った結果、個人情報が流出、サイトがダウンしてしまうなどの深刻な被害が後を絶ちません。 

本記事ではスパイウェアの特徴と企業への影響、その対策方法まで解説していきます。 

スパイウェアとは、マルウェアの一種でまるでスパイのように隠れながらブラウザの閲覧履歴やパスワードなどを収集して外部に送信する「悪意のあるソフトウェア」のことを指します。 

スパイウェアには「アドウェア」「キーロガー」「リモートアクセスツール」など複数の種類があります。中には自分をスパイウェアとして認識されないように偽装するタイプも存在します。共通しているのは秘密裏に個人情報を収集され続けるという点でしょう。 

2021年にはイスラエルの「NSO Group」が開発したスパイウェア「Pegasus（ペガサス）」が話題になりました。「Pegasus（ペガサス）」は特定の人権活動家、企業幹部、ジャーナリストなどのスマートフォンに侵入して彼らの行動を監視していました。 

驚くのは利用していたのがサウジアラビアやUAE、スペインなど50以上の国の諜報機関という点です。彼らは日頃の諜報活動にスパイウェアを活用していたのです。 

つまりスパイウェアは敵対する企業などにも有効な「ツール」として利用される可能性は十分にあり、日常的に監視され続ければ企業にとってもさまざまなリスク要因になるのは間違いありません。 

情報セキュリティについては、「情報セキュリティとは？押さえておきたい3つの基礎知識を紹介！」をご覧ください。 

企業内部の機器にスパイウェアが侵入するとどのような事態が起こるでしょうか。すでに説明したとおり、スパイウェアが行うのは情報収集です。つまり企業内部の機器がスパイウェアに感染してしまうと 

• ログイン情報の漏えい 
• 不正ログインによるなりすまし被害 
• 企業の内部情報の漏えい 

といった被害が発生すると考えられます。 

「キーロガー」と呼ばれるスパイウェアは、キーボードの入力情報を取得し送信するものです。組織の業務アプリケーション、インターネットバンキングなどのログイン時にどのキーを打ったのかを盗聴＆悪用されます。ログイン情報が漏えいすれば、攻撃者は企業内部の情報や銀行口座に不正アクセス可能になってしまいます。 

とくに個人情報が漏えいすれば、社会的信用の低下は免れません。被害は発見が遅れれば遅れるほど大きくなります。スパイウェアはさまざまなルートで感染するため、日頃から情報セキュリティ対策を徹底しておく必要があります。 

情報セキュリティ対策については、「重要度が高まる情報セキュリティ対策｜過去の事例や基本的な進め方を紹介！」をご覧ください。 

ここからはスパイウェアの感染経路を紹介していきます。スパイウェアの感染経路を知り、対策に役立てましょう。主な経路は以下のとおりです。 

• 不審なメールの閲覧
• フリーソフトのインストール
• 悪意のある広告やポップアップリンク
• 直接仕込まれる 

一つずつ見ていきましょう。

王道の侵入経路です。業務連絡のようなメールに偽装して添付ファイルを送付してきます。不正な添付ファイルやURLを不用意に開くとスパイウェアに感染します。 

世の中には便利なフリーソフトがたくさんありますが、多くのスパイウェアがフリーソフトのインストールに紛れて侵入してきます。注意深くソフトウェアをインストールする人は少数で、流れ作業で同意しているうちにスパイウェアが紛れ込んでしまうのです。 

製造元の怪しいフリーソフトはなるべくインストールしないようにすることが重要といえるでしょう。 

「あなたのパソコンはウィルスに感染しています。修復するためにはこちらをクリックしてください！」というメッセージが突然表示されたことはありませんか？Webサイトを開くと突然メッセージが表示され、不用意にクリックするとスパイウェアがインストールされます。 

突然のことに驚いてクリックしてしまう人間の心理を突いた手口です。こうしたメッセージを見ても慌てず、クリックしないようにしましょう。 

たとえば産業スパイが直接パソコンにスパイウェアを仕込む、ということもあります。誰が触ったかわからないパソコンでパスワードが必要なるWebサイトを利用するのはリスクがあるということを理解したほうがいいでしょう。過去にはインターネットカフェのパソコン複数台にスパイウェアが仕込まれていたという事件もありました。 

スパイウェアに感染しないためには、日頃の習慣からセキュリティを意識した行動を取ることが重要です。ここからはおすすめの対策をご紹介します。 

• 不審なソフトウェアをインストールしない 
• 覚えのない不審メールは閲覧しない 
• 怪しいサイトは閲覧しない 
• 怪しいポップアップ広告はクリックしない 
• セキュリティソフトで定期的なチェックを実施する 

一つずつ見ていきましょう。

聞いたこともないような個人、会社が作成した不審なソフトウェアはインストールを避けましょう。もしどうしても必要であれば、そのソフトウェアについて危険性がないか一度インターネットで調べてからインストールしてください。 

また、インストールする際には「おすすめインストール」のようなオプションは選ばないようにしましょう。こういったインストール方法は、こちらが必要ないソフトウェアも一緒にインストールするのが目的です。かならず「手動インストール」を選択して不要なソフトウェアからチェック外すようにしてください。 

少しでも違和感を覚えたら不審メールは閲覧しないようにしましょう。URLリンクや添付ファイルに気をつければ問題ないかというと、そうでもありません。閲覧するだけでもスパイウェアはもちろん、その他のマルウェアに感染する危険性があります。 

とにかく怪しいと感じたサイトはすぐに離脱することが大切です。訪問者にマルウェアを仕込むために作成されたWebサイトが存在します。訪問者はサイト内のリンクをクリックするだけでスパイウェアが仕込まれてしまうため、不審なサイトからはすみやかに離脱するようにしましょう。 

「アドウェア」と呼ばれるものに感染すると、パソコンが不要な広告をひたすら表示してくるようになります。その広告の中にはスパイウェアをインストールさせるものもあるので、怪しいポップアップ広告はクリックしないようにしましょう。 

セキュリティソフトでパソコンが健全な状態か定期的にチェックするようにしましょう。定期チェックを怠ってしまうと感染していることにも気づかずに時間が経過してしまいます。 

その間、スパイウェアはこちらの情報を収集し続けるのでいつの間にか被害が大きくなっている可能性があります。また、セキュリティソフトは常に最新の状態にしてください。ウィルス定義が古いと最新のスパイウェアを検出できない可能性があります。 

自社の情報資産を守るのであれば、ドスパラプラスでもお取り扱いのある「ISM CloudOne」などのクラウド型IT資産管理ツールを活用するのもおすすめです。マルウェアの検知＆隔離を行ってくれるのでスパイウェアなどのマルウェアが侵入しても即座に対応してくれるでしょう。 

ISM CloudOneの詳細は以下のページでご確認ください。

スパイウェアは侵入されても気づきにくいのが特徴で、知らない間に個人情報を収集・送信されてしまいます。特に企業内部にスパイウェアが入り込むと、自社情報・顧客情報の流出につながりかねません。

日頃から怪しいサイト・メールは閲覧しない、フリーソフトを安易にインストールしないなどの行動を意識することでスパイウェアの感染を避けるようにしましょう。