2005年10月08日 - 子供とスパイウェア、個人情報
先日雑談目的で行ったBBSにて、興味深い投稿があった。投稿者は未成年でかなり若いらしいのだが、連休中にスパイウェアに感染しパソコンをアダルト仕様にされ、エロいポップアップ広告が出て・エロいブックマーク満載にされ、それが親にばれて殴られたとの話だ。
厳密にこの投稿中の「スパイウェア」を論じれば、これはスパイウェアとその他のマルウェア(アドウェアやブラウザハイジャッカーなどを混同しているのだが、その点については説明は省く。
(いきなり子供に暴力を振るうのはどうかと思われるのだが。今回の論点はそのような問題ではない)
スパイウェアやブラウザハイジャッカー、アドウェアに感染し、その結果としてアダルトサイトへInternet Explorerの起動時に毎回強制的に接続させられたり、卑猥なポップアップ広告が表示される事例は、ここ数年で急増している。
これらの主な感染源は、3年ほど前まではほとんどはアダルトサイトであったように記憶している。そのためかつては「感染した=成人向けサイトを閲覧した罰だ」と言われたものだ。だから感染したとしても誰にも相談できず、泣き寝入りするかネット上の他人に質問掲示板にて相談するしかなかったようだ。誰だってリアルな知人に白い目で見られたくはないものだから。
確かに成人向けコンテンツやその他違法・非合法な情報が全く無いサイトを閲覧していた場合であっても、何かのマルウェアに感染させられる例はあるものだ。しかしながらどうも、このような例は日本国内では少ないようだ。
プライスロトで使われた後に流行したEXCEPTION(Trojan.JS.Offensive)などにより、第三者による改竄やサイト管理人が意図しない形で危険なコードを含むhtmlをアップロードした例はあるが。所謂「感染元」となるサイトが普通の問題がないサイトを装った例を、Lucaさんはほとんど知らない。
しかし最近は、成人向けコンテンツを全く含まない掲示板やブログを利用していたユーザーが、このようなマルウェアに感染する事例が急増している。これらは他のサイトへ自動書き込みツールを用いて(またはバイトを雇って手動で)、罠が満載のサイトのURI(リンク)を貼り付けて、何気なくそれを開いたユーザーのパソコンに感染させる手法だ。自分が参加するコミュニティに書かれた投稿で紹介されたサイトを疑う事もなく開いて感染、である。
(アダルト情報を交換するような場では扇情的なコメントで興味をそそらせるものが多いようだが、そのような騙しの手法については、別の機会に紹介する)
海外の話だが、一般的な情報を扱うサイトを閲覧しただけでもマルウェアに感染する例を調査したレポートがある。
記事中で特筆しているように、悪質な騙しサイトが子供向けサイトを装って存在しているのは驚くべきことだ。
拙い和訳で申し訳ないのだが、じっくりと読んでいただきたい。
同様に、子供をターゲッティングした悪質な業者の話を見つけた。米国のFTCが子供の個人情報を収集する業者に対するコメントを求めていると紹介した記事である。
COPPAについての解説は、ウォッチファイアさんのこの記事をみてもらいたい。これに限らず多くの有用な情報がある優良サイトなので、時間があればサイト全体をゆっくり閲覧してもらいたい。
WikiPediaにおいても、このような子供を狙った騙しの文言が紹介されている。
どうもよくわからない部分なのだが。子供を狙うのは、どのような理由に基づくものなのだろうか。
単純に感染者を増やす目的であるならば、これは相応に効果的である。何しろ子供は十分な判断力が無く、何かあった場合に適切な対応ができないのだから、そのような層を狙ってアタックするのはとりあえずは有効なターゲッティングである。
アフィリエイト業者が契約したサイトのアクセス数を増加させる目的で、騙しリンクを貼りまくるとか。これであれば「見かけ上の宣伝成功率?」がアップするので、悪質なアフィリエイトプログラムは成功するやもしれない。
実際に海外のマルウェア感染例にて、ブラウザハイジャッカーにより強制的に閲覧させられる先のサイトは実は全くの無罪であり、アフォリエイト業者とその宣伝手法等について知らずに契約したらば、その宣伝業者が悪質なトラップを含むサイトを用いてアクセス数を増やしていた可能性があるとの報告例があるのだが。情報の確度が高くないので、この場では紹介しないでおく。
しかしこれは、「旨みが無い」。
アクセス数が増えたとしても、実際の商品の購買に繋がらなければ、ありがたみが無いのだ。
それともこれらの子供向け悪質サイトは、本当の狙いは子供のネット利用履歴やその動向なのだろうか。
世の中にはWeb製作代行を業務とする業者が多数存在するのだが、ターゲットとする年代・性別・職業・そして場合によっては思想的背景を絞ってSEO(Search Engine Optimizer:検索エンジン最適化)やSEM(Search Engine Marketing)をアクセス数アップのためにやってくれる業者も居ると言う。これらが子供向けサイト作りのための参考資料を収集しようとしているのだろうか。
また子供向けの製品を販売している企業では、製品のマーケティング目的で子供の個人情報などは必須に思われる。
子供にはそれほどの購買力が無いとしても、それほど高額でない商品であれば、相応に高価はあるのだろう。
また親や親戚などは十分な金銭を持っているのだから、子供へのプレゼント商戦ではある程度の高額な商品の購入を促すのは有用である。
また今回紹介した海外の記事では、子供の個人情報そのものがターゲットであるように書かれていたのだが。
感染の経路は子供、そしてターゲットは他の家族(例えば親や年上の兄弟)である可能性もある。
つまり感染させるのは無警戒でネットの経験が浅い子供経由として。そして家族共用で使っているパソコンにしつこいアドウェア(Adware)やスパイウェア(Spyware)をインストールした後は、他の家族の個人情報やネットのブラウジング履歴を狙ったり。
またアドウェアによりいかがわしい商品を薦めるには、子供よりは実際に購買力がある他の家族に閲覧させるのが効果的である。
冒頭で紹介した、子供がアダルトサイトか何かを見たから感染したと思い込んでいきなり殴るのは、論外なのだが。
親は子供が何かの問題に直面した場合に、適切なアドバイスや対応ができるよう、常日頃から備えをするのが望ましい。
(しかし当座の問題として、親よりも子供の方がネット慣れしているような家庭も多かったりはするのだが)
大体マルウェアの感染なんて異常事態において、適切に振舞える「大人」なんてそれほど多くは無いものだ。
lessonさんのコメントによれば、子供向けの壁紙・スクリーンセーバー配布サイトを装い騙すサイトが存在するらしい。人気のあるアニメ番組のキャラクターなどで誘いこむようだ。
またあぴ♪さんよりは、大変示唆に富むコメントをいただきましたので転載。
家庭内にてどのように子供を指導していくのか、これは大変難しい課題ですね。
基本的にネットに対する自己防衛を指導出来ておらず、親の認識も甘い環境では、ターゲットになるのも当然だと思われます。又、子供向けのセキュリティに関する情報サイトはあまりにも面白みに欠け、自発的に読み切る子供は少ないと思いますし・・・。
子供のためのセキュリティ対策
スパイウェア(Spyware)対策と駆除
スパイウェア(Spyware)の解説と定義、概論
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-05-22 子供を狙うスパイウェアの影と個人情報保護(http://d.hatena.ne.jp/LucaLuca/20050522)を修正・加筆し移転したものです。
厳密にこの投稿中の「スパイウェア」を論じれば、これはスパイウェアとその他のマルウェア(アドウェアやブラウザハイジャッカーなどを混同しているのだが、その点については説明は省く。
(いきなり子供に暴力を振るうのはどうかと思われるのだが。今回の論点はそのような問題ではない)
健全に見えるサイトからの感染例
スパイウェアやブラウザハイジャッカー、アドウェアに感染し、その結果としてアダルトサイトへInternet Explorerの起動時に毎回強制的に接続させられたり、卑猥なポップアップ広告が表示される事例は、ここ数年で急増している。
これらの主な感染源は、3年ほど前まではほとんどはアダルトサイトであったように記憶している。そのためかつては「感染した=成人向けサイトを閲覧した罰だ」と言われたものだ。だから感染したとしても誰にも相談できず、泣き寝入りするかネット上の他人に質問掲示板にて相談するしかなかったようだ。誰だってリアルな知人に白い目で見られたくはないものだから。
確かに成人向けコンテンツやその他違法・非合法な情報が全く無いサイトを閲覧していた場合であっても、何かのマルウェアに感染させられる例はあるものだ。しかしながらどうも、このような例は日本国内では少ないようだ。
プライスロトで使われた後に流行したEXCEPTION(Trojan.JS.Offensive)などにより、第三者による改竄やサイト管理人が意図しない形で危険なコードを含むhtmlをアップロードした例はあるが。所謂「感染元」となるサイトが普通の問題がないサイトを装った例を、Lucaさんはほとんど知らない。
しかし最近は、成人向けコンテンツを全く含まない掲示板やブログを利用していたユーザーが、このようなマルウェアに感染する事例が急増している。これらは他のサイトへ自動書き込みツールを用いて(またはバイトを雇って手動で)、罠が満載のサイトのURI(リンク)を貼り付けて、何気なくそれを開いたユーザーのパソコンに感染させる手法だ。自分が参加するコミュニティに書かれた投稿で紹介されたサイトを疑う事もなく開いて感染、である。
(アダルト情報を交換するような場では扇情的なコメントで興味をそそらせるものが多いようだが、そのような騙しの手法については、別の機会に紹介する)
子供を狙うスパイウェア
海外の話だが、一般的な情報を扱うサイトを閲覧しただけでもマルウェアに感染する例を調査したレポートがある。
記事中で特筆しているように、悪質な騙しサイトが子供向けサイトを装って存在しているのは驚くべきことだ。
拙い和訳で申し訳ないのだが、じっくりと読んでいただきたい。
それにも増して一層心配なのは、子供向けのサイトが、閲覧者にブラウジングの習慣を追跡しサードパーティに機密性が高い情報を伝達できるコードがある点では、もっとも悪かったと研究で明らかになった点だ。
セキュリティ対策企業のSymantecは、tracking bugs(トラッキングクッキーなど、ユーザーのブラウジングの利用様態を把握する目的のもの)がどれだけピックアップされるのかをモニターするために、Windows XP SP2を新規インストールしたばかりのパソコンを使って、1時間かけてよく知られているスポーツ・子供向け・ゲーム(オンラインカジノか?)・ニュース・リセラー・ショッピング・旅行のサイトをサーフ(ブラウジング)した。
子供向けウェブサイトでは、ブラウザ(Internet Explorerなど)の設定を変えてポルノのポップアップ広告を作成できるような359のアドウェア・3つのブラウザハイジャッカーがあり、最も悪い結果であった。
驚くことではないが、ゲームサイト(オンラインカジノ?)は高い件数でアドウェア・スパイウェア・ブラウザハイジャッカーを伴い、そして旅行サイトがそれに近い件数で続いた。
Kids’ websites worst for adware and browser hijackers(Luca訳)
同様に、子供をターゲッティングした悪質な業者の話を見つけた。米国のFTCが子供の個人情報を収集する業者に対するコメントを求めていると紹介した記事である。
最近我々はBen Edelmanがそこらかしこで記したように、アドウェアをインストールし子供に対して商品の販売促進をしているサイトの事例を幾つか見た。
Wayne Porterは「子供達は拘束力がある契約書に書名できるのか?」と問う。(原文中のkontractsはcontractsの誤記と思われた)
極めて興味深いのだが、FTC(Federal Trade Commission:連邦取引委員会)は現在、子供達のオンラインプライバシールールに関するコメントを要請している。
連邦取引委員会は親の同意を得るに当たっての、COPPA法(児童オンラインプライバシー保護法)において欠落している(子供への)アプローチ方法に関するコメントを募集しており、それは子供から集めた情報をどのように利用されるべきなのかを考慮に入れるだろう。
Kids’ websites worst for adware and browser hijackers(Luca訳)
COPPAについての解説は、ウォッチファイアさんのこの記事をみてもらいたい。これに限らず多くの有用な情報がある優良サイトなので、時間があればサイト全体をゆっくり閲覧してもらいたい。
児童オンラインプライバシー保護法 (COPPA) は、13 才未満の子供から個人情報をオンラインで収集、利用する場合の保護規定を連邦取引委員会 (FTC) が発行し実施するための法律です。
この法律の目的は、子供から個人情報を収集、利用する際には事前に親の同意を得ることなどを義務付けることにあります。
「児童オンライン プライバシー保護法 (COPPA)・(ウォッチファイア)(http://www.watchfire.com/jp/legislation/coppa.asp)」
WikiPediaにおいても、このような子供を狙った騙しの文言が紹介されている。
ある典型的な、子供をターゲットにしているスパイウェアプログラムは、以下のような謳い文句で自分をインストールするように誘っている。
このソフトはあなたの友人ないし親友として、あなたと一緒にインターネットを探索します! あなたのどの友人とも違い、話したり、歩いたり、冗談を言ったり、閲覧したり、検索したり、eメールを送ったり、ダウンロードしたりすることができます!好きな製品の値段を比べ、お金を貯めることさえできます! その上、タダなのです!
スパイウェア - Wikipedia
子供を狙う理由
どうもよくわからない部分なのだが。子供を狙うのは、どのような理由に基づくものなのだろうか。
単純に感染者を増やす目的であるならば、これは相応に効果的である。何しろ子供は十分な判断力が無く、何かあった場合に適切な対応ができないのだから、そのような層を狙ってアタックするのはとりあえずは有効なターゲッティングである。
アフィリエイト業者が契約したサイトのアクセス数を増加させる目的で、騙しリンクを貼りまくるとか。これであれば「見かけ上の宣伝成功率?」がアップするので、悪質なアフィリエイトプログラムは成功するやもしれない。
実際に海外のマルウェア感染例にて、ブラウザハイジャッカーにより強制的に閲覧させられる先のサイトは実は全くの無罪であり、アフォリエイト業者とその宣伝手法等について知らずに契約したらば、その宣伝業者が悪質なトラップを含むサイトを用いてアクセス数を増やしていた可能性があるとの報告例があるのだが。情報の確度が高くないので、この場では紹介しないでおく。
しかしこれは、「旨みが無い」。
アクセス数が増えたとしても、実際の商品の購買に繋がらなければ、ありがたみが無いのだ。
それともこれらの子供向け悪質サイトは、本当の狙いは子供のネット利用履歴やその動向なのだろうか。
世の中にはWeb製作代行を業務とする業者が多数存在するのだが、ターゲットとする年代・性別・職業・そして場合によっては思想的背景を絞ってSEO(Search Engine Optimizer:検索エンジン最適化)やSEM(Search Engine Marketing)をアクセス数アップのためにやってくれる業者も居ると言う。これらが子供向けサイト作りのための参考資料を収集しようとしているのだろうか。
また子供向けの製品を販売している企業では、製品のマーケティング目的で子供の個人情報などは必須に思われる。
子供にはそれほどの購買力が無いとしても、それほど高額でない商品であれば、相応に高価はあるのだろう。
また親や親戚などは十分な金銭を持っているのだから、子供へのプレゼント商戦ではある程度の高額な商品の購入を促すのは有用である。
また今回紹介した海外の記事では、子供の個人情報そのものがターゲットであるように書かれていたのだが。
感染の経路は子供、そしてターゲットは他の家族(例えば親や年上の兄弟)である可能性もある。
つまり感染させるのは無警戒でネットの経験が浅い子供経由として。そして家族共用で使っているパソコンにしつこいアドウェア(Adware)やスパイウェア(Spyware)をインストールした後は、他の家族の個人情報やネットのブラウジング履歴を狙ったり。
またアドウェアによりいかがわしい商品を薦めるには、子供よりは実際に購買力がある他の家族に閲覧させるのが効果的である。
子供を守るためにできる事・やらねばならない事
冒頭で紹介した、子供がアダルトサイトか何かを見たから感染したと思い込んでいきなり殴るのは、論外なのだが。
親は子供が何かの問題に直面した場合に、適切なアドバイスや対応ができるよう、常日頃から備えをするのが望ましい。
(しかし当座の問題として、親よりも子供の方がネット慣れしているような家庭も多かったりはするのだが)
大体マルウェアの感染なんて異常事態において、適切に振舞える「大人」なんてそれほど多くは無いものだ。
旧ブログへのコメントより
lessonさんのコメントによれば、子供向けの壁紙・スクリーンセーバー配布サイトを装い騙すサイトが存在するらしい。人気のあるアニメ番組のキャラクターなどで誘いこむようだ。
またあぴ♪さんよりは、大変示唆に富むコメントをいただきましたので転載。
家庭内にてどのように子供を指導していくのか、これは大変難しい課題ですね。
基本的にネットに対する自己防衛を指導出来ておらず、親の認識も甘い環境では、ターゲットになるのも当然だと思われます。又、子供向けのセキュリティに関する情報サイトはあまりにも面白みに欠け、自発的に読み切る子供は少ないと思いますし・・・。
関連記事
子供のためのセキュリティ対策
スパイウェア(Spyware)対策と駆除
スパイウェア(Spyware)の解説と定義、概論
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2005-05-22 子供を狙うスパイウェアの影と個人情報保護(http://d.hatena.ne.jp/LucaLuca/20050522)を修正・加筆し移転したものです。
