2006年10月31日 - Tracking cookieはスパイウェアではない - スパイウェア対策ソフトメーカーの姿勢への疑問
多くのスパイウェア対策ソフトウェアはクッキー(Cookie)をスパイウェア(Spyware)として検出し、また方々で「トラッキングクッキーというスパイウェアに何十件も感染していました」などの相談を散見する。
「何十ものSpywareに感染し、どうしょうも無い!」と知人に泣きつかれ調べたらCookieだった、そんな体験はないだろうか? - そもそも何故に、あるソフトウェアでは「悪質なもの」として検出され、他のソフトウェアでは検出されないのか?
(ちなみに過去に自分が直接対応した限りでは、「何か」に感染していた最高記録の事例であっても、100ファイルを超えるのは稀だ - Cookieの大量検出とブラウザのキャッシュ、そして既存ファイルを書き換えるものを除けば)
このブログエントリを読む際には事前に予備知識を得るためにクッキー(Cookie)の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー(Semplice)を軽く流し読みしてもらいたい。
冗長な本文の前に、具体的な検出例を紹介しよう。
Tracking Cookie配布元企業のうち、著名な5つをピックアップ。Internet Explorerのプライバシー設定を中-高として配布元企業サイトを閲覧し、Cookiesを作成した。
http://www.webtrends.com/
http://www.valueclick.com/
http://www.100hot.com/index.html
http://www.doubleclick.com/us/
http://www.excite.com/
可視化するためにIE用Cookieエディタにて表示。
ウイルスバスター 2007のスパイウェア検索の結果である。なおウイルス検索ではトラブルが起こったため中止とした。
またトレンドマイクロ社のウイルスバスター オンラインスキャンにては何も検出されなかった点を付記する。
CA インターネット セキュリティ スイート 2007を導入し、CA Anti-Spywareでスキャンした結果である。
CA Anti-Virusでは何も検出されなかった。
(脅威レベルがLowとlowの2つなのは不思議)
ここで質問だ。このパソコンはTracking Cookieなるスパイウェアに感染しているんだろうか?
Tracking CookieがSpywareであるとの主張に対しては、日本国内での個人レベルにては否定的見解が多く見受けられる。
多くの事例では「Tracking CookiesというSpywareが検出されました!どうしたらいいんでしょうか。。。。。」との初心者層がよく遭遇する焦ったコメントに対し、「さほどの心配は無いんだよ、うん」のようなやりとりで終結するが、何故に無視しても良いのか・ならどうしたらば良いのかについての言及は、それほど多くはないようだ。
X-Cleanerの販売元である株式会社ネクステッジテクノロジーが運営するSpywareGuideにて、坂本堪亮氏による追跡クッキー (サードパーティ クッキー)について(スパイウェアガイド)とクッキーはスパイウェアではない(スパイウェアガイド)なる、クッキーに関する素晴らしいガイドがある。
(知識や経験の奥深さが伝わってきますね、凄い方ですよ)
坂本氏が記載した、Japan internet.comの記事より転載する。多少長くてすいません。
坂本堪亮氏は他の記事中にてFTCやSPY ACTを引き合いに出しているけど、ASCによる定義に関する見解なども伺いたいものです。
Cookieの話題からは多少ズレてしまうんですが、アンチウイルスソフトメーカーの一部は「どうでもいい下らないもの」を検出対象とし、表示される検出カテゴリを「トロイの木馬」やその他の「それは幾らなんでも嘘でしょう!なカテゴリ」なるものとし、エンドユーザーの不安感を必要以上に煽り、結果として消費者に製品の購入を強要している。
Tracking Cookieに限らず「下らないもの」を検出対象に含めスパイウェアであると宣伝すれば得をすると考えるメーカーも多々あるようだ。
Microsoftによる解説にては、Cookieとスパイウェアによる個人情報の流出について論じた上で、スパイウェアについて以下のように解説している。
Symantec社ではTracking Cookieを「その他のセキュリティリスク」とし、Tracking Cookie(Symantec)にシンプルな解説を掲載している。
海外に目を向ければ、著名なセキュリティ対策専門家であるBenjamin Edelman氏は2006年9月、アンチスパウイウェアソフトごとによるTracking Cookie検出に関する興味深いレポートを掲載したのだが(後述)、前置きとして大変示唆に富む解説をしている。
一部を抜粋して和訳し、転載しよう。
訳者より短く断りを。Benjamin Edelman氏はTracking Cookieによるプライバシー関連の問題は否定しておらず、彼がこれまで扱ったスパイウェアによる問題の深刻さとの対比として、このように記載している。
。。。。。。どうもやりづらいな。自分が考えていた論点を坂本氏とBenjamin Edelman氏にほとんど指摘され尽くされてしまった感がある。
二番煎じとなるのは、なぁ。
では論点を変えて、今回のメインテーマ - メーカー側の対応について考えてみたい。
第一に対策側メーカーは何を何故に検出対象とするのかは、大抵の場合不透明である。
個別の検出対象ごとの技術情報が存在しない場合も多々あるだろう。
第二には、スパイウェアではない軽微な問題を「とりあえず対応した方が良いよ」とレポートするのはあながち不適切な姿勢では無い点だ。多少話しがずれてしまうが、多くのアンチウイルスソフトウェアは、Windows OSの脆弱性を突く攻撃を検出対象としている。
スパイウェア対策ソフトによる検出結果画面のGUIにて「スパイウェアが検出されました!」なる固定化された文字列の下に「スパイウェアではないものの対処した方が望ましいもの」が掲載されるのは、メーカーの姿勢が詐欺的とか扇情的とまでは言えないだろう。その一点においては、メーカーを責めるべきではない。
(ただし、検出カテゴリの分類名と、それよりリンクされている技術情報は適切なものとする必要があるだろう)
第三として、Tracking Cookieをメーカーによる技術情報や解説中にて堂々とSpywareに含めるのは、やり過ぎだし暴走行為だ。
検出対象に含めるか否かと、メーカーの技術情報中にてスパイウェアに含めるべきか否かは、全く次元が異なる問題である。
「Tracking Cookieはスパイウェアではない!」と論じるならばまずは、メーカーによるFUD(恐怖(fear)・不安(uncertainty)・疑念(doubt)を煽り立てる悪質な商法)と判別するために、検出対象とするか否かではなく、そのメーカーによるドキュメントと定義付けを閲覧し判断しなければならないのではないだろうか。
ある不審なソフトウェアをA社はスパイウェア(狭義)、B社はスパイウェア(広義)、C社はトロイの木馬として検出対象とするのも、よくある話だ。
(やや込み入った分類話については、マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)(Semplice)を参照してもらいたい。)
クッキーをスパイウェアとして扱うべきか否かを論じる前に、広義のスパイウェアを考慮しなければならないだろう。多少込み入った話だが、ご甘受願いたい。
アンチウイルスソフトやアンチスパイウェアソフトの製造・販売元ごとに、スパイウェアの定義や扱い、つまりはある難儀なプログラムをどのカテゴリに含めるのか・検出対象とするのか。判断基準はメーカーごとに大きな乖離がある。
スパイウェアの定義がメーカー毎に異なり混沌としている状況にて、ASC(Anti-Spyware Coalitionm)なる団体が迷惑なソフトウェア・または関連技術について区分・整理し定義づけた。
ここで一つ、不可思議な事態が生じた。
ASCは狭義のスパイウェア(従来の・ある意味で本当のスパイウェア)のみならず、スパイウェアでも何でもない多くのもの - 一例としてTracking Cookieなど - を広義のスパイウェアとして区分してしまった。「スパイウェアではないものを、スパイウェアとして扱いたがるメーカー」に追随したのだろうか。
「広義のスパイウェア」は、一部の対策側メーカーにより不適切に利用されているテクニカルタームだ。メーカーサイトに掲載される場合はわざわざ広義なる説明は付記されず、スパイウェアと単独で呼称される。
自分は以前より、「広義のスパイウェア」を(それほどの脅威が無いものまで含め)都合に合わせ利用するような一部のウイルス対策ソフトメーカーの姿勢は単なるFUDに過ぎず、瑣末な問題を重大なトラブルであるように消費者を誤解させ、製品の購入を強要する目的に過ぎないのではとの疑念を持っている。
メーカーによっては広義の意味と狭義の意味を意図的に混同・または意図的に誤り、運営上メーカー自身にとって望ましいような区分(より消費者の不安を煽りやすい区分)で扱っている。
(FUDについてはFUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング(Semplice)参照のこと)
(広義のスパイウェアに関しての詳細は、ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義(Semplice)と、スパイウェア(Spyware)の解説と定義、概論(Semplice)を読み返していただきたい)
繰り返しになるが、ASCは特に断りが無ければスパイウェアとは広義のスパイウェアを指すとした。
結果として「当社ではスパイウェアは広義のスパイウェアなるカテゴリで扱っております」と言われたらば、一部のCookiesをスパイウェア(広義のスパイウェア)として扱う企業のマーケティング優先・とりあえず消費者の不安を煽って製品を購入させてしまえ的な姿勢に対して、反論は難しくなったとしても過言ではない。
Tracking Cookieをスパイウェアとして扱うべきか否かとの論点には、重要な課題が一つ残っている。
ASCのAnti-Spyware Coalition Definitions and Supporting Documents中には「Examples of Spyware and Potentially Unwanted Technologies(スパイウェアと潜在的に望ましくは無い技術)」なるリストがあり、広義のスパイウェアとして扱われる。
ページ末尾にUnauthorized Tracking Cookies (無許可のトラッキングクッキー)なる項目が掲載されているのを確認してもらいたい。
見落とされがちな部分であるが、多少読み替えて解説しよう。
ASC(Anti-Spyware Coalitionm)は消費者の許諾を得た上で導入されたTracking Cookieは、(広義の)スパイウェアには含めていないのだ
対策ソフト販売者は、一体どのようにしてサードパーティのTracking Cookie利用について消費者の許諾の有無を判別するのだろうか?サードパーティクッキーは、Tracking Cookieと同義ではない。
Tracking Cookieの利用をサイト運営者が閲覧者に(積極的ではないが)アナウンスした極めて少数の例外はmixiである、ただ「アナウンスした」と「利用者より許諾を得た」と完全に同義ではない点は誤解しないでいただきたい(行動ターゲティングサービスとmixi)。
(ブラウザの設定画面よりサードパーティのCookieをブロックしてなければ許諾した事になるだって?そんな事は無い)
許諾の有無を確認せず・Tracking Cookieであるのか否かを確認せずに、サードパーティクッキーをスパイウェアとして扱うならば、ASCの定義とは主旨を異とする。
現実の問題として、エンドユーザーの許諾を得ずに入り込むサードパーティCookieをリスク評価も無くASCの広義のスパイウェアに含めるのは、無理があるのだ。
では話と視点をガラッと入れ替えてみよう。そう、一部メーカー側の視点だ。
サードパーティクッキーをTracking Cookieとして扱い、Tracking Cookieを(広義の)スパイウェアとして扱うならば、メーカーは独自に調査した上で、「許諾の有無」を確認しなければならない。
そんな事はわかっているって?いや、君は全くわかっていない。
不思議な話として、一部のメーカーは検出対象となったTracking Cookieに関する個別の技術情報を「全く」掲載していないのだ。
これでは適切な評価が行われたのか否かを、利用者は判断できないだろう。「何か企んでいるのか?」と不信感を持たれるのは当然だ。
まさか、サードパーティクッキーである・もしくは広告代理店が発行したクッキーであるとの理由のみで、スパイウェアとして検出対象に含めたんではないよね?
全く説明が無いままでは、「壷買いませんかー」との怪しい霊感商法と同じではないか。
Tracking Cookie・Advertising Cookie(広告クッキー)をどう料理するのか。そもそも何をTracking Cookieとし、何をリスクが無いCookieとするのか。
最終的には対策メーカーがどれを検出対象とし・どれを検出対象としないのかとの判断基準は、メーカーによる個別の・独自のものとなる。
君は何かの対策ソフトにて検出されなかったものが、他のソフトウェアで検出された経験は無いだろうか?
Remnant (レムナント)*ではなく単純に、A社のソフトウェアで見過ごされていたスパイウェアと称される何かが、B社のスパイウェア対策ソフトで検出された**などの事例だ。
大多数の場合は、これらはTracking Cookieである。
(*Remnant:ウイルス感染ファイルなどを修復した際に残存した、カス。)
(**False PositiveなのかFalse Negativeを判断する情報なり材料は、大部分の場合はエンドユーザーには与えられていないのが現状だし、検出対象とする判断基準は多くの事例にて明瞭ではない)
Benjamin Edelman氏らによる2006年9月のレポートによれば、以前よりネット上のフォーラムにて言及されていた問題、つまり対策側メーカーによる対応はバラバラ・時にはメチャクチャなのではとの議論を裏付けた。
Cookies Detected by Anti-Spyware Programs: The Current Status
(文章は英語であるが、表や図が多く英語が十分にわからなくても直感的に理解できる内容である。一読して損は無いし必ず君の後日のために役立つ話なので、是非とも閲覧していただきたい)
具体的なテストの手順は、このような手法のようだ。
1)ブラウジングやクッキーの設置を妨げるソフトウェアを導入していないWindowsXP SP2のバーチャルマシンを準備
2)ネットワークスニッファを利用し、クッキーの設置を確認
3)対策ソフトウェアは最新の状態にするため更新し、デフォルトの設定で利用
#ネットワークスニッファを利用する所からして完璧主義ですよね、彼らって。
Benjamin Edelman氏のテスト結果を眺めると、あるCookieが検出対象として扱われるのか否かは驚くほどメーカー間でバラバラであり、一貫性が全く無い点に驚かされる。
結果を単純に解釈できないし、背景を理解するのは一筋縄ではいかないだろう。
検出できなかったメーカーはあるTracking Cookieの存在を知らなかったのか?もしくは定量的評価としてとあるTrackig Cookieを検出対象としなかったのか?
。。。。どうなんでしょうかね?
スパイウェア対策ソフトウェア・または従来はアンチウイルスソフトメーカーのスィート製品(複数の役割を果たす製品を包括したもの)におけるスパイウェア検索機能を利用し、スキャン終了後の画面にて「スパイウェアが検出されました」と表示する。そこにTracking Cookieとして表示すれば消費者は「あぁTracking Cookieはスパイウェアなんですね」と思い込みがちなのではなかろうか。
この場合はメーカー側は、Tracking Cookieに対し適切な説明をし、何故に検出対象としたのか・どの程度のリスクが存在するのかに関する技術情報を、検索し何かが表示されたスキャン終了画面より、消費者が容易にアクセスでき・見つけられるような状態で公表すればよいだろう。
適切な説明に容易にたどり着けるようにしておけば、「スパイウェア対策ソフトウェアにより検出されたから、クッキーはスパイウェアであり、とんでもなく多大な危害を与えるものだ」と思い込む方は減るだろう。
ウイルス対策ソフトではどうだろか?この場合はスパイウェア対策ソフトメーカーとは事情は異なるのではと、自分は考える。
何故ならば検出対象を検索画面にて例えば「スパイウェア検索中」などとと表示するか否か・技術情報にて「スパイウェア」に何かを含め表記するか否かの自由度は、ある意味でスパイウェア対策ソフトと比較し大きいからだ。
彼らはTracking Cookieを検出対象に含めたとしても、スパイウェアなるカテゴリに含めずにユーザーの誤解を避ける機会はスパイウェア対策ソフトウェアよりはある意味で多く、そのまま単なるTracking Cookieとして扱える。スパイウェアではなく「どうでもいいもの」とか「その他の脅威」として説明する機会がスパイウェア対策ソフト以上に与えられているだろう。
だがスパイウェア対策機能を備える製品を販売しているウイルス対策ソフトメーカーがドキュメント中にて、Tracking Cookiwをスパイウェアとして記載するのは、これまた全く異なる問題である。そのような場合はメーカー側による「意図的な混同」と捉えるより解釈のしようがない。
スパイウェア対策ソフトウェアがデフォルトで堂々と、検索結果画面にてスパイウェアの表示と共にTracking Cookieと表示される点は仕方ないだろう。。。。その点には自分は十分に理解を示す
だがスキャン結果画面にて「スパイウェアが検出されました」と表示したとして、一部メーカーはその後がいけませんな。
検出された項目をダブルクリックして表示されたページにはろくな情報もなく・場合によっては検出対象となった個別のTracking Cookieに関するページも無い。メーカーの解説ページにてTracking Cookieがスパイウェアとして記載されている。そんな一部メーカーはあまりにも不審でいかがわしいのだ。
一例としてトレンドマイクロ社は不正クッキーなる独自用語を利用しており、ウイルス対策基礎知識 - 用語集にはCookieに関する説明が掲載されていないものの、「不正クッキー」解説ページが存在する。
毎度の事ながら、メーカー独自の妙な単語や解釈を増やすのは止めてもらいたい。TrendMicro社はTracking Cookieに限らず、意図的に分類・区分を混同させるダブルスタンダード的な姿勢をとっている。
ウイルスバスターとトレンドマイクロ社は大変不思議だ。スキャン後の画面よりダブルクリックしても、大多数の場合トレンドマイクロ ウイルスデータベース-検索結果なる画面と「0 検索内容.」「お探しのウイルス情報はデータベースに見当たりませんでした」と表示されるだけである。
。。。。。。。検出対象とした判断基準・Tracking Cookieであるとした理由は何ですか?何故に堂々と技術情報として表示されないんですか?
ウイルスバスターのスパイウェア検索機能にて堂々とTracking Cookieをスパイウェアと表示するのだから、相応の説明をするべきである。
これがCA(Computer Associates International, Inc. ・コンピュータ・アソシエイツ)なると、また事情が異なる。
CAによるスパイウェア拡大解釈は、広義のスパイウェアではなくペストか?(Semplice)にても紹介したが、CAはPestPatrol社買収後のゴタゴタのためか、技術情報がかなりメチャクチャであり、やや悪い言い回しだがどうしょうも無い状態だ。
ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ(高木浩光@自宅の日記)なる指摘もあるが、そもそもCAでは「何でもかんでもスパイウェア」として扱っているため、検出対象とするスパイウェアに関するドキュメントには技術的な裏づけが全く無い。
ウイルス対策ソフトメーカーとスパイウェア対策ソフトメーカーは、エンドユーザーに対して適切かつ十分な説明を行うべきである。
Tracking Cookieそのものに関する説明は対策メーカー間ではさほどの違いは無い。
しかし何故に一部のメーカーはスパイウェアとして扱い・またスキャン後表示される画面なり技術情報にて、必要以上に・なおかつ不適切に消費者の不安感を煽り、製品の購入を結果として強要するんだろうか。
このような行為は、FUD(消費者の不安感を必要以上に煽り立てる悪質なマーケティング手法)に過ぎないだろう(FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング(Semplice))。
Tracking Cookieをして「スパイウェアが検出されました!」と表示し、ろくな説明を提供しないのは、消費者の判断材料を奪っている。
検出されたものの詳細情報を見るため、検出画面よりクリックして表示されたメーカーサイトのページが情報不足・時には無い場合は?
技術情報にてTracking Cookieがスパイウェアに含まれている場合は?その理由は?
あえてドコ宛てとは明記しませんが、多少センシティブな話を。
Tracking Cookieを(広義の)スパイウェア・もしくはメーカー独自の基準としてのスパイウェアとして扱い、なおかつろくな説明を消費者にしないならば、端的に答えてもらいたい。
ASCの定義では、ユーザーの許諾の有無を広義のスパイウェアに含めるべきか否かの判断材料としている。某社では「ユーザーの許諾の有無」を、どうやって判断しているんですか?説明できないならば「広義のスパイウェア」なる定義を利用しているとの説明には齟齬なり乖離があります。
ASCに加盟しながら、全く独自の定義にて「下らないどうでもいいもの」をスパイウェアとして技術情報に掲載するのは、何故なんでしょうか?
し「メーカー独自の基準でスパイウェアに含めています。当社が言うところのスパイウェアは狭義ではなく広義の意味でのスパイウェアです」と回答なされるならば、貴社が参加するASCのドキュメントとはあまりにもかけ離れていますね。
(ASC:スパイウェア等の用語の定義を定めた団体。詳細はCurrent ASC Members(ASC)(Semplice)参照)
改善するとしたらば、検出対象とする際には明瞭な判断基準を備え、検出レポート画面中にて消費者の不安を必要以上に扇情しないよう表示し、ドキュメント中にてTracking Cookieはスパイウェアに含めず別のカテゴリとして扱うのが理想的だろう。
まぁ、ほら、あれだ。「どうでもいいもの」をスパイウェアとして宣伝してきた企業姿勢は、簡単には変わらないだろう。
はてな上で2006年9月20日、はてな上でアンケートを行った。回答数は500件。「とりあえずポイントゲット(24件)」と「ビスケットの親戚のようなものですか? (23件)」の二つを有効回答より除く。
クッキー・一部のクッキーをスパイウェアだとの回答は33+29件=62件33+229件=262件、クッキーはスパイウェアではないとの回答は143件である。3つの回答205405件より求めれば、約7035%がクッキーはスパイウェアではない、約3065%がクッキー・または一部のクッキーをスパイウェアであると回答した。
アンケート回答者はどのような層であり、どんな経験があるのだろうか?あなたのパソコン歴・ネット歴は何年ですか?(人力検索はてな)と別のアンケートを行った結果、90%以上の回答者は5年以上の経験が備わっていると回答したのだ。
(同じアンケート中にて個別の質問項目として行うべきであった点は反省)
得られた回答より、対策ソフトウェアによりTracking Cookieをスパイウェアと表示されても動揺しないと考えられる層は、クッキーはスパイウェアではない(143件)と一部のクッキー(トラッキングクッキー等)はスパウェアだ(29件)であり、有効回答中の68%であった。
(2008年4月6日追記:ブログ主の主観に極度に依存する解釈であり、取り下げます)
あなたのパソコン歴・ネット歴は何年ですか?(人力検索はてな)との別のアンケートを行った結果、90%以上の回答者は5年以上の経験が備わっていると回答した。ならば「クッキーをスパイウェアとして検出されても動揺しない層」の比率はもっと高くても不思議ではないのだが。。。。。
自分はこのアンケート結果にかなり当惑したのだよ。
場を改めてアンケートを行うにしても、多くの課題を残した。「何故にTracking Cookieがスパイウェアではないと考えるのか」についての言及を求めるべきであったのだ。
ウイルス対策ソフトやスパイウェア対策ソフトはTracking Cookieを検出対象とするな、などとは宣言しない。だが一部のメーカーがスパイウェアの語感の悪さを利用し、スパイウェア対策ソフト利用者に誤解を招き、過度の不安感を抱かせる現状はどうにかならないのだろうか。
彼らの狙いは製品の購入を強要するためなのか?はっきり違うと答えられるならば、メーカーは企業の姿勢なり技術的評価にて、多くの点を改善しなければならない。
狭義のスパイウェアのリスクは、広義のスパイウェアやメーカー独自の解釈(つまり何でもアリ)と単純に比較できるものではない。
メーカーが宣伝目的にて「何十・何百件ものスパイウェアが検出されました」などと宣伝するのは・また調査会社が「何十%ものパソコンにスパイウェアが!」と扇情的な記事を掲載するのは、単なる水増し行為に過ぎずお行儀が悪い。
と言っても、Tracking Cookieは検出対象とするべきではないと言い切っても良いのか?
重篤な脅威がある危険なクッキーが出現した際に検出対象としないのは、ユーザー保護の観点からは望ましくはないだろう。
Tracking Cookieはスパイウェアに含めず、独自のカテゴリとして扱うのが理想的だ。
自分はスパイウェア対策ソフトが検出結果画面にて「スパイウェアが検出されました!」と表示し、その中にTracking Cookieが並ぶのは、別の問題であるとし一定の理解を示している。
対策ソフト利用者側がTracking Cookieを重篤な脅威と即座に思い込んでしまうのは、この部分に限定して考えるならば、早計であるし慎重さが不十分なのだろうか。
だが検出結果画面におけるカテゴリ表示やリスク評価、また検出結果画面中よりダブルクリックし表示されるメーカーサイトの解説ページが無い・不十分であるならば、消費者の判断材料を事実上奪っている。そのようなメーカーは解決しなければならない課題が多いだろう。
メーカーのスパイウェア関連技術情報にてTracking Cookieに十分な説明をしているならば、「某社は消費者の不安を必要以上に煽り立てた!」との非難には当てはまらないようにも思える。
だが「消費者に提示する情報を不十分なままとした」「表示した脅威のリスクを消費者が過大評価するよう誘導した」ならば、消費者保護の観点より責められても仕方ないだろう。
クッキー(Cookie)の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー
CA認定のスパイウェア撲滅隊隊長眞鍋かをりは、何時何で何件検出したのだ?
Cookiesを削除するだけの目的でソフトウェアを購入するべきではない
一連のCookie関連原稿も最終的には1000行を超え、文章の海に溺れておりましたが、やっと一段落。
exさんよりは有意義なアドバイスを幾つもいただき、視野が大変広がりました。Sakaiさんよりは初心者が勘違いしやすい事例として多くのアドバイスをいただきました。miyasatoさんよりは消費者とメーカーの視点が乖離している等と、自分が考えもしなかった多くのアドバイスをいただきました。
2008年4月7日 はてなでのアンケート集計の数字が間違っていた点をUniさんより指摘され修正。連絡ありがとうございます。
「何十ものSpywareに感染し、どうしょうも無い!」と知人に泣きつかれ調べたらCookieだった、そんな体験はないだろうか? - そもそも何故に、あるソフトウェアでは「悪質なもの」として検出され、他のソフトウェアでは検出されないのか?
(ちなみに過去に自分が直接対応した限りでは、「何か」に感染していた最高記録の事例であっても、100ファイルを超えるのは稀だ - Cookieの大量検出とブラウザのキャッシュ、そして既存ファイルを書き換えるものを除けば)
このブログエントリを読む際には事前に予備知識を得るためにクッキー(Cookie)の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー(Semplice)を軽く流し読みしてもらいたい。
スパイウェア対策ソフトによるTracking Cookie検出
冗長な本文の前に、具体的な検出例を紹介しよう。
Tracking Cookie配布元企業のうち、著名な5つをピックアップ。Internet Explorerのプライバシー設定を中-高として配布元企業サイトを閲覧し、Cookiesを作成した。
http://www.webtrends.com/
http://www.valueclick.com/
http://www.100hot.com/index.html
http://www.doubleclick.com/us/
http://www.excite.com/
可視化するためにIE用Cookieエディタにて表示。
ウイルスバスター 2007のスパイウェア検索の結果である。なおウイルス検索ではトラブルが起こったため中止とした。
またトレンドマイクロ社のウイルスバスター オンラインスキャンにては何も検出されなかった点を付記する。
CA インターネット セキュリティ スイート 2007を導入し、CA Anti-Spywareでスキャンした結果である。
CA Anti-Virusでは何も検出されなかった。
(脅威レベルがLowとlowの2つなのは不思議)
ここで質問だ。このパソコンはTracking Cookieなるスパイウェアに感染しているんだろうか?
Tracking Cookieがスパイウェアではない理由
Tracking CookieがSpywareであるとの主張に対しては、日本国内での個人レベルにては否定的見解が多く見受けられる。
多くの事例では「Tracking CookiesというSpywareが検出されました!どうしたらいいんでしょうか。。。。。」との初心者層がよく遭遇する焦ったコメントに対し、「さほどの心配は無いんだよ、うん」のようなやりとりで終結するが、何故に無視しても良いのか・ならどうしたらば良いのかについての言及は、それほど多くはないようだ。
X-Cleanerの販売元である株式会社ネクステッジテクノロジーが運営するSpywareGuideにて、坂本堪亮氏による追跡クッキー (サードパーティ クッキー)について(スパイウェアガイド)とクッキーはスパイウェアではない(スパイウェアガイド)なる、クッキーに関する素晴らしいガイドがある。
(知識や経験の奥深さが伝わってきますね、凄い方ですよ)
坂本氏が記載した、Japan internet.comの記事より転載する。多少長くてすいません。
セキュリティ強化と利便性の低下
技術的に、クッキーはスパイウェアではありません。クライアントコンピュータに残るクッキーには、スパイウェアとなるプログラムコードやスクリプトは入っていないからです。
しかし、アンチスパイウェアの多くは、クッキーをスパイウェアとして検出します。クッキーは現在ほとんどの Web サイトで使われている技術で、ユーザーのサイトでの利便性を高めたり、ユーザーを見せたい情報に誘導するために欠かせない技術のひとつです。
クッキーはスパイウェアではない
時々、アンチスパイウェアベンダーは、製品販促を優先するためか、無実のものも脅威としてユーザーの恐怖心を煽っているように感じます。
例えば、ベンダーは、クッキーをスパイウェアとしてシグネチャ データベースに登録することで、シグネチャファイルを簡単に大きくすることができます。アンチウィルスの DB データ登録件数を多く見せる方法に加えて、クッキーをシグネチャに追加することで、多く見せることは簡単です。つまり、「xx社のアンチスパイウェア製品はxx万のデータベースがあります」と、優位性を見せることができます。
インターネット上の Web サーバーを巡回し、クッキーを自動的に収集するのはそれほど難しいことではありません。しかしこれは、スパイウェア対策という面では、あまり効果的な方法とは思われません。 追跡クッキーはプライバシーの侵害であるから、スパイウェア、という意見もあります。あるアンチスパイウェアベンダーは、この追跡クッキーのことを「スパイウェアクッキー」と呼んだりしています。
これは間違いです。これでは、ユーザーのスパイウェアに対する誤解を招いてしまいます。
クッキーは、クライアントに保存される単純なテキストファイルです。このファイルには、プログラムコードも、またユーザー ID やパスワードなどの情報も一切含まれていません。従って、クッキーがコンピュータの情報を盗む、外部に漏らす、コンピュータ障害を引き起こすなどはありません。
一方、そのクライアント コンピュータ上に残るクッキー ファイルが盗まれることで、セキュリティのリスクが発生するのは確かです。
スパイウェア対策――情報セキュリティリテラシの向上(2005年7月21日)(Japan internet com)
坂本堪亮氏は他の記事中にてFTCやSPY ACTを引き合いに出しているけど、ASCによる定義に関する見解なども伺いたいものです。
Cookieの話題からは多少ズレてしまうんですが、アンチウイルスソフトメーカーの一部は「どうでもいい下らないもの」を検出対象とし、表示される検出カテゴリを「トロイの木馬」やその他の「それは幾らなんでも嘘でしょう!なカテゴリ」なるものとし、エンドユーザーの不安感を必要以上に煽り、結果として消費者に製品の購入を強要している。
Tracking Cookieに限らず「下らないもの」を検出対象に含めスパイウェアであると宣伝すれば得をすると考えるメーカーも多々あるようだ。
Microsoftによる解説にては、Cookieとスパイウェアによる個人情報の流出について論じた上で、スパイウェアについて以下のように解説している。
Q. スパイウェアは、ユーザーの情報をどのように悪用しますか?
Cookie の悪用もスパイウェアもプライバシーの侵害であるという観点から言うとスパイウェアの問題はCookie の問題と類似しています。しかし、スパイウェアは厳密に言うと Cookie とは異なります。スパイウェアは、ユーザーのコンピュータ上で実行されるプログラムで、ユーザーの Web ブラウジングの習慣をトラッキングし、これらのパターンを利用し、広告などが表示されるようにします。スパイウェアは Cookie の少量のテキストのようなものではなく、コンピュータプログラムであるため、不正な動作を実行し、その動作が継続され、また表示されるページに影響を及ぼし続ける可能性もあります。
マルウェアの定義 : FAQ(Microsoft)
Symantec社ではTracking Cookieを「その他のセキュリティリスク」とし、Tracking Cookie(Symantec)にシンプルな解説を掲載している。
海外に目を向ければ、著名なセキュリティ対策専門家であるBenjamin Edelman氏は2006年9月、アンチスパウイウェアソフトごとによるTracking Cookie検出に関する興味深いレポートを掲載したのだが(後述)、前置きとして大変示唆に富む解説をしている。
一部を抜粋して和訳し、転載しよう。
私は常に広告クッキーに対するアンチスパイウェアプログラムの様々な態度によって当惑させられている。 幾つかのアンチスパイウェアプログラムは「スパイクッキー」のような用語で極端な批判をし、クッキーの害を深刻に誇張している。他のものはまったくクッキーを無視する。中間としては幾つかの興味深い選択肢 - デフォルトでクッキーを無視し(しかしオプション検出で)、クッキーの検出を隠す簡単な方法をユーザーへ与え、そしてクッキーを「低リスク」として検出する。
求められていない導入、ユーザへの利益は無い − スパイウェアのような響き?著名なWalt Mossberg を含めて、若干名はそのように言う。だがそれは私の実際の見解とは異なる。 私が注目しているスパイウェアとは異なり、クッキーは過剰な広告でユーザを妨害しない、ユーザのPCを遅くしない、クラッシュしない、そしてただ些細な帯域幅・メモリ・CPUだけを必要とする。
全体を眺めれば、私はクッキーが典型的ユーザーに対し多くの深刻な懸念を引き起こすとは思えない。
Which Anti-Spyware Programs Delete Which Cookies?(Benjamin Edelman)氏のブログの一部を抜粋し和訳した。
訳者より短く断りを。Benjamin Edelman氏はTracking Cookieによるプライバシー関連の問題は否定しておらず、彼がこれまで扱ったスパイウェアによる問題の深刻さとの対比として、このように記載している。
。。。。。。どうもやりづらいな。自分が考えていた論点を坂本氏とBenjamin Edelman氏にほとんど指摘され尽くされてしまった感がある。
二番煎じとなるのは、なぁ。
では論点を変えて、今回のメインテーマ - メーカー側の対応について考えてみたい。
Tracking CookieをSpywareとして検出する企業を、どのようにして評価すべきなんだろうか?
第一に対策側メーカーは何を何故に検出対象とするのかは、大抵の場合不透明である。
個別の検出対象ごとの技術情報が存在しない場合も多々あるだろう。
第二には、スパイウェアではない軽微な問題を「とりあえず対応した方が良いよ」とレポートするのはあながち不適切な姿勢では無い点だ。多少話しがずれてしまうが、多くのアンチウイルスソフトウェアは、Windows OSの脆弱性を突く攻撃を検出対象としている。
スパイウェア対策ソフトによる検出結果画面のGUIにて「スパイウェアが検出されました!」なる固定化された文字列の下に「スパイウェアではないものの対処した方が望ましいもの」が掲載されるのは、メーカーの姿勢が詐欺的とか扇情的とまでは言えないだろう。その一点においては、メーカーを責めるべきではない。
(ただし、検出カテゴリの分類名と、それよりリンクされている技術情報は適切なものとする必要があるだろう)
第三として、Tracking Cookieをメーカーによる技術情報や解説中にて堂々とSpywareに含めるのは、やり過ぎだし暴走行為だ。
検出対象に含めるか否かと、メーカーの技術情報中にてスパイウェアに含めるべきか否かは、全く次元が異なる問題である。
「Tracking Cookieはスパイウェアではない!」と論じるならばまずは、メーカーによるFUD(恐怖(fear)・不安(uncertainty)・疑念(doubt)を煽り立てる悪質な商法)と判別するために、検出対象とするか否かではなく、そのメーカーによるドキュメントと定義付けを閲覧し判断しなければならないのではないだろうか。
Tracking cookieはスパイウェア - 広義のスパイウェア定義が為せる拡大解釈
広義のスパイウェアと定義について
ある不審なソフトウェアをA社はスパイウェア(狭義)、B社はスパイウェア(広義)、C社はトロイの木馬として検出対象とするのも、よくある話だ。
(やや込み入った分類話については、マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)(Semplice)を参照してもらいたい。)
クッキーをスパイウェアとして扱うべきか否かを論じる前に、広義のスパイウェアを考慮しなければならないだろう。多少込み入った話だが、ご甘受願いたい。
アンチウイルスソフトやアンチスパイウェアソフトの製造・販売元ごとに、スパイウェアの定義や扱い、つまりはある難儀なプログラムをどのカテゴリに含めるのか・検出対象とするのか。判断基準はメーカーごとに大きな乖離がある。
スパイウェアの定義がメーカー毎に異なり混沌としている状況にて、ASC(Anti-Spyware Coalitionm)なる団体が迷惑なソフトウェア・または関連技術について区分・整理し定義づけた。
ここで一つ、不可思議な事態が生じた。
ASCは狭義のスパイウェア(従来の・ある意味で本当のスパイウェア)のみならず、スパイウェアでも何でもない多くのもの - 一例としてTracking Cookieなど - を広義のスパイウェアとして区分してしまった。「スパイウェアではないものを、スパイウェアとして扱いたがるメーカー」に追随したのだろうか。
「広義のスパイウェア」は、一部の対策側メーカーにより不適切に利用されているテクニカルタームだ。メーカーサイトに掲載される場合はわざわざ広義なる説明は付記されず、スパイウェアと単独で呼称される。
自分は以前より、「広義のスパイウェア」を(それほどの脅威が無いものまで含め)都合に合わせ利用するような一部のウイルス対策ソフトメーカーの姿勢は単なるFUDに過ぎず、瑣末な問題を重大なトラブルであるように消費者を誤解させ、製品の購入を強要する目的に過ぎないのではとの疑念を持っている。
メーカーによっては広義の意味と狭義の意味を意図的に混同・または意図的に誤り、運営上メーカー自身にとって望ましいような区分(より消費者の不安を煽りやすい区分)で扱っている。
ASCは、既に多くの対策ソフトメーカーが「広義のスパイウェア」を用語として利用するのを妨げず、公式な文書にて断りがなければ、スパイウェアとは広義のスパイウェアを指すと発表した。
(これは「何でもかんでもスパイウェア扱いし、ユーザーの不安を煽るのを推奨する」との意味ではなく、現況での広義かつ広範な用例を解説しただけではなかろうか)
思いっきり広義の意味で使ってしまえば、何でもアリだ。
スパイウェア(Spyware)の解説と定義、概論(Semplice)
(FUDについてはFUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング(Semplice)参照のこと)
(広義のスパイウェアに関しての詳細は、ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義(Semplice)と、スパイウェア(Spyware)の解説と定義、概論(Semplice)を読み返していただきたい)
繰り返しになるが、ASCは特に断りが無ければスパイウェアとは広義のスパイウェアを指すとした。
結果として「当社ではスパイウェアは広義のスパイウェアなるカテゴリで扱っております」と言われたらば、一部のCookiesをスパイウェア(広義のスパイウェア)として扱う企業のマーケティング優先・とりあえず消費者の不安を煽って製品を購入させてしまえ的な姿勢に対して、反論は難しくなったとしても過言ではない。
ASCの広義のスパイウェアとTracking Cookie - 許可の有無について
Tracking Cookieをスパイウェアとして扱うべきか否かとの論点には、重要な課題が一つ残っている。
ASCのAnti-Spyware Coalition Definitions and Supporting Documents中には「Examples of Spyware and Potentially Unwanted Technologies(スパイウェアと潜在的に望ましくは無い技術)」なるリストがあり、広義のスパイウェアとして扱われる。
ページ末尾にUnauthorized Tracking Cookies (無許可のトラッキングクッキー)なる項目が掲載されているのを確認してもらいたい。
見落とされがちな部分であるが、多少読み替えて解説しよう。
ASC(Anti-Spyware Coalitionm)は消費者の許諾を得た上で導入されたTracking Cookieは、(広義の)スパイウェアには含めていないのだ
対策ソフト販売者は、一体どのようにしてサードパーティのTracking Cookie利用について消費者の許諾の有無を判別するのだろうか?サードパーティクッキーは、Tracking Cookieと同義ではない。
Tracking Cookieの利用をサイト運営者が閲覧者に(積極的ではないが)アナウンスした極めて少数の例外はmixiである、ただ「アナウンスした」と「利用者より許諾を得た」と完全に同義ではない点は誤解しないでいただきたい(行動ターゲティングサービスとmixi)。
(ブラウザの設定画面よりサードパーティのCookieをブロックしてなければ許諾した事になるだって?そんな事は無い)
検出対象のTracking Cookieは、本当に正当な理由で検出対象とされたのか?
許諾の有無を確認せず・Tracking Cookieであるのか否かを確認せずに、サードパーティクッキーをスパイウェアとして扱うならば、ASCの定義とは主旨を異とする。
現実の問題として、エンドユーザーの許諾を得ずに入り込むサードパーティCookieをリスク評価も無くASCの広義のスパイウェアに含めるのは、無理があるのだ。
では話と視点をガラッと入れ替えてみよう。そう、一部メーカー側の視点だ。
サードパーティクッキーをTracking Cookieとして扱い、Tracking Cookieを(広義の)スパイウェアとして扱うならば、メーカーは独自に調査した上で、「許諾の有無」を確認しなければならない。
そんな事はわかっているって?いや、君は全くわかっていない。
不思議な話として、一部のメーカーは検出対象となったTracking Cookieに関する個別の技術情報を「全く」掲載していないのだ。
これでは適切な評価が行われたのか否かを、利用者は判断できないだろう。「何か企んでいるのか?」と不信感を持たれるのは当然だ。
まさか、サードパーティクッキーである・もしくは広告代理店が発行したクッキーであるとの理由のみで、スパイウェアとして検出対象に含めたんではないよね?
全く説明が無いままでは、「壷買いませんかー」との怪しい霊感商法と同じではないか。
どのTracking Cookieを検出対象とするかは、メーカー独自の基準となる
Tracking Cookie・Advertising Cookie(広告クッキー)をどう料理するのか。そもそも何をTracking Cookieとし、何をリスクが無いCookieとするのか。
最終的には対策メーカーがどれを検出対象とし・どれを検出対象としないのかとの判断基準は、メーカーによる個別の・独自のものとなる。
君は何かの対策ソフトにて検出されなかったものが、他のソフトウェアで検出された経験は無いだろうか?
Remnant (レムナント)*ではなく単純に、A社のソフトウェアで見過ごされていたスパイウェアと称される何かが、B社のスパイウェア対策ソフトで検出された**などの事例だ。
大多数の場合は、これらはTracking Cookieである。
(*Remnant:ウイルス感染ファイルなどを修復した際に残存した、カス。)
(**False PositiveなのかFalse Negativeを判断する情報なり材料は、大部分の場合はエンドユーザーには与えられていないのが現状だし、検出対象とする判断基準は多くの事例にて明瞭ではない)
Benjamin Edelman氏らによる2006年9月のレポートによれば、以前よりネット上のフォーラムにて言及されていた問題、つまり対策側メーカーによる対応はバラバラ・時にはメチャクチャなのではとの議論を裏付けた。
Cookies Detected by Anti-Spyware Programs: The Current Status
(文章は英語であるが、表や図が多く英語が十分にわからなくても直感的に理解できる内容である。一読して損は無いし必ず君の後日のために役立つ話なので、是非とも閲覧していただきたい)
具体的なテストの手順は、このような手法のようだ。
1)ブラウジングやクッキーの設置を妨げるソフトウェアを導入していないWindowsXP SP2のバーチャルマシンを準備
2)ネットワークスニッファを利用し、クッキーの設置を確認
3)対策ソフトウェアは最新の状態にするため更新し、デフォルトの設定で利用
#ネットワークスニッファを利用する所からして完璧主義ですよね、彼らって。
Benjamin Edelman氏のテスト結果を眺めると、あるCookieが検出対象として扱われるのか否かは驚くほどメーカー間でバラバラであり、一貫性が全く無い点に驚かされる。
結果を単純に解釈できないし、背景を理解するのは一筋縄ではいかないだろう。
検出できなかったメーカーはあるTracking Cookieの存在を知らなかったのか?もしくは定量的評価としてとあるTrackig Cookieを検出対象としなかったのか?
。。。。どうなんでしょうかね?
対策ソフトウェアのおかしさ
十分な内容の技術情報を提示しないメーカー
スパイウェア対策ソフトウェア・または従来はアンチウイルスソフトメーカーのスィート製品(複数の役割を果たす製品を包括したもの)におけるスパイウェア検索機能を利用し、スキャン終了後の画面にて「スパイウェアが検出されました」と表示する。そこにTracking Cookieとして表示すれば消費者は「あぁTracking Cookieはスパイウェアなんですね」と思い込みがちなのではなかろうか。
この場合はメーカー側は、Tracking Cookieに対し適切な説明をし、何故に検出対象としたのか・どの程度のリスクが存在するのかに関する技術情報を、検索し何かが表示されたスキャン終了画面より、消費者が容易にアクセスでき・見つけられるような状態で公表すればよいだろう。
適切な説明に容易にたどり着けるようにしておけば、「スパイウェア対策ソフトウェアにより検出されたから、クッキーはスパイウェアであり、とんでもなく多大な危害を与えるものだ」と思い込む方は減るだろう。
ウイルス対策ソフトではどうだろか?この場合はスパイウェア対策ソフトメーカーとは事情は異なるのではと、自分は考える。
何故ならば検出対象を検索画面にて例えば「スパイウェア検索中」などとと表示するか否か・技術情報にて「スパイウェア」に何かを含め表記するか否かの自由度は、ある意味でスパイウェア対策ソフトと比較し大きいからだ。
彼らはTracking Cookieを検出対象に含めたとしても、スパイウェアなるカテゴリに含めずにユーザーの誤解を避ける機会はスパイウェア対策ソフトウェアよりはある意味で多く、そのまま単なるTracking Cookieとして扱える。スパイウェアではなく「どうでもいいもの」とか「その他の脅威」として説明する機会がスパイウェア対策ソフト以上に与えられているだろう。
だがスパイウェア対策機能を備える製品を販売しているウイルス対策ソフトメーカーがドキュメント中にて、Tracking Cookiwをスパイウェアとして記載するのは、これまた全く異なる問題である。そのような場合はメーカー側による「意図的な混同」と捉えるより解釈のしようがない。
メーカーの技術情報中における、SpywareとTracking Cookieについて
スパイウェア対策ソフトウェアがデフォルトで堂々と、検索結果画面にてスパイウェアの表示と共にTracking Cookieと表示される点は仕方ないだろう。。。。その点には自分は十分に理解を示す
だがスキャン結果画面にて「スパイウェアが検出されました」と表示したとして、一部メーカーはその後がいけませんな。
検出された項目をダブルクリックして表示されたページにはろくな情報もなく・場合によっては検出対象となった個別のTracking Cookieに関するページも無い。メーカーの解説ページにてTracking Cookieがスパイウェアとして記載されている。そんな一部メーカーはあまりにも不審でいかがわしいのだ。
一例としてトレンドマイクロ社は不正クッキーなる独自用語を利用しており、ウイルス対策基礎知識 - 用語集にはCookieに関する説明が掲載されていないものの、「不正クッキー」解説ページが存在する。
不正クッキーとは何か
「不正クッキー」とは一般に、「Tracking Cookie(トラッキングクッキー)」、「Tracing Cookie(トレーシングクッキー)」、「Data Miner(データマイナー)」、「サードパーティクッキー」などと呼ばれる、悪用の可能性があるクッキーの総称です。
トレンドマイクロではユーザのプライバシー侵害につながると指摘があったクッキーを不正クッキーとして検出します。この検出はユーザの注意喚起が目的であり、直ちに大きな危険があることを示すものではありません。
「不正クッキー」とは何か (TrendMicro)
毎度の事ながら、メーカー独自の妙な単語や解釈を増やすのは止めてもらいたい。TrendMicro社はTracking Cookieに限らず、意図的に分類・区分を混同させるダブルスタンダード的な姿勢をとっている。
ウイルスバスターとトレンドマイクロ社は大変不思議だ。スキャン後の画面よりダブルクリックしても、大多数の場合トレンドマイクロ ウイルスデータベース-検索結果なる画面と「0 検索内容.」「お探しのウイルス情報はデータベースに見当たりませんでした」と表示されるだけである。
。。。。。。。検出対象とした判断基準・Tracking Cookieであるとした理由は何ですか?何故に堂々と技術情報として表示されないんですか?
ウイルスバスターのスパイウェア検索機能にて堂々とTracking Cookieをスパイウェアと表示するのだから、相応の説明をするべきである。
これがCA(Computer Associates International, Inc. ・コンピュータ・アソシエイツ)なると、また事情が異なる。
CAによるスパイウェア拡大解釈は、広義のスパイウェアではなくペストか?(Semplice)にても紹介したが、CAはPestPatrol社買収後のゴタゴタのためか、技術情報がかなりメチャクチャであり、やや悪い言い回しだがどうしょうも無い状態だ。
ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ(高木浩光@自宅の日記)なる指摘もあるが、そもそもCAでは「何でもかんでもスパイウェア」として扱っているため、検出対象とするスパイウェアに関するドキュメントには技術的な裏づけが全く無い。
一部メーカーへの要望 - 消費者の不安感をもたらすのみではなく、十分な説明を!
ウイルス対策ソフトメーカーとスパイウェア対策ソフトメーカーは、エンドユーザーに対して適切かつ十分な説明を行うべきである。
Tracking Cookieそのものに関する説明は対策メーカー間ではさほどの違いは無い。
しかし何故に一部のメーカーはスパイウェアとして扱い・またスキャン後表示される画面なり技術情報にて、必要以上に・なおかつ不適切に消費者の不安感を煽り、製品の購入を結果として強要するんだろうか。
このような行為は、FUD(消費者の不安感を必要以上に煽り立てる悪質なマーケティング手法)に過ぎないだろう(FUD-恐怖(fear)・不安(uncertainty)・疑念(doubt)-悪質なマーケティング(Semplice))。
Tracking Cookieをして「スパイウェアが検出されました!」と表示し、ろくな説明を提供しないのは、消費者の判断材料を奪っている。
検出されたものの詳細情報を見るため、検出画面よりクリックして表示されたメーカーサイトのページが情報不足・時には無い場合は?
技術情報にてTracking Cookieがスパイウェアに含まれている場合は?その理由は?
あえてドコ宛てとは明記しませんが、多少センシティブな話を。
Tracking Cookieを(広義の)スパイウェア・もしくはメーカー独自の基準としてのスパイウェアとして扱い、なおかつろくな説明を消費者にしないならば、端的に答えてもらいたい。
ASCの定義では、ユーザーの許諾の有無を広義のスパイウェアに含めるべきか否かの判断材料としている。某社では「ユーザーの許諾の有無」を、どうやって判断しているんですか?説明できないならば「広義のスパイウェア」なる定義を利用しているとの説明には齟齬なり乖離があります。
ASCに加盟しながら、全く独自の定義にて「下らないどうでもいいもの」をスパイウェアとして技術情報に掲載するのは、何故なんでしょうか?
し「メーカー独自の基準でスパイウェアに含めています。当社が言うところのスパイウェアは狭義ではなく広義の意味でのスパイウェアです」と回答なされるならば、貴社が参加するASCのドキュメントとはあまりにもかけ離れていますね。
(ASC:スパイウェア等の用語の定義を定めた団体。詳細はCurrent ASC Members(ASC)(Semplice)参照)
改善するとしたらば、検出対象とする際には明瞭な判断基準を備え、検出レポート画面中にて消費者の不安を必要以上に扇情しないよう表示し、ドキュメント中にてTracking Cookieはスパイウェアに含めず別のカテゴリとして扱うのが理想的だろう。
まぁ、ほら、あれだ。「どうでもいいもの」をスパイウェアとして宣伝してきた企業姿勢は、簡単には変わらないだろう。
「ネット・パソコン中級者層」以上はどのように解釈しているのか
はてな上で2006年9月20日、はてな上でアンケートを行った。回答数は500件。「とりあえずポイントゲット(24件)」と「ビスケットの親戚のようなものですか? (23件)」の二つを有効回答より除く。
クッキー・一部のクッキーをスパイウェアだとの回答は
クッキーはスパイウェアではない(143件)
クッキーはスパイウェアだ(33件)
一部のクッキー(トラッキングクッキー等)はスパウェアだ(29229件)
設問の内容がわからない(19件)
クッキーが何を指すのかわからない(16件)
スパイウェアが何を指すのかわからない(13件)
クッキーはスパイウェアだと思いますか?(人力検索はてな)
アンケート回答者はどのような層であり、どんな経験があるのだろうか?あなたのパソコン歴・ネット歴は何年ですか?(人力検索はてな)と別のアンケートを行った結果、90%以上の回答者は5年以上の経験が備わっていると回答したのだ。
(同じアンケート中にて個別の質問項目として行うべきであった点は反省)
(2008年4月6日追記:ブログ主の主観に極度に依存する解釈であり、取り下げます)
あなたのパソコン歴・ネット歴は何年ですか?(人力検索はてな)との別のアンケートを行った結果、90%以上の回答者は5年以上の経験が備わっていると回答した。ならば「クッキーをスパイウェアとして検出されても動揺しない層」の比率はもっと高くても不思議ではないのだが。。。。。
自分はこのアンケート結果にかなり当惑したのだよ。
場を改めてアンケートを行うにしても、多くの課題を残した。「何故にTracking Cookieがスパイウェアではないと考えるのか」についての言及を求めるべきであったのだ。
Conclusion
ウイルス対策ソフトやスパイウェア対策ソフトはTracking Cookieを検出対象とするな、などとは宣言しない。だが一部のメーカーがスパイウェアの語感の悪さを利用し、スパイウェア対策ソフト利用者に誤解を招き、過度の不安感を抱かせる現状はどうにかならないのだろうか。
彼らの狙いは製品の購入を強要するためなのか?はっきり違うと答えられるならば、メーカーは企業の姿勢なり技術的評価にて、多くの点を改善しなければならない。
狭義のスパイウェアのリスクは、広義のスパイウェアやメーカー独自の解釈(つまり何でもアリ)と単純に比較できるものではない。
メーカーが宣伝目的にて「何十・何百件ものスパイウェアが検出されました」などと宣伝するのは・また調査会社が「何十%ものパソコンにスパイウェアが!」と扇情的な記事を掲載するのは、単なる水増し行為に過ぎずお行儀が悪い。
と言っても、Tracking Cookieは検出対象とするべきではないと言い切っても良いのか?
重篤な脅威がある危険なクッキーが出現した際に検出対象としないのは、ユーザー保護の観点からは望ましくはないだろう。
Tracking Cookieはスパイウェアに含めず、独自のカテゴリとして扱うのが理想的だ。
自分はスパイウェア対策ソフトが検出結果画面にて「スパイウェアが検出されました!」と表示し、その中にTracking Cookieが並ぶのは、別の問題であるとし一定の理解を示している。
対策ソフト利用者側がTracking Cookieを重篤な脅威と即座に思い込んでしまうのは、この部分に限定して考えるならば、早計であるし慎重さが不十分なのだろうか。
だが検出結果画面におけるカテゴリ表示やリスク評価、また検出結果画面中よりダブルクリックし表示されるメーカーサイトの解説ページが無い・不十分であるならば、消費者の判断材料を事実上奪っている。そのようなメーカーは解決しなければならない課題が多いだろう。
メーカーのスパイウェア関連技術情報にてTracking Cookieに十分な説明をしているならば、「某社は消費者の不安を必要以上に煽り立てた!」との非難には当てはまらないようにも思える。
だが「消費者に提示する情報を不十分なままとした」「表示した脅威のリスクを消費者が過大評価するよう誘導した」ならば、消費者保護の観点より責められても仕方ないだろう。
関連記事
クッキー(Cookie)の諸問題 - トラッキング クッキー ・ 追跡クッキー ・ サードパーティ クッキー
CA認定のスパイウェア撲滅隊隊長眞鍋かをりは、何時何で何件検出したのだ?
Cookiesを削除するだけの目的でソフトウェアを購入するべきではない
Acknowledge
一連のCookie関連原稿も最終的には1000行を超え、文章の海に溺れておりましたが、やっと一段落。
exさんよりは有意義なアドバイスを幾つもいただき、視野が大変広がりました。Sakaiさんよりは初心者が勘違いしやすい事例として多くのアドバイスをいただきました。miyasatoさんよりは消費者とメーカーの視点が乖離している等と、自分が考えもしなかった多くのアドバイスをいただきました。
更新履歴
2008年4月7日 はてなでのアンケート集計の数字が間違っていた点をUniさんより指摘され修正。連絡ありがとうございます。
