ＭＭ総研、日本企業のスパイウェア脅威対策の認識と導入動向など発表

　ＭＭ総研（東京都港区、所長・中島　洋）は２月１６日、国内企業５８２社の情報システム部門に対する「スパイウェア対策の取り組み状況アンケート調査」の結果をまとめ、スパイウェア脅威対策の認識と導入動向などを発表した。調査は、早稲田大学・客員教授　兼　日本ネットワークセキュリティ協会・顧問の前川　徹氏の全面的な協力を得て実施した（調査実施は１月中旬、Ｗｅｂアンケート形式にて実施）。

　スパイウェアとは、利用者が知らないうちにインターネットなどからパソコンに入り込み、利用者に害を与える有害ソフトの一種。ウイルス・ワームと違い、発症が見えないものも多く、駆除や削除に当たっては、専用のスパイウェア対策ソフトや特別の駆除方法をとる必要がある。

　昨年７月には、数行の金融機関の顧客にスパイウェアを組み込んだメールを送り、ＩＤなどを取得、別の口座に不正送金させる事件が発生。警察庁によると、ジャパンネット銀行のほか、みずほ銀行、イーバンク銀行のインターネットバンキング利用者計１０件、１，０００万円を超える被害となった。また、同じく９月から１０月にかけて、同一犯行グループにより、千葉銀行、北陸銀行等の金融機関の顧客にはＣＤ－ＲＯＭが送りつけられ、これをパソコンにインストールした顧客の口座から現金が第三者の口座に振り込まれた事件が発生している　（２００５年１１月、２００６年１月に、容疑者は逮捕された）。

　スパイウェアを利用した金銭的な被害を伴った事件として大きな注目を浴びたが、別の面では、被害にあった利用者の数人は、ウイルス対策ソフトを使用していたにも関わらず被害に合ったことが、この事件に別の衝撃を与えている。

　また、つい先日（２月１４日）には、ファイル共有ソフト「ｗｉｎｎｙ（ウィニー）」を介した情報流出が法務省京都刑務所で発生したことが明らかになった。刑務官の個人所有のパソコンから保管していた取り調べ記録や受刑者の個人名が含まれた文書等がインターネット上に流出し、その規模は、１０，０００件以上に上ると想定されている。企業では、金銭被害事件だけでなく、インターネットの不正アクセスやスパイウェアを使った外部犯行などによって個人情報が流出するケースも後を絶たず、ウイルスやワームとは異なるスパイウェアへの対策は、企業の情報セキュリティにおける緊急の課題となっている。

■スパイウェア専用の対策ソフトで対応を施している企業は僅か８％

　調査結果によると、企業の情報システム部門では、スパイウェアに対する脅威・危険の知識や認識は９１％と高いものの、スパイウェア専用の対策ソフトで対応を施している企業は僅か８％しかなく、スパイウェアとウイルスの特質の違いを知識面では認識しながらも、対策面では大きな遅れをとっている現状が明らかになった。加えて、ポップアップ広告の強制表示等で重大または軽い被害にあった企業は３９％も存在し、業務外で音楽ダウンロードサイトや不正サイトなどにアクセスしている社員が多いと想定する企業の情報システム部門は４４％に上るなど、実際の対策や取り巻く環境から見ると、スパイウェアによる大きな事件が起きる可能性は、企業内で確実に高まっている。

　また、１年後の計画を見ると、スパイウェア対策ソフトを全ＰＣに搭載する企業は、現在３６％から、１年後には５６％に達する見通しであるものの、１６万種（ウイルス８万種）と言われる多様な種類と性質を考えると、ウイルス対策製品では、発見・駆除できないものもあり、ウイルスとスパイウェア、その双方を駆除できるような本格的な施策が求められよう。なお、セキュリティソフト全般の現在の導入状況は次のとおり。

　クライアントＰＣのセキュリティソフト搭載率（＝何らかのセキュリティソフトを搭載しているＰＣ台数÷ＰＣ総導入台数）は、全ＰＣに搭載（搭載率１００％）の企業が７４％を占めた。搭載率８０％以上では８１％に達した。ウイルス対策ソフトが主体だが、いまやセキュリティソフトはクライアントＰＣに不可欠な存在となっている。ちなみに、５８２社全体では、ＰＣが１０８万８，２６８台、そのうち何らかのセキュリティソフトを搭載するＰＣが１０５万１，０７８台となり、台数ベースのセキュリティソフト搭載率は９７％。大企業の搭載率が平均より高めなため、台数ベースでは１００％に近い値となった。