【インターネットを安全に使うために】

2.14. スパイウェア

パソコンを使うユーザの行動や個人情報などを収集したり、マイクロプロセッサの空き時間を借用して計算を行ったりするアプリケーションソフトです。得られたデータはマーケティング会社など、スパイウェアの作成元に送られます。

スパイウェアは他のアプリケーションソフトとセットで配布され、インストール時にはそのソフトと一括して利用条件の承諾などを求められます。また、スパイウェアはユーザに気づかれないよう、ウィンドウなどを出さずにバックグラウンドで動作するため、ユーザはスパイウェアがインストールされていることに気づきにくいのが実情です。

スパイウェアが行なう活動の内容は、実はインストール時に表示される利用条件の中に書かれているため、インストール時にその利用条件を承諾してしまっている以上、スパイウェアの活動は直ちに違法と言えるものではありません。

しかし、利用条件をまともに読む人はほとんどいないため、ほとんどのユーザはスパイウェアに気づかず、スパイウェアごとソフトをインストールしているのです。

このため、スパイウェアは事実上無断で個人情報を収集しているとして、プライバシー擁護団体などの消費者団体を中心に反スパイウェア活動が起こっています。

なお、広告を表示する代わりに無料でソフトを利用できるアドウェアというものもありますが、意味の上ではアドウェアとスパイウェアの間に直接関係はありません。

しかし、アドウェアではユーザに表示する広告を選別するなどの目的で情報収集を行っていることが非常に多く、かなりの割合のアドウェアがスパイウェアの機能を持っているといえます。

Cookie は、サーバから発行されてブラウザに記憶され、ブラウザは発行元サーバに対してだけはその Cookie を送信することができます。発行元以外に送られることは基本的にありません。

ショッピングサイトなど、ログインを要するサイトで使われ（ログイン後のページ移動などで本人性を維持するなど）たり掲示板に書き込みをしたときの名前やメールアドレスの再入力の手間を省けるなどありますがこの仕組みを悪用するとスパイウェア化させることができます。

ブラウザから発行元サーバ以外に Cookie が送られることはありませんが、インターネットの各所にあるバナー広告は、訪問先サイトにあるのではなく、一般に広告会社に置かれています。

このとき、ブラウザは広告会社のサーバから広告のデータを読み込みますから、広告会社のサーバはブラウザにとって「発行元」です。

つまり Cookie のやりとりができます。同時に、広告会社は、広告がどのサイトから呼び出されたのか分かります（これは Cookie とは無関係）ので、Cookie に IDでも付けておけば、いつ、どのブラウザがどのサイトを表示したかが広告会社には分かります。

これだけでも立派な行動追跡です。そして収集された情報は、どこで漏洩するか、どこで名寄せされるか（そこを表示したブウザと使用者の名前が結びつくのか）予測できません。