インターネットでの個人情報漏えいが数年前から盛んに議論されるようになり、多くのサイトで発生した PII（個人識別可能情報）漏えいは特に深刻な問題であると多くの人が考えています。大々的に報道され、注目を集めるのは、ハッカーが企業システムに侵入して情報を不正取得したという類の事件であり、Equifax はその代表例と言えるでしょう。しかしながら、大きく注目されることはないものの、企業が自社のソフトウェアリリースにマルウェアを埋め込んで配布するのも、形態は異なるものの、一種の攻撃と言えるでしょう。

Reddit で報告された最近の例は、ソフトウェアの著作権侵害を防ぐという名目で、人気のあるフライトシミュレータにマルウェアが埋め込まれていたというものです。Fidus Information Security が、この Reddit の投稿が明らかになった直後に、いち早くこの問題の調査を開始し、このマルウェアは、SecurityXploded による Chrome パスワードダンプツールを使って Web ブラウザからログイン情報を不正取得するように設計されていたと説明しています。最も深刻な問題は、これらのパスワードが Base64 でエンコードされて、HTTP 経由でログ収集サーバに送信され、インターネットから RDP でそのサーバにアクセスできていた点でしょう。他にもさまざまな疑問がありますが、おそらく誰もが疑うのは、パスワードを何に使用していたのか、パスワードは安全に保存されていたのかということでしょう。

企業がユーザに知らせることなくマルウェアを組み込んでいたのは、今回が初めてではありません。最も有名なのは、数年前に発生した、CSGO（CounterStrike Global Offensive）のゲームクライアントである ESEA がビットコインのマイニングソフトウェアを埋め込んでいた事件であり、エイプリルフールのジョークだったと同社は釈明しましたが、3,000 ドル近くをすでに手に入れていたことがわかりました。Internet Spyware Prevention Act（インターネットスパイウェア防止法）に抵触した ESEA には、ビットコインのマイニングソフトウェアに埋め込んだとして、米国の規制当局によって、100 万ドルの罰金が科せられました。

このスパイウェア防止法には、次のように規定されています。

「保護されたコンピュータに対する許可のない意図的なアクセスまたは保護されたコンピュータに対する許可された範囲を超えるアクセスによって、コンピュータプログラムまたはコードを保護されたコンピュータに複製し、別の連邦刑事犯罪を助長する目的でそのプログラムまたはコードを意図的に使用した場合、本項に定める罰金または 5 年以下の懲役、あるいはその両方が科せられる。」

このようなソフトウェアから保護する方法として、次のような対策が考えられます。

1. ブラウザの自動入力やパスワードマネージャを使用しない
2. サードパーティのパスワードマネージャを使用する。私が個人的にお勧めするのは、KeePass と LastPass で、1password も有力な選択肢となるでしょう。
3. 訪問するサイトごとに異なるパスワードを使用する。ほとんどのパスワードマネージャに、一意の長いパスフレーズを作成するためのオプションが用意されています。
4. 可能な場合は常に二要素認証（2FA）を使用する。2FA をサポートしているサイトのリストが以下に公開されていますので、参考にしてください。
   https://twofactorauth.org/

-Tanner Harrison