パスワードを忘れた? アカウント作成
21215 story
情報漏洩

Vectorの一部ソフトがOSプロダクトIDやユーザ名を作者サイトに送信 49

ストーリー by mhatta
こういうときにプロプライエタリものはおそろしいのう 部門より

geregere 曰く、

NB STATIONが作成し、Vectorで公開されているシェアウェアが、プロダクトIDなどを送信していることが分かりました。通報をうけたVectorは不正な情報送信機能であると判断し、現在急遽公開を一時中止しています。 2chのお行儀の悪いWindowsソフトスレで送信パケットを解析したところ、「PCメーカー名、MACアドレス、CPUやメモリ、OS名、プロダクトID、 OS登録者名、コンピュータ名、ユーザ名」などをnbstation.comのphpスクリプトに対して平文で送信していることが分かったことがきっかけです。 直接問題となったTN PlayerやDDChecker以外にも、同作者が公開していた別ソフト(メールウォーズ、メールウォーズMini)のバイナリから 同様にOSのプロダクトIDを読み込んでいる可能性がある箇所が見つかっています。

どの時点でこのような機能が入ったのかは分かりませんが、長期間放置されていた可能性もあります。Vectorのチェック体制がどうなっているのかよく知りませんが、不正な情報送信に関してはノーチェックなのでしょうか?

現在は、作者のサイトのトップページにこの件に関する詳しい説明とお詫びが掲載されている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • リンク切れ (スコア:3, 参考になる)

    by Anonymous Coward on 2008年03月17日 8時11分 (#1314151)
    "NBSTATION"のリンク先は、http://www.nbstation.com の間違いでは?
    ついでにwhoisで検索したら、おぉ!
    • by Anonymous Coward
      たれこんだgeregereです。ご指摘ありがとうございます。
      チェックしたつもりが...お手数おかけしてすみません。
      # チェックがザルはvectorじゃなくて私でした、というオチか
    • by Anonymous Coward
      このサイトですが、HTMLには

      Last Update 2008.3.17
      と書いてあるのですが、HTTPdは

      Last-Modified: Sat, 15 Mar 2008 04:53:52 GMT
      って返してきます。

      なんでだろー
  • by Anonymous Coward on 2008年03月14日 23時55分 (#1313451)
    せいぜい普通に出回ってるウィルス対策ソフトでチェックするだけで上等だと思うがね。
    • by Anonymous Coward
      義務はなくてもチェックしないと信用問題になるのが大人の世界。
      • by Anonymous Coward
        といわれてもリソースが無けりゃ出来ないのが大人の世界。
        • by Anonymous Coward
          それ、勘違い。

          「大人の世界」ではなく「現実の世界」です。

          例えば、バグの有るソフトは良いものでは無いけど、バグ無し以外のソフトは不可で完全性に責任取れなんて言ったら、
          明日から全てのソフトは無くなりますな。
          まあ、OSから動かない、あ、BIOSですら不可能だろうから、そもそも心配する必要もなさそうだが。

      • by Anonymous Coward
        チェックして問題ありでも放置するのが大人の世界。
      • by Anonymous Coward
        「Vectorは未知のマルウェアについてもチェックしてるから安心」と思われる方が恐いな。
    • by Anonymous Coward
      作者に何らかの意図があって、ロジックボムを組み込んでいる場合は
      対策ソフトではどうにもなりません。
      (そういえばwingrooveのReadmeにはそういったことが書いてありましたね)

      怪しいポートを開いているとか、何処どこにアクセスしに行っているようなことは
      検出できるかもしれませんが、完璧ではないですね。
    • by Anonymous Coward
      そうでしょうね。

      後は規約でちゃんと謳って、そこでおイタをした人にはちゃんとペナルティーを与えるって位かな?

      手段は幾らでもあるものを、完璧を求めても無駄に手間隙金が掛かるだけ。

      其処まで安全な物が欲しい人がVectorを利用するってのが間違い。
      そういう人は自分で全て作るしかない。

      それが出来なきゃ、全ての人の負担が現実的に収まる案で納得するしかないだろ。

  • by Anonymous Coward on 2008年03月17日 7時58分 (#1314144)

    Vectorのチェック体制がどうなっているのかよく知りませんが、不正な情報送信に関してはノーチェックなのでしょうか?

    この手の不正ソフトウェアでいうと、古くは "WinGroove" や "Vocal Cancel" [srad.jp]、最近では "JWord" が配布されています。
    アンチウイルスソフトウェアに登録されれば画一的に対処するようですが、それ以上のチェック、たとえば仮想マシン上で一通り動作させて不正な通信やディスク書き込みなどを行なっていないかどうかはノーチェックのようです。

    オープンソースでないとしたら今後はこの手のチェックも行なわざるを得なくなるんでしょうね。

    • by Anonymous Coward on 2008年03月17日 8時09分 (#1314150)
      オープンソースだとしてもチェックは必要じゃね?
      ソースが公開されてるだけで「送信しない」なんて誰も確証持てないでしょ?

      誰か読んでチェックしてくれる、ってだけで無条件配布するほうが怖いぞ。
      親コメント
      • by Anonymous Coward
        IIJの人が、オープンソースで配布されているsendmailに仕込まれた
        不正プログラムを発見したのは、怪しい通信がされていることに
        気づいてからソースを確認、そして不正プログラムを発見という
        流れだったと思います。

        オープンソースであることは、確認がやりやすいというだけで、
        不正プログラムを事前に防げるというものではないんですよね。

        しかも、sendmailのときは、あからさまに海外のIRCサーバに接続する
        という一目瞭然の怪しい動作で分かっただけで、これがsendmailに
        仕込まれた不正プログラムが25番ポートを使って司令ホストと通信
        するようなものだったら発見されないまま、長期間、広範囲に広まった
        ものと思われます。
      • by Anonymous Coward
        激しく同意します。
        以前にも、オープンソースなソフトウェアでありながら、特定の環境でコンパイルすると違う挙動を示すようにされたものがあったと記憶しています。
        (確か、/.Jでタレこまれて記事になってた……詳細は失念)

        第一、公開されてるソースからそのバイナリが生成されている保障は誰がするのでしょう?
        結局は、配布元が何らかのチェックをした上で配布しないといけないのではないかと思います。

        # 自分でソース読んで自分でバイナリ生成すればいいだろ という突込みが怖いのでAC
        • by Anonymous Coward on 2008年03月17日 19時00分 (#1314649)
          それは、件のトンプソンのバックドアの話 [jargon.net]だろ ちなみに、こいつは確か、原理上ソース読んでも発見できないとかなんとか。
          親コメント
          • by Anonymous Coward
            2つに分かれていて、
            ・コンパイル時にターゲットにバックドアを仕掛ける部分
            ・コンパイラ(次の世代の自分)をコンパイルする際に自分自身の感染能力をコピーする部分
            この2つの要素が絡み合っていたので、コンパイラとして圧倒的シェアを取ってる間はどうにもならないでしょうね。

            全てが信用出来ないという点ではカーネルに組み込んで悪さをするルートキットと同じ感じでしょうか。
    • by Anonymous Coward

      たとえば辞書検索ソフトのJammingなどは、 特定の条件(不正なシリアルらしいが定かではない)を満たすと、 一定の確率で、意味不明なメッセージと共にシステムを強制シャットダウンします。 稼働中のアプリケーションプロセスが全てターミネトされてしまうため、 場合によってはファイルシステムが壊れてしまいます。

      このように一定の手順で確実に再現するわけでもなく、 動作もウイルスとまでは言い難いが倫理的に微妙な動作などは、 Vectorなどのサイト側で確認するのが困難で、 そのうえ善悪の線引きが難しいものを全てチェックしていくのは、 現実的には難しいのではないかと思います。

  • by Anonymous Coward on 2008年03月17日 9時29分 (#1314197)
    「ソフトのシリアル番号の不正利用の防止」のために以下の情報送信は続けるそうです。

    ・ソフトの登録番号(シリアル番号)
    ・ソフトのバージョン番号
    ・ソフトの登録者名
    ・パソコンのMACアドレス
    ・パソコンのOSのバージョン
    ・パソコンのOSの種類
    ・パソコンのOSのID番号(MD5に変換したもの)
    ・パソコンの使用者名

    「ソフトのシリアル番号の不正利用の防止」のためというには、ちょっと多すぎる気もしますが、
    こんなもんでしょうか?
    • Re:その後の対応 (スコア:3, すばらしい洞察)

      by baku3393 (32616) on 2008年03月17日 10時05分 (#1314222) 日記
      でも、現実的な問題として、それらの情報をソフトの作成者が知ったとして、
      いったい何ができるのだろう?

      詳細な調査能力や訴訟能力を持ったそこそこの企業以外は「負の遺産」となる個人情報を溜め込むだけ
      なような気がするのですが…。

      # もちろん、そのソフトの作者が善意であるという前提ですが…。

      --
      ---- ばくさん!@一応IT土方
      親コメント
      • Re:その後の対応 (スコア:3, 参考になる)

        by gesaku (7381) on 2008年03月17日 12時33分 (#1314327)
        ># もちろん、そのソフトの作者が善意であるという前提ですが…。

        それらの情報をソフトウェアの登録関連以外に利用するということは当然悪意が存在するということになります。

        プロダクトIDをMD5で送信しているという言い分ですが、本当にそうなのかどなたか確認された方は
        いらっしゃるのでしょうか。ハッシュ値ではなく可逆変換できる暗号化だったなら恐ろしいことになります。
        そうでなくても、プロダクトIDに使われる文字種はわかっているので総当りで推測することも
        不可能ではありません。(恐ろしく時間はかかるでしょうけど)

        もしOSのバージョン、プロダクトID、ユーザー名がわかればWindowsの再アクティベーションに
        利用できる可能性があります。
        しかもPCのメーカーIDやCPUの種類、MACアドレスまで取得していますから、さらに可能性が高くなるでしょう。
        #ここではその理由や方法について書き(け)ませんが

        これらの情報は再アクティベーションだけでなく、「なりすまし」にも使える点に注意が必要です。

        さらに問題なのは、今までそれらの情報を取得して保存しているということを公表していなかったことです。
        ユーザーに無断でパソコンから個人情報を取得していたとなれば不正侵入とみなされ、不正アクセス禁止法に
        触れる行為になるかもしれません。ただし、IDやパスワードを取得しているわけではないので
        微妙なラインでしょうが。

        あと、webで一応謝罪しているようですが、今後も個人情報を取得することを堂々と表明していたり、
        いままで勝手に取得したデータの破棄などについて言及がないなど、反省の色が見られない感じがします。

        #こういうときには一度全部止めて白紙に戻してからやり直すほうがいいのでは
        親コメント
        • Re:その後の対応 (スコア:2, 参考になる)

          by Anonymous Coward on 2008年03月17日 13時58分 (#1314412)

          プロダクトIDをMD5で送信しているという言い分ですが、本当にそうなのかどなたか確認された方は
          いらっしゃるのでしょうか。ハッシュ値ではなく可逆変換できる暗号化だったなら恐ろしいことになります。
          2ちゃんねるのスレに貼ってあったスクリーンショットよると問題のバージョンのものはそのまま送ってます。
          んで、作者の人は今まで送信されたものは削除せずにMD5に変換するので問題ないといっています。
          修正バージョンではMD5に変換してから送るのか受信してから変換するつもりなのかはオフィシャルサイトの文面が意味不明なのでわかんないです。

          画像にはプロダクトIDが写っちゃってるので文字の方のログだけ引用します
          http://namidame.2ch.net/test/read.cgi/news/1205437987/265 [2ch.net]

          265 ダンサー(catv?) 2008/03/14(金) 09:38:51.04 ID:JCqol8yU0
          >>251 オレも外部と遮断したVMware環境でやってみたよ
          Body: sn=0000000000--&ma=xx-xx-xx-xx-xx-xx&ct=586&cl=15&cr=27393
          &cn=Intel(R)%20Pentium(R)%20M%20processor%201400MHz&cs=7146&rm=1003
          &os=WinXP%20Service%20Pack%202%20(5.1.2600)&osn=xxxxx-xxx-xxxxxxx-xxxxx
          &mn=xxxxxxxx&on=-&us=Administrator&nm=%BB%EE%CD%

          xxxxには実際のMACアドレス、プロダクトID、マシン名なんかが入ってる
          親コメント
        • by Anonymous Coward
          これって、簡単に言うと、秋葉原のおでん缶の自販機の近くの路上で
          「ソフト~、ソフトはいかがですか~」と呟きながらビラを撒いてい
          る方々の販売物(もしくは類似のもの)にそのユーザーのプロダクト
          IDが添付されてしまう可能性がある、ってことですよね?
          (作者の故意、または、過失によって、ですが。)
          • by gesaku (7381) on 2008年03月18日 11時18分 (#1314990)
            ググると出てくるかもしれませんが、アキバのジャンク屋などで売られている
            メーカー製PCのリカバリーディスクを自作PCにインストールすることも不可能ではないくらいの
            情報を取得していることになります。
            #路上で売ってるのはいつもスルーするのでよくわかりません
            親コメント
        • ユーザーに無断でパソコンから個人情報を取得していたとなれば不正侵入とみなされ、不正アクセス禁止法に触れる行為になるかもしれません。ただし、IDやパスワードを取得しているわけではないので 微妙なラインでしょうが。
          たとえIDとパスワードを取得するものだったとしても、不正アクセス禁止法にはふれません。いったい何条違反だというのですか?
      • by Anonymous Coward
        そりゃもちろん住所を調べて [srad.jp]取立てに行くんでは?
      • by Anonymous Coward
        >でも、現実的な問題として、それらの情報をソフトの作成者が知ったとして、いったい何ができるのだろう?

        MACアドレスが、無線アクセスポイントだった場合は住所が割れOS登録名が本名であれば…
        もちろん、法的に著作権侵害をしている相手であれば、法的手段に訴えてもいい。
        でも、少し悪知恵を働かせると示談交渉として文字通り法外な条件を飲ませる事が出来るかも。
        また、そのソフトを起動した時間、場所が解ればストーキングツールになりうる。

        PHPで書き込むって事は、サーバーのアクセスログからIPも取得できると思うのだが…

        >「負の遺産」となる個人情報を溜め込むだけなような

        法的に個人情報と判断されるかどうか、微妙な点がポイントかも。

        >詳細な調査能力や訴訟能力を持ったそこそこの企業

        でも最低限のモラルを備えていれば、同じ情報を収集するにしても、
        このようなマルウェアもどきの手法はとらないはず…と信じたい。

        #え?ソニーがCCCDにトロイの木馬をしかけてたって?
        #そりゃおま(ry
      • by Anonymous Coward
        >・ソフトの登録者名
        これに実名が使われていればどうよ?
        どこのどなたとも知れないメアドすら、量があればspam屋に売れるんだぜ?

        #っていうか、「こいつ不正使用だ!」と思えば嫌がらせしてきそうな作者なんだが
        #嫌がらせの為の機能も実装されてるかもw
    • by Anonymous Coward
      OSを入れ替えたりパソコン買い替えたりした時も、いちいち作者に連絡して
      「不正利用じゃない」旨を説明しないといけないのだろうか。

      その必要がないのならパソコンの固有情報なんて送る必要ないと思う。
      送るとしても、せめてMACアドレスまで。
    • 氏名に加えて登録番号がありますので、個人情報保護法が規定する「個人情報」に該当します。
      勝手に収集したことは明らかなので、当然ながら個人情報保護法違反です。

      個人情報を収集されることがわかっていれば購入しなかった人に関しては、
      そこに民法上の錯誤が成立し、購入時点にさかのぼって契約を取り消すことができます。
      つまり、返金の請求が可能です。
      • by Anonymous Coward
        5000人以下なのに?
        • by Anonymous Coward
          >> 5000人以下なのに?

           あ、先着4999ユーザまで登録受付して、5000件目以降は勝手に送信していても「ログに残してないもん」と言うつもりなんだ。

           それにしても、他のソフトで実現できそうな機能をシェアウェアとして売り出した収入(ベネフィット)と、「他人のなりすましができるだけ」の情報を手元に残すリスクを天秤に掛けないのかなぁと思うところです。

          # 天秤に掛けないからこそ、当初は取れる情報を根こそぎ取るような仕組みにしているとも思えますが。
          # 途中で改めても、当初の実装はそのソフト(作者)の考
  • by Anonymous Coward on 2008年03月17日 8時43分 (#1314163)
    現実にはチェックは無理でしょう。
    チェックしたと公言した場合、チェック洩れがあった場合、ユーザから責任を問われる可能性があります。

    今回の場合、たまたま平文だったので判明しましたが、もしも適切に暗号化されてたら、プログラムを解析しない限り、検出は不可能です。
    とすると、プログラム1本公開するために、ごく簡単なプログラムでも数人週、普通のプログラムだと数人月以上はかけて解析する必要があることになります。

    いまでもあまり儲からないせいでアダルトソフトにまで広告枠を売って問題になってる Vector のようなサイトに、そんなコスト負担はとてもできないでしょう。

    また、検証して公開するまでに数ヶ月単位で遅れが出るようになることも大問題だと思います。
  • by Anonymous Coward on 2008年03月17日 11時29分 (#1314283)
    アクティベーション機能搭載、と堂々とやれば宜しい。
    もっとも、送信内容は限定・厳選しておかないと叩かれるけどね。
    • by Anonymous Coward
      MSがXPにアクティベーション実装した際に散々言われてたよね。
      CPUのIDやMACアドレスから個人が特定出来るのではないか?と。
      最終的にどのパーツの値を使ってキーを作るかまで公開された [microsoft.com]
      • by Anonymous Coward
        リンク先は「FSCTL_MOVE_FILE Control Code」なのですが、何処にそんな情報が?
    • by Anonymous Coward
      下手にアクティべーションを導入すると,アクティべーション/サポート継続期間の問題が生じていろいろ話が
      ややこしくなる。 業務用ソフトでやらなくても良いのにアクティべーション入れて,メーカーもユーザーも苦労を
      抱え込むハメになった製品を知っている..............(よほど体力に自信が無ければやっちゃいかん!)
  • by Anonymous Coward on 2008年03月17日 12時08分 (#1314305)
    謝罪してるのね。アクティベーションに必要だから集めたと。
    で、既に集められたデータについては破棄処分したとか書いてないんだけど削除したの?
    パスワードで保護されたデータベースに保存されていると言っても、今まで不正に集めたデータはどうするつもりなのかな?
    本人さん、ここ見てたら処分方法とかどうするのかとか書いたら?

    #改めてシェアウェアって怖いなと思った
    • by reininn (35924) on 2008年03月17日 15時00分 (#1314465)
      シェアウェアだけが、問題な訳ではありません。
      普通に売っている製品でも起こり得る事です。
      私は、以前、ライフボートから、購入した
      カスペルスキーアンチウイルスで、同様のことをされました。
      Winsock.dllが、"ウイルス"だと、とんでもない誤認識をしたので、
      クレームを送信しようとしたら、
      なんと、インストールされているソフトウェアの一覧を
      添付ファイルで、送ろうとしていました。
      中には、私が極秘開発中のソフトまで、含まれてしまいました。
      ライフボートに抗議のメールを送りましたが、未だに回答はありません。
      親コメント
      • >中には、私が極秘開発中のソフトまで、含まれてしまいました。

        それなんて工口ケ”?

      • by Anonymous Coward
        カスペルスキーが行儀悪いのは周知の事実だと思うが、
        Winsockすり替えられてた可能性もあるんじゃないか?
        あるいはパッケトキャプチャするラッパー入れてたとか。

  • by Anonymous Coward on 2008年03月17日 16時38分 (#1314535)
    送信の可否はともかく、プロトコルがばれちゃったって事は
    捏造報告をドカンと送られたら意味無くなっちゃうよね

  • by Anonymous Coward on 2008年03月17日 16時58分 (#1314557)
    > こういうときにプロプライエタリものはおそろしいのう部門
    仮にオープンソースソフトでも同様の問題は防げないと思います。
    インストールする前にソースを査読する人がいますか?
    ソースがあれば挙動に気づいてから悪意あるソフトだと断定するまでは速くなるでしょうが、気づかない可能性は大差ないでしょう。
    • SquirrelMail [squirrelmail.org] では、リリースメンテナのアカウントがクラックされ(憶測)、外部から攻撃可能なコードが挿入されていました。

      …まぁMD5でわかったんだけどね。

      しかし普通に差分管理してればパッチ毎にコメントは書かないといけないし、パッチ作成者とコミッタが別だったりしてそれなりに査読されているプロジェクトはあると思いますよ。たとえばFreeBSD のベースシステム [freebsd.org]とか。
      親コメント
      • by Anonymous Coward
        同様に、OpenSSH も、ftp.openbsd.org がクラックされて、configure 実行時に裏口を
        開けるコードが含まれたバージョンが配布されてたことがありましたね。

        オープンソースの方が相対的には安心だし、今回のような不正コピー対策目的のものは
        防げるのは確かですが、悪意のある人間による侵入のような問題に関しては絶対に安心
        というわけではありません。
    • by Anonymous Coward
      今回のような不正コピーを防止するという動機がなくなる点で"ある程度"はマシなのではないかと。

      それにある程度の規模のオープンソースプロジェクトには複数のコーダーが関わっている場合が多いので
      "ある程度"のチェックは働きます。
      当然例のコンパイラのインシデントのようにチェックが働かない場合もいくらでもあるとは思いますが。
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...