パスワードを忘れた? アカウント作成
298906 journal

Driverの日記: やはりスパイウェアだった 8

日記 by Driver

以前はNortonAntiVirusを使用していましたが、スキャン中はクソ重くて話にならなかったので、2004年くらいから、ウィルスバスターを使用しています。

以前、こんな記事は読んだことがあったので「へぇ~」程度には思っていたのですが。

最近、動作検証用に立てたWebサーバでのこと

Apacheのアクセスログを見ると、自分がアクセスしたページに、なんとなく同じ順序でアクセスを試みたログが多数あることに気がつきました。
CMSの管理用ページで、認証しないとアクセスできない、どのCMSを使っているか解らない限り、知りえないURLへのアクセスです。

その瞬間「ヤバイ」と感じました。
絶対スパイウェアにヤラレてると思いました。

でも、Apacheのアクセスログでは、全てエラーステータスになっています。
スパイウェアなら、キーロガーなんかも仕組まれて、ID/PWも取られているように思えます。
それなのに、認証には成功していない様子。

とりあえず、アクセス元のIPアドレス(2アドレスあった)が何者か調べてみますが、普段使用しているwhoisサービスでは、情報が得られません。
とにかくヤバイと感じていたので{ごにょごにょ}して得た結果

使用者「TRENDMICRO」

え?
今までのサーバでは、そういうログ見たことなかったんだけど・・・

この時点でハッキリしていることは
・アクセス元のIPアドレスはTRENDMICROのもので、使用しているPCにはウィルスバスターが入っている。
・ログに残っているリクエストは、管理画面の認証後でなければ解らないはずのURL。
・自分がブラウザでアクセスした遷移と同じ順で、謎のIPアドレスからのアクセスが発生している。

これは「ウィルスバスターがTRENDMICROのサーバに、ユーザーがアクセスしたURLを送信していて、そのURLにTRENDMICROからもアクセスしている」としか、私には思えませんでした。
でも、ウィルスバスターのインストール時に、ユーザーがアクセスしたURLを送信するなんて注意喚起も見た記憶がありません。
ある意味「ユーザーのプライベート情報なんじゃないの?」と思える事なのに。

で、TRENDMICROの問い合わせ窓口(オンラインチャット)で質問してみました。

その結論として
・ウイルスバスターがインストールされている端末で、オンラインフィッシング詐欺判別機能が有効になっている場合
・ブラウザでアクセスしたURLを御社(TRENDMICRO)に自動的に報告する
・この動作は安全性を評価するためであり、外部への周知は行っていない
この3点について、間違いないとの回答をもらった。

この機能というか、動作について外部に周知しないって・・・どうなの?
この回答をもらうまで、結構話をそらされていた感はあり、どうも意図的に隠しているっぽい。

でも、それって世間一般の評価基準で「スパイウェア」と言うのではないだろうか?

※この現象の再現には、いくつかの条件が必要になってくると思う(想像はついてるけど)
 実際、他のサーバではその様なことにはなっていなかった。(と思う)
----
追記(2011/2/16 22:58)

該当サーバは動作確認用に立てたサブドメインのサーバで、少なくともgoogleの検索には載っていませんでした。(立ててからの期間も短いし)
デモデータしか入っていないし、秘密のサーバでもないのでサーバへのアクセス自体は困ることではない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by 90 (35300) on 2011年02月16日 17時22分 (#1903751) 日記

    なんともツッコみどころの多い話ですね。

    # 弊社…?

  • by Anonymous Coward on 2011年02月16日 16時32分 (#1903737)

    うちのwebサーバーにもそこからのアクセスが多いですが、気持ち悪いのですべてdenyしてます。
    まあ、私自身はウイルスバスターは使っていないのですが。

  • by Anonymous Coward on 2011年02月16日 21時50分 (#1903894)

    ブラウザのツールバー系には、既に「常にそういう話がつきまとう」
    という認識ですが、問題は利用者には「便利!」という功の部分だけ宣伝して、
    罪の部分はほんの小さな警告があるかないかって所でしょうか。

    「はてなツールバー」に重要なURL情報を盗聴される恐れ,最新版で解消
    http://itpro.nikkeibp.co.jp/article/NEWS/20060201/228398/ [nikkeibp.co.jp]

    ウェブショップ情報漏洩事故の原因とgoogleツールバー,Chromeの関係
    http://www.google.com/support/forum/p/webmasters/thread?tid=2948c3bafe... [google.com]

    ブラウザにパスワードを保存させる機能や、携帯電話の簡単ログインとか、
    判っても例えば人が死ぬくらいの事例が起きないと気にしないのかも知れません。
    知っていたのに使っていた事にしたくないから、無意識のうちに知ろうとしないとかw

    • > ブラウザのツールバー系には、既に「常にそういう話がつきまとう」という認識ですが
      ツールバーだと色々情報取られていそうですが、Chrome用のプラグインってあるんですかね?(少なくとも画面上と拡張機能の中には見えていませんが)
      てっきり、ウィルスバスターが自身をプロクシとして動かしていて、該当アクセスをすべて経由するように仕込んでるのかなぁと思ったのですが。
      ブラウザで何かしている最中にウィルスバスターを止めるとセッションが切れた経験があったので。

      > ウェブショップ情報漏洩事故の原因とgoogleツールバー,Chromeの関係
      この話は知りませんでした。
      こうなってくると、Chromeもずいぶん行儀の悪いブラウザですね・・・というか
      IEだとやっていないという保障もないし、その他も・・・・・

      使い続けるなら見なかったことにするしかないということなんですかねぇ

      親コメント
typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...