アカウント名:
パスワード:
プロダクトIDをMD5で送信しているという言い分ですが、本当にそうなのかどなたか確認された方は いらっしゃるのでしょうか。ハッシュ値ではなく可逆変換できる暗号化だったなら恐ろしいことになります。
265 ダンサー(catv?) 2008/03/14(金) 09:38:51.04 ID:JCqol8yU0 >>251 オレも外部と遮断したVMware環境でやってみたよ Body: sn=0000000000--&ma=xx-xx-xx-xx-xx-xx&ct=586&cl=15&cr=27393 &cn=Intel(R)%20Pentium(R)%20M%20processor%201400MHz&cs=7146&rm=1003 &os=WinXP%20Service%20Pack%202%20(5.1.2600)&osn=xxxxx-xxx-xxxxxxx-xxxxx &mn=xxxxxxxx&on=-&us=Administrator&nm=%BB%EE%CD% xxxxには実際のMACアドレス、プロダクトID、マシン名なんかが入ってる
ユーザーに無断でパソコンから個人情報を取得していたとなれば不正侵入とみなされ、不正アクセス禁止法に触れる行為になるかもしれません。ただし、IDやパスワードを取得しているわけではないので 微妙なラインでしょうが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
その後の対応 (スコア:1, 興味深い)
・ソフトの登録番号(シリアル番号)
・ソフトのバージョン番号
・ソフトの登録者名
・パソコンのMACアドレス
・パソコンのOSのバージョン
・パソコンのOSの種類
・パソコンのOSのID番号(MD5に変換したもの)
・パソコンの使用者名
「ソフトのシリアル番号の不正利用の防止」のためというには、ちょっと多すぎる気もしますが、
こんなもんでしょうか?
Re:その後の対応 (スコア:3, すばらしい洞察)
いったい何ができるのだろう?
詳細な調査能力や訴訟能力を持ったそこそこの企業以外は「負の遺産」となる個人情報を溜め込むだけ
なような気がするのですが…。
# もちろん、そのソフトの作者が善意であるという前提ですが…。
---- ばくさん!@一応IT土方
Re:その後の対応 (スコア:3, 参考になる)
それらの情報をソフトウェアの登録関連以外に利用するということは当然悪意が存在するということになります。
プロダクトIDをMD5で送信しているという言い分ですが、本当にそうなのかどなたか確認された方は
いらっしゃるのでしょうか。ハッシュ値ではなく可逆変換できる暗号化だったなら恐ろしいことになります。
そうでなくても、プロダクトIDに使われる文字種はわかっているので総当りで推測することも
不可能ではありません。(恐ろしく時間はかかるでしょうけど)
もしOSのバージョン、プロダクトID、ユーザー名がわかればWindowsの再アクティベーションに
利用できる可能性があります。
しかもPCのメーカーIDやCPUの種類、MACアドレスまで取得していますから、さらに可能性が高くなるでしょう。
#ここではその理由や方法について書き(け)ませんが
これらの情報は再アクティベーションだけでなく、「なりすまし」にも使える点に注意が必要です。
さらに問題なのは、今までそれらの情報を取得して保存しているということを公表していなかったことです。
ユーザーに無断でパソコンから個人情報を取得していたとなれば不正侵入とみなされ、不正アクセス禁止法に
触れる行為になるかもしれません。ただし、IDやパスワードを取得しているわけではないので
微妙なラインでしょうが。
あと、webで一応謝罪しているようですが、今後も個人情報を取得することを堂々と表明していたり、
いままで勝手に取得したデータの破棄などについて言及がないなど、反省の色が見られない感じがします。
#こういうときには一度全部止めて白紙に戻してからやり直すほうがいいのでは
Re:その後の対応 (スコア:2, 参考になる)
んで、作者の人は今まで送信されたものは削除せずにMD5に変換するので問題ないといっています。
修正バージョンではMD5に変換してから送るのか受信してから変換するつもりなのかはオフィシャルサイトの文面が意味不明なのでわかんないです。
画像にはプロダクトIDが写っちゃってるので文字の方のログだけ引用します
http://namidame.2ch.net/test/read.cgi/news/1205437987/265 [2ch.net]
Re: (スコア:0)
「ソフト~、ソフトはいかがですか~」と呟きながらビラを撒いてい
る方々の販売物(もしくは類似のもの)にそのユーザーのプロダクト
IDが添付されてしまう可能性がある、ってことですよね?
(作者の故意、または、過失によって、ですが。)
Re:その後の対応 (スコア:1)
メーカー製PCのリカバリーディスクを自作PCにインストールすることも不可能ではないくらいの
情報を取得していることになります。
#路上で売ってるのはいつもスルーするのでよくわかりません
不正アクセス禁止法は関係ない (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
MACアドレスが、無線アクセスポイントだった場合は住所が割れOS登録名が本名であれば…
もちろん、法的に著作権侵害をしている相手であれば、法的手段に訴えてもいい。
でも、少し悪知恵を働かせると示談交渉として文字通り法外な条件を飲ませる事が出来るかも。
また、そのソフトを起動した時間、場所が解ればストーキングツールになりうる。
PHPで書き込むって事は、サーバーのアクセスログからIPも取得できると思うのだが…
>「負の遺産」となる個人情報を溜め込むだけなような
法的に個人情報と判断されるかどうか、微妙な点がポイントかも。
>詳細な調査能力や訴訟能力を持ったそこそこの企業
でも最低限のモラルを備えていれば、同じ情報を収集するにしても、
このようなマルウェアもどきの手法はとらないはず…と信じたい。
#え?ソニーがCCCDにトロイの木馬をしかけてたって?
#そりゃおま(ry
Re: (スコア:0)
これに実名が使われていればどうよ?
どこのどなたとも知れないメアドすら、量があればspam屋に売れるんだぜ?
#っていうか、「こいつ不正使用だ!」と思えば嫌がらせしてきそうな作者なんだが
#嫌がらせの為の機能も実装されてるかもw