パスワードを忘れた? アカウント作成
5112 story

MSがWindowsUpdateを濫用? 178

ストーリー by GetSet
やはりというか何というか 部門より

yh 曰く、 "本家発。ドイツのtecChannelというサイトが、Windows Updateの最近のバージョンで、PC上にインストールされているMicrosoft製以外のソフトウェアの情報も集められているのを確認したという。
アップデートの際にwindowsupdate.comに接続すると、PCからMSのサーバへ数キロバイトの暗号化されたデータが送られるのだが、同サイトで、この情報の読解方法を編み出し、ツールを作成したそうだ。
同サイトでは、プライバシー・ポリシーの範囲を超えた情報を集めていることについてMSに質問をしたが、詳しい返答はないとのこと。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by alp (1425) on 2003年02月27日 12時08分 (#268756) ホームページ 日記
    この辺が問題になっていたのは、もう半年以上前ですね。本当に、まじめに落ちてきたパッチの EULA 読んでます? マイクロソフトにユーザ情報なんて送られ放題、ってのをみんなとうの昔に認めているはずなのですけど。例えば、Win2000 SP3 の EULA には以下の条項が含まれており、一部で話題になっていましたが、これに従う限り今回の件の内容に問題がないことは自明でしょう。最近、この条項をほかのセキュリティパッチでも見たと思いますし、そもそもマイクロソフトの作ったものを使う限り丸裸にされるのは当然では。

    ・OS 製品または本 OS コンポーネント内のアップデート機能を 利用する場合は、その機能を使用するために特定のコンピュー タ システム、ハードウェア、およびソフトウェア情報を使用する必 要があります。これらの機能を使用することにより、お客様はマイ クロソフトまたはその指定代理人に、アップデートの目的に必要 な情報にアクセスしてこれを利用する権限を明示的に与えるも のとします。マイクロソフトは、製品の向上のため、またはお客様 にカスタマイズされたサービスもしくは技術を提供するためにのみ この技術情報を使用する場合があります。マイクロソフトは、 第三者にこの情報を開示できるものとしますが、その場合、 お客様を特定することとなるような方法で開示しないものとし ます。

    それと、セキュリティパッチは最近は Windows Update のみに変わりつつあるので、使わないわけにはいかんでしょう。カタログからの検索の場合何が送られるのかについては知らんけど。

  • そうか! (スコア:4, すばらしい洞察)

    by eric (14316) on 2003年02月27日 9時46分 (#268648)
    ちまたで話題のスパイウェアって WindowsUpdate の
    ことだったのね。
  • by chiphead (13149) on 2003年02月27日 11時10分 (#268706) 日記
    Media playerが起動時に同ソフトで再生した映画(動画)、音楽ファイルがどこから手に入れられたものかという情報もマイクロソフトに送られているようですね。やっぱり海賊版の摘発狙いなんでしょうね。
    • Media playerが起動時に同ソフトで再生した映画(動画)、音楽ファイルがどこから手に入れられたものかという情報もマイクロソフトに送られているようですね。やっぱり海賊版の摘発狙いなんでしょうね。

      興味があります。ソースはどこか教えて頂けませんか?

      親コメント
      • by moegi (4780) on 2003年02月27日 13時13分 (#268829)
        本家タレコミ記事の最後に書いてある、
        ionyka points to this "related article from ITWorld that deals with Microsoft's transferring of information through Windows Media Player. When you open up Media Player it sends information back to Microsoft like what movies you play, what songs you listen to and where they come from."
        のことでしょうね。

        リンク先を見てみると、

        • Media Player 8では、再生した動画の情報が MSに送られ、 タイトルやトラック情報が MSのサーバ上で検索されて ユーザのPCに送られる。
        • Media Player 8の識別番号と、動画の再生履歴が MSのサーバ上に記録される。
        • (この識別番号はPCのアカウント毎のものではないので)複数人で1台のPCを使用するとき、他の人の再生履歴も見ることができる。
        • "Windows Media e-mail newsletter"に登録すると、個人まで特定されてしまう。
        • MSの見解では、プライバシーの問題にはならない、としている。
        という感じのことが書かれていました。

        間違ってたら訂正をお願いします。

        親コメント
        • by Minap (9371) on 2003年02月27日 13時54分 (#268870) ホームページ 日記
           オンライン購入などで個別識別情報を必要とする人以外は、WindowsMediaPlayerの「オプション - プレイヤー - インターネットの設定」にある「個別識別を認める」のチェックを外しましょう。
           デフォルトでオンになっていますが、全く不用でありセキュリティホールにもなりますので。
          --
          --- どちらなりとご自由に --- --
          親コメント
      • by shivandragon (10040) on 2003年02月27日 13時15分 (#268830)
        動画は知りませんが、音楽だと、

        WMPの9のオプション-プライバシーに
        「不足しているメディア情報をインターネットから取得して音楽ファイルを更新する」
        ってチェック項目があります。
        これがデフォルトオンだったかは忘れましたが、これのことかと。
         #ちがったらしつれい。

        他にDVDや「保護されたコンテンツ」の情報の取得なんかもあるみたいですが、動作を良く知りません。
        親コメント
  • by celsior_user (8983) on 2003年02月27日 10時40分 (#268682) ホームページ
    も信用できなくなりますね。こんなことかかれると。

    最近M$の右に習えで、ライセンス認証と似た形でサーバに接続するアプリも増えていますが、こういった「風当たりの弱い」企業のほうがよほど怖いかも。
  • by Asagi (333) on 2003年02月27日 14時06分 (#268878) 日記
    Windows Updateからプライバシーポリシーをコピペしてみました。ご判断は各自でどうぞ。
    Windows Update プライバシー ポリシー (更新日時 2002 年 10 月 15 日)
    Windows Update はユーザーのプライバシーを保護します。適切な更新の一覧を提供するために、コンピュータからいくらかの情報を収集する必要があります。この構成情報はお客様を特定するために使用されるものではありません。必要な構成情報には次のものが含まれます:
    • オペレーティング システム バージョン番号
    • Internet Explorer バージョン番号
    • Windows Update によって更新が提供される、ほかのソフトウェアのバージョン番号
    • ハードウェア デバイスのプラグ アンド プレイ ID 番号
    • 地域と言語の設定
    収集された構成情報は適切な更新を特定し、統計情報を生成する目的にのみ使用されます。氏名、住所、電子メール アドレス、またはその他の個人を識別可能な情報がお使いのコンピュータから収集されることはありません。

    Windows Update では、正しくライセンスされた Windows を実行していることを確認するために、プロダクト ID およびプロダクト キーが収集されます。正しくライセンスされた Windows をお持ちのユーザーは、引き続き Windows Update から更新を入手することができます。プロダクト ID およびプロダクト キーは、Windows Update のセッションが終了すると破棄されます。

    Windows Update はより良いサービスを提供するため、個々のコンピュータがどれだけ頻繁にこのサイトにアクセスするか、特定の更新のダウンロードとインストールは成功したか、などの情報を追跡し記録します。この目的のため、各コンピュータを識別するために格納されているグローバル一意識別子 (GUID) が Windows によって生成されます。GUID には個人を特定できるような情報は含まれず、お客様を特定することはできません。Windows Update では、ダウンロードを試みたコンピュータの GUID、ダウンロードおよびインストールを試みた項目の ID、および上記に一覧された構成情報が記録されます。
  • 個人情報も大事だけど (スコア:2, すばらしい洞察)

    by tale (3290) on 2003年02月27日 22時05分 (#269207)

    マーケティングやソフトの機能設計に使える情報が吸い出せることも危険じゃないかな。

    どんなソフトが売れてるとか、どんな機能が良く使われてるとか、知ってると有利になるであろう情報がMSにだけ流れてることに。

    独禁法に触れてる臭いがぷんぷんするけど、この情報をアプリ開発に利用してることを立証するのは難しそう。

  • 実は... (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2003年02月27日 9時22分 (#268636)
    それは仕様ではなく、未知のバグです。
    「プライバシー・ポリシーの範囲を超えた情報を集めている」のではなく、
    想定外の情報が漏れているのです。
    この問題の原因は現在究明中であり、近日中にパッチが公開されます。

    なんてね。
    • by kicchy (4711) on 2003年02月27日 12時15分 (#268763)
      最新版パッチによりWindowsUpdateのライセンスが修正されました。

      「WindowsUpdateは、場合によってはユーザに確認なくWindows上で
       動作するソフトウェアに関する情報をMicrosoftに対し送信することが
       あります。Microsoftは、入手した情報を適切に処理し、Windowsの
       改善以外の目的では使用いたしません。」

      # とさ。
      親コメント
      • by kicchy (4711) on 2003年02月27日 12時18分 (#268766)
        後でよくよく見直したら、ネタに見えないかもしれないと
        思って書き足します。

        「コレはネタです」

        # まだ今は・・・・
        親コメント
  • うそつき (スコア:1, 余計なもの)

    じゃあ
    「この作業では、Microsoftに何も情報は送信されません」
    って言うのはうそだったのね。

    まあ、元から信用はしてないわけだが。
    --
    GUST NOTCH な気分でいこう!
    • これは便利だ。 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2003年02月27日 9時54分 (#268651)
        Windows Update プライバシーポリシー(更新日時 2002年10月15日)
         [中略]
        必要な構成情報には次のものが含まれます:
         [中略]
        ・Windows Update によって更新が提供される、ほかのソフトウェアのバージョン番号

      これまでの情報を整理しますと、Microsoft製以外のソフトウェアもWindowsUpdateによって更新が提供されるようになったということです。
      親コメント
      • by bee (10028) on 2003年02月27日 10時05分 (#268657) ホームページ 日記

        実際にMicrosoft製以外のソフトウェアもWindowsUpdateで提供されています。

        • ノートPCのタッチパッドドライバ(ALPS製)
        • サウンドカードのドライバ(AnalogDevices製)
        • マウスドライバ(Logitech製)

        とか。

        親コメント
        • by Anonymous Coward on 2003年02月27日 10時13分 (#268665)
          以前見たどこかの記事では、確か、サードパーティのプログラムでも、Microsoftのなんちゃら試験をパスしたものに限り、Windows Updateに載せられるらしいです。
          でもメーカーとしては、お金はかかるし、ドライバがバージョンアップする度にMicrosoftの試験をパスしないといけないから時間がかかるし、ということで、利用しているメーカーは少ないということでした。

          ソースを示せないため、参考までに。
          親コメント
    • by densuke (113) on 2003年02月27日 9時44分 (#268645) 日記
      たしかWindows2000 SP3あたりからその文章はなくなっていたかと。
      --
      -- やさいはけんこうにいちば〜ん!
      親コメント
    • by chocopa (14067) on 2003年02月27日 10時08分 (#268660)
      酷いですね。
      真実なら裏切られた気持ちです。
      親コメント
  • by hhb02144 (6410) on 2003年02月27日 9時47分 (#268649) ホームページ
    そーやって,M$系を脅かすソフトがインストールされていた場合は 次回updateで動作不能に設定すると...
    --
    ★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
  • こんな会社がtrustworthy computingを提唱するとは片腹痛いですね。
  • by magicME (10732) on 2003年02月27日 10時05分 (#268656)
    windows updateを皆さん使っているのでしょうか?
    私は気持ちが悪いので一度も使ったことがないです。
    セキュリティー情報を日々自らチェックしないといけないのが面倒ですが。

    MS社はwindows updateのようなソフトよりもむしろ
    セキュリティーに関する情報をもっとわかりやすい形で提供するべきだと思いますが、そんなことは言わずもがななのでしょうね

    各unixやos/2などの他のOSもしくは会社では
    MS社と比較してセキュリティーに関する情報&パッチに関するサポート体制はどうなっているのでしょうか?
    優劣に関して教えていただければ幸いです。
    • by hix (3507) on 2003年02月27日 14時28分 (#268894) 日記
      Windows Updateは使ってません。
      やましいかどうかという理由が別の方のコメントにありましたが、当方は別の理由によるものです。

      回線品質があまりよくないので、パッチ当ててる途中で回線がキレる可能性があり、そうなったら元に戻せる/正常にパッチを当てなおせる自信が無いからです。
      また、パッチのファイルサイズを通信の前に知っておきたいこと、OSの再インストール時にダウンロードしなおす時間がもったいない、という理由もあって、旧来どおりパッチをあらかじめダウンロードしておく方法を取っています。

      さらに、よその部署で、客先に納入する数十台のコンピュータを、OSのインストール→Windows Updateの実行中に、数台がWindows Updateに失敗した場面にたまたま居合わせた時に「こりゃ使い物にならねーな」と思いました。
      全てのコンピュータが同じ状態であることを保証しなければならなかったのですが、Windows Updateが失敗したコンピュータは半生のパッチがあたっているのか?部分的にパッチがあたっているのか?当たっているとOSが報告しているパッチは本当に当たっているのか?Windows Updateをやり直せば他のコンピュータと同じ状態になるのか?が、判断つかなかったようです。
      # 結局OSのインストールからやり直していました

      現状に必要なパッチを漏れなくリストアップしてくれる利点がある反面で、ダウンロード→実際のパッチ当ての作業が確実に行えて失敗してもリカバリが適切であるという点において信頼が置けないように感じられます。
      親コメント
    •  いちいちリストを洗い出していられないので、オフラインでパッチを当てる体制を作る場合以外は、WindowsUpdate使用です。

       UNIX系だと、RedHatがパッチチェックと自動アップデートに対応しています。サイトでも各バージョンの更新情報を一覧 [redhat.co.jp]で確認でき、それぞれにセキュリティかフィックスか、機能追加かのチェックが入っています。

       どちらにしてもアップデート情報の管理が仕事か、パッチあてが趣味の人でもないと、頻繁な更新チェックは難しいかと思います。
       そもそもそれが理由で、世の中に「自動アップデート」という仕組みが広まっていったんじゃなかったかな?
       ネトゲやウィルス対策、某圧縮解凍ソフトにスパイウェア対策ソフト・・・どこもかしこも自動アップデートですけどねー。
      --
      --- どちらなりとご自由に --- --
      親コメント
      • by Anonymous Coward on 2003年02月27日 10時54分 (#268692)
        UNIX系、特にフリーのやつは自分の判断で OS のバージョンを上げていくことができるし、穴のあきそうなところってだいたい分かっているのでセキュリティの情報もチェックしやすいのですが、Windows の場合はなんだか訳の分からない穴がたくさん開いてるし、OS のバージョンアップも気楽にできない。(だって高いもん。)チェック項目がありすぎたり、何より他人のマシンだったりすることが多いので面倒見切れず WindowsUpdate 便利だわー、ってことになってます。自分は。

        自分の機械くらい自分で管理しろ? 言いたいし、言ってることは言ってるけど、みんなヲタの寝言くらいにしか認識してないから。
        親コメント
    • by Nekojarashi (12812) on 2003年02月27日 10時27分 (#268676)
      職場のPC(w2k)は仕事用ということもあるので、世間様の反応を見ながら適宜対応してます。

      自宅のPC(XP)は、腐っても構わないので自動で動いてますよ。
      ダウンロード時に一応確認は出してますが、ざっと眺めて余裕があるときなら即実行、忙しいときなら後回しくらいで、ほぼ必ず適応してます。

      親コメント
    • by nabetaro (3713) on 2003年02月27日 10時45分 (#268688)
      優劣はわからないのですが、他のOSではこうだということで。
      Debian GNU/Linux 3.0の場合、aptがWindows Updateに相当すると思われます。

      インストール時の設定
        更新パッケージを取得する場所の設定中、
        セキュリティに関する更新を取得するか質問されます。(当然YES)
      ……だけか?

      セキュリティ情報の取得
        メーリングリストにセキュリティ情報が投稿されます。
        (投稿して下さっている方々ありがとうございます)
        http://www.debian.org でも確認できますね。

      更新の必要がある場合
        # apt-get update
      の後
        # apt-get install 更新するパッケージ名
      もしくは
        # apt-get upgrade
      で更新されます。

        apt-get update は cron に入れておくと便利でしょう。

      似たような機構は、redhat は up2dateがそうらしいです。
      #使ったことがないので、自信なし

      #vine も aptがあるか…
      --
      鍋太郎
      親コメント
  • クライアントマシンにどんなソフトウェアがインストールされているのか
    という事を知るという意味では、Debianでapt-get udpateした際にダウン
    ロードされるファイル群をサーバー側で追跡していけば、固定IPのマシン
    だとどんな構成かがやはりバレてしまいますよね。私自身は別に自分の
    Linux Boxにどんなソフトウェアが入っているかが知られようと特には
    困らないから、何とも思いませんが。ただ、こういう情報が漏れるのを
    気にする人の為には何らかの対処をする必要があるかもしれませんね。
    あ、プロキシ通せば済むか。
  • なにも手もとのマシンの情報をサーバに送る必要はないと思います。
    サーバ側にアップデートのリストがあってそれをダウンロードしてきて、判断すればいいだけだと思いますし。
    それをわざわざサーバ側で判断するような仕組みにしてるのは、それなりの意図があって、ということなんでしょうね。
  • これだけでも (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2003年02月27日 12時05分 (#268753)
    十分, 「日本の公的期間で導入されちゃこまる」理由になるな.

    自称, 「インターネットと直接つながっていない」
    住基ネットなんかはどうなってるんだ?

  • 問題点 (スコア:1, 興味深い)

    by Anonymous Coward on 2003年02月27日 12時24分 (#268771)
    実は皆、気づいて言ってないだけかもしれないけど、
    MSにとっての本当の問題点は

    「送信されているデータの暗号が解読されたこと」

    なんではないかと。
    ユーザ情報がこっそり送られているのがばれないようにする
    さらに強力な暗号化が施されるという対応もアリ?
    • by kona (6904) on 2003年02月27日 12時40分 (#268791) ホームページ
      タレコミ文に解読方法のリンク [tecchannel.de]があります.
      SSLでパケットを送る前に, クライアントマシンの中でSSLの呼び出しルーチンをフックして, 渡される伝文を暗号化される前に覗き見してるんです.

      これはこれでSSL伝文に対するスパイウェア技術が発見されたってことで問題なんで, アンチウイルスソフトベンダーにはSSLルーチンをフックするコードをウイルス(スパイウェア)定義ファイルに加えてほしいです.
      親コメント
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...