vectorの一部ソフトがOSプロダクトID、ユーザ名を作者サイトに送信 49
タレコミ by geregere
geregere 曰く、
NB STATIONで公開しているシェアウェアソフトとフリーソフトが、プロダクトIDなどを送信していることが分かりました。 通報をうけたVECTORは不正に情報を送信していると判断し現在は急遽公開を一時中止しております。 きっかけは、2chのお行儀の悪いWindowsソフトスレで送信パケットを解析したところ、「PCメーカー名、MACアドレス、CPUやメモリ、OS名、プロダクトID、 OS登録者名、コンピュータ名、ユーザ名」などをnbstation.comのphpスクリプトに対して平文で送信していることが分かったことです。 問題とされたTN PlayerやDDChecker以外にも、同作者が公開していた別ソフト(メールウォーズ、メールウォーズMini)のバイナリから 同様にOSのプロダクトIDを読み込んでいると可能性のある箇所が見つかっております。
どの時点でこのような機能が入ったのかは分かりませんが、長期間放置されていた可能性があります(更新履歴を見るとDDCheckerは2000年からあったようです)。 vectorのチェック体制はよくしりませんが、不正な情報送信に関してはノーチェックなのでしょうか?
リンク切れ (スコア:3, 参考になる)
ついでにwhoisで検索したら、おぉ!
Re: (スコア:0)
チェックしたつもりが...お手数おかけしてすみません。
# チェックがザルはvectorじゃなくて私でした、というオチか
whoisってこういう所ですか? (スコア:0)
Re: (スコア:0)
なんでだろー
チェック義務なんてないだろ? (スコア:2, すばらしい洞察)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
「大人の世界」ではなく「現実の世界」です。
例えば、バグの有るソフトは良いものでは無いけど、バグ無し以外のソフトは不可で完全性に責任取れなんて言ったら、
明日から全てのソフトは無くなりますな。
まあ、OSから動かない、あ、BIOSですら不可能だろうから、そもそも心配する必要もなさそうだが。
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
対策ソフトではどうにもなりません。
(そういえばwingrooveのReadmeにはそういったことが書いてありましたね)
怪しいポートを開いているとか、何処どこにアクセスしに行っているようなことは
検出できるかもしれませんが、完璧ではないですね。
Re: (スコア:0)
後は規約でちゃんと謳って、そこでおイタをした人にはちゃんとペナルティーを与えるって位かな?
手段は幾らでもあるものを、完璧を求めても無駄に手間隙金が掛かるだけ。
其処まで安全な物が欲しい人がVectorを利用するってのが間違い。
そういう人は自分で全て作るしかない。
それが出来なきゃ、全ての人の負担が現実的に収まる案で納得するしかないだろ。
チェック体制 (スコア:2, 興味深い)
Vectorのチェック体制がどうなっているのかよく知りませんが、不正な情報送信に関してはノーチェックなのでしょうか?
この手の不正ソフトウェアでいうと、古くは "WinGroove" や "Vocal Cancel" [srad.jp]、最近では "JWord" が配布されています。
アンチウイルスソフトウェアに登録されれば画一的に対処するようですが、それ以上のチェック、たとえば仮想マシン上で一通り動作させて不正な通信やディスク書き込みなどを行なっていないかどうかはノーチェックのようです。
オープンソースでないとしたら今後はこの手のチェックも行なわざるを得なくなるんでしょうね。
Re:チェック体制(-1;荒らし) (スコア:2, すばらしい洞察)
ソースが公開されてるだけで「送信しない」なんて誰も確証持てないでしょ?
誰か読んでチェックしてくれる、ってだけで無条件配布するほうが怖いぞ。
Re: (スコア:0)
不正プログラムを発見したのは、怪しい通信がされていることに
気づいてからソースを確認、そして不正プログラムを発見という
流れだったと思います。
オープンソースであることは、確認がやりやすいというだけで、
不正プログラムを事前に防げるというものではないんですよね。
しかも、sendmailのときは、あからさまに海外のIRCサーバに接続する
という一目瞭然の怪しい動作で分かっただけで、これがsendmailに
仕込まれた不正プログラムが25番ポートを使って司令ホストと通信
するようなものだったら発見されないまま、長期間、広範囲に広まった
ものと思われます。
Re: (スコア:0)
以前にも、オープンソースなソフトウェアでありながら、特定の環境でコンパイルすると違う挙動を示すようにされたものがあったと記憶しています。
(確か、/.Jでタレこまれて記事になってた……詳細は失念)
第一、公開されてるソースからそのバイナリが生成されている保障は誰がするのでしょう?
結局は、配布元が何らかのチェックをした上で配布しないといけないのではないかと思います。
# 自分でソース読んで自分でバイナリ生成すればいいだろ という突込みが怖いのでAC
Re:チェック体制(-1;荒らし) (スコア:2, 参考になる)
Re: (スコア:0)
・コンパイル時にターゲットにバックドアを仕掛ける部分
・コンパイラ(次の世代の自分)をコンパイルする際に自分自身の感染能力をコピーする部分
この2つの要素が絡み合っていたので、コンパイラとして圧倒的シェアを取ってる間はどうにもならないでしょうね。
全てが信用出来ないという点ではカーネルに組み込んで悪さをするルートキットと同じ感じでしょうか。
Re: (スコア:0)
たとえば辞書検索ソフトのJammingなどは、 特定の条件(不正なシリアルらしいが定かではない)を満たすと、 一定の確率で、意味不明なメッセージと共にシステムを強制シャットダウンします。 稼働中のアプリケーションプロセスが全てターミネトされてしまうため、 場合によってはファイルシステムが壊れてしまいます。
このように一定の手順で確実に再現するわけでもなく、 動作もウイルスとまでは言い難いが倫理的に微妙な動作などは、 Vectorなどのサイト側で確認するのが困難で、 そのうえ善悪の線引きが難しいものを全てチェックしていくのは、 現実的には難しいのではないかと思います。
Re:チェック体制 (スコア:1, 興味深い)
その後の対応 (スコア:1, 興味深い)
・ソフトの登録番号(シリアル番号)
・ソフトのバージョン番号
・ソフトの登録者名
・パソコンのMACアドレス
・パソコンのOSのバージョン
・パソコンのOSの種類
・パソコンのOSのID番号(MD5に変換したもの)
・パソコンの使用者名
「ソフトのシリアル番号の不正利用の防止」のためというには、ちょっと多すぎる気もしますが、
こんなもんでしょうか?
Re:その後の対応 (スコア:3, すばらしい洞察)
いったい何ができるのだろう?
詳細な調査能力や訴訟能力を持ったそこそこの企業以外は「負の遺産」となる個人情報を溜め込むだけ
なような気がするのですが…。
# もちろん、そのソフトの作者が善意であるという前提ですが…。
---- ばくさん!@一応IT土方
Re:その後の対応 (スコア:3, 参考になる)
それらの情報をソフトウェアの登録関連以外に利用するということは当然悪意が存在するということになります。
プロダクトIDをMD5で送信しているという言い分ですが、本当にそうなのかどなたか確認された方は
いらっしゃるのでしょうか。ハッシュ値ではなく可逆変換できる暗号化だったなら恐ろしいことになります。
そうでなくても、プロダクトIDに使われる文字種はわかっているので総当りで推測することも
不可能ではありません。(恐ろしく時間はかかるでしょうけど)
もしOSのバージョン、プロダクトID、ユーザー名がわかればWindowsの再アクティベーションに
利用できる可能性があります。
しかもPCのメーカーIDやCPUの種類、MACアドレスまで取得していますから、さらに可能性が高くなるでしょう。
#ここではその理由や方法について書き(け)ませんが
これらの情報は再アクティベーションだけでなく、「なりすまし」にも使える点に注意が必要です。
さらに問題なのは、今までそれらの情報を取得して保存しているということを公表していなかったことです。
ユーザーに無断でパソコンから個人情報を取得していたとなれば不正侵入とみなされ、不正アクセス禁止法に
触れる行為になるかもしれません。ただし、IDやパスワードを取得しているわけではないので
微妙なラインでしょうが。
あと、webで一応謝罪しているようですが、今後も個人情報を取得することを堂々と表明していたり、
いままで勝手に取得したデータの破棄などについて言及がないなど、反省の色が見られない感じがします。
#こういうときには一度全部止めて白紙に戻してからやり直すほうがいいのでは
Re:その後の対応 (スコア:2, 参考になる)
んで、作者の人は今まで送信されたものは削除せずにMD5に変換するので問題ないといっています。
修正バージョンではMD5に変換してから送るのか受信してから変換するつもりなのかはオフィシャルサイトの文面が意味不明なのでわかんないです。
画像にはプロダクトIDが写っちゃってるので文字の方のログだけ引用します
http://namidame.2ch.net/test/read.cgi/news/1205437987/265 [2ch.net]
Re: (スコア:0)
「ソフト~、ソフトはいかがですか~」と呟きながらビラを撒いてい
る方々の販売物(もしくは類似のもの)にそのユーザーのプロダクト
IDが添付されてしまう可能性がある、ってことですよね?
(作者の故意、または、過失によって、ですが。)
Re:その後の対応 (スコア:1)
メーカー製PCのリカバリーディスクを自作PCにインストールすることも不可能ではないくらいの
情報を取得していることになります。
#路上で売ってるのはいつもスルーするのでよくわかりません
不正アクセス禁止法は関係ない (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
MACアドレスが、無線アクセスポイントだった場合は住所が割れOS登録名が本名であれば…
もちろん、法的に著作権侵害をしている相手であれば、法的手段に訴えてもいい。
でも、少し悪知恵を働かせると示談交渉として文字通り法外な条件を飲ませる事が出来るかも。
また、そのソフトを起動した時間、場所が解ればストーキングツールになりうる。
PHPで書き込むって事は、サーバーのアクセスログからIPも取得できると思うのだが…
>「負の遺産」となる個人情報を溜め込むだけなような
法的に個人情報と判断されるかどうか、微妙な点がポイントかも。
>詳細な調査能力や訴訟能力を持ったそこそこの企業
でも最低限のモラルを備えていれば、同じ情報を収集するにしても、
このようなマルウェアもどきの手法はとらないはず…と信じたい。
#え?ソニーがCCCDにトロイの木馬をしかけてたって?
#そりゃおま(ry
Re: (スコア:0)
これに実名が使われていればどうよ?
どこのどなたとも知れないメアドすら、量があればspam屋に売れるんだぜ?
#っていうか、「こいつ不正使用だ!」と思えば嫌がらせしてきそうな作者なんだが
#嫌がらせの為の機能も実装されてるかもw
Re: (スコア:0)
「不正利用じゃない」旨を説明しないといけないのだろうか。
その必要がないのならパソコンの固有情報なんて送る必要ないと思う。
送るとしても、せめてMACアドレスまで。
個人情報保護法の対象になります (スコア:0)
勝手に収集したことは明らかなので、当然ながら個人情報保護法違反です。
個人情報を収集されることがわかっていれば購入しなかった人に関しては、
そこに民法上の錯誤が成立し、購入時点にさかのぼって契約を取り消すことができます。
つまり、返金の請求が可能です。
Re: (スコア:0)
Re: (スコア:0)
あ、先着4999ユーザまで登録受付して、5000件目以降は勝手に送信していても「ログに残してないもん」と言うつもりなんだ。
それにしても、他のソフトで実現できそうな機能をシェアウェアとして売り出した収入(ベネフィット)と、「他人のなりすましができるだけ」の情報を手元に残すリスクを天秤に掛けないのかなぁと思うところです。
# 天秤に掛けないからこそ、当初は取れる情報を根こそぎ取るような仕組みにしているとも思えますが。
# 途中で改めても、当初の実装はそのソフト(作者)の考
チェックは無理 (スコア:0)
チェックしたと公言した場合、チェック洩れがあった場合、ユーザから責任を問われる可能性があります。
今回の場合、たまたま平文だったので判明しましたが、もしも適切に暗号化されてたら、プログラムを解析しない限り、検出は不可能です。
とすると、プログラム1本公開するために、ごく簡単なプログラムでも数人週、普通のプログラムだと数人月以上はかけて解析する必要があることになります。
いまでもあまり儲からないせいでアダルトソフトにまで広告枠を売って問題になってる Vector のようなサイトに、そんなコスト負担はとてもできないでしょう。
また、検証して公開するまでに数ヶ月単位で遅れが出るようになることも大問題だと思います。
無断でやるから悪い (スコア:0)
もっとも、送信内容は限定・厳選しておかないと叩かれるけどね。
Re: (スコア:0)
CPUのIDやMACアドレスから個人が特定出来るのではないか?と。
最終的にどのパーツの値を使ってキーを作るかまで公開された [microsoft.com]
Re: (スコア:0)
Re: (スコア:0)
ややこしくなる。 業務用ソフトでやらなくても良いのにアクティべーション入れて,メーカーもユーザーも苦労を
抱え込むハメになった製品を知っている..............(よほど体力に自信が無ければやっちゃいかん!)
とりあえずサイト見たんだけど (スコア:0)
で、既に集められたデータについては破棄処分したとか書いてないんだけど削除したの?
パスワードで保護されたデータベースに保存されていると言っても、今まで不正に集めたデータはどうするつもりなのかな?
本人さん、ここ見てたら処分方法とかどうするのかとか書いたら?
#改めてシェアウェアって怖いなと思った
Re:とりあえずサイト見たんだけど (スコア:2, 参考になる)
普通に売っている製品でも起こり得る事です。
私は、以前、ライフボートから、購入した
カスペルスキーアンチウイルスで、同様のことをされました。
Winsock.dllが、"ウイルス"だと、とんでもない誤認識をしたので、
クレームを送信しようとしたら、
なんと、インストールされているソフトウェアの一覧を
添付ファイルで、送ろうとしていました。
中には、私が極秘開発中のソフトまで、含まれてしまいました。
ライフボートに抗議のメールを送りましたが、未だに回答はありません。
こうですか?わかりません>< (スコア:0)
それなんて工口ケ”?
Re: (スコア:0)
Winsockすり替えられてた可能性もあるんじゃないか?
あるいはパッケトキャプチャするラッパー入れてたとか。
やるなよ (スコア:0)
捏造報告をドカンと送られたら意味無くなっちゃうよね
ソースの有無 (スコア:0)
仮にオープンソースソフトでも同様の問題は防げないと思います。
インストールする前にソースを査読する人がいますか?
ソースがあれば挙動に気づいてから悪意あるソフトだと断定するまでは速くなるでしょうが、気づかない可能性は大差ないでしょう。
ソースコードへの異物混入が発見された例 (スコア:2, 参考になる)
…まぁMD5でわかったんだけどね。
しかし普通に差分管理してればパッチ毎にコメントは書かないといけないし、パッチ作成者とコミッタが別だったりしてそれなりに査読されているプロジェクトはあると思いますよ。たとえばFreeBSD のベースシステム [freebsd.org]とか。
Re: (スコア:0)
開けるコードが含まれたバージョンが配布されてたことがありましたね。
オープンソースの方が相対的には安心だし、今回のような不正コピー対策目的のものは
防げるのは確かですが、悪意のある人間による侵入のような問題に関しては絶対に安心
というわけではありません。
Re: (スコア:0)
それにある程度の規模のオープンソースプロジェクトには複数のコーダーが関わっている場合が多いので
"ある程度"のチェックは働きます。
当然例のコンパイラのインシデントのようにチェックが働かない場合もいくらでもあるとは思いますが。