パスワードを忘れた? アカウント作成
13710552 story
プライバシ

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していた 44

ストーリー by hylom
これはマルウェアじゃないんですかねぇ 部門より

Trend Microなどによって提供されている複数のMac向けアプリケーションが、ユーザーに無断でWebブラウザの閲覧履歴などの情報をTrend Microのサーバーに送信していたことが明らかになった。

発端となったのは、Mac向けの「Adware Doctor」というアプリケーションがWeb閲覧履歴をユーザーに無断で中国内のサーバーに送信していたという問題(AAPL Ch.Engadget Japanese)。このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが、その後同様の行為を行っているアプリケーションがほかにも複数存在することが発見された。その中にTrend Microの「Dr. Cleaner」や「Dr. Antivirus」、「Dr. Unarchiver」も含まれていたという(AAPL Ch.の続報9to5Mac山本一郎氏によるYahoo!ニュース記事GIGAZINE)。

これらのアプリケーションはユーザーに無断でWeb閲覧履歴やApp Storeの閲覧履歴、インストールされているアプリケーション情報などをtrendmicro.comドメインのサブドメインを使って運用されているサーバーに送信していたという。なお、これらアプリケーションは現在Mac App Storeからはダウンロードできない状況になっているようだ(AAPL Ch.の続報2)。

また、Trend Microが提供しているアプリケーションだけでなく、ほかのデベロッパーによるアプリケーションからも問題のサーバーへのデータ送信が行われていることも報告されている(この問題が報告されているMalwarebytesのフォーラム)。

関連リンク

  • by Anonymous Coward on 2018年09月10日 18時56分 (#3478054)

    https://japanese.engadget.com/2018/09/10/mac-app-store-adware-doctor/ [engadget.com]

    Mac に本来存在するはずのサンドボックスが回避されて情報収集がされました。

    ブログ記事によれば、Adware DoctorはMacのサンドボックス機能(ファイルを仮想環境に隔離し、外にあるデータなどに影響を与えないようにするしくみ)を回避し、ChromeやFirefox、Safariのブラウザ履歴を取得するとのこと。

    サンドボックスが回避された(脆弱性があった)のにも関わらず、脆弱性の修正もなければ、そのアプリの販売自体も1か月近く続けられました。

    Wardle氏らはAdware DoctorがApp Storeのルールとガイドライン(データ収集に関してユーザーの同意が必要)に違反しているとして、アップルに問題を通報。しかし、その後も1ヶ月近く、App Storeで販売が続けられる状態が続いていました。

    悪意のあるソフトウェアなんてありふれているわけだし、トレンドマイクロが糞フトメーカーなのは周知の事実なのでニュース性はたいしてありません

    どう考えても Apple の対応とサンドボックス回避の脆弱性の方が大問題です

    ここに返信
    • by Anonymous Coward on 2018年09月10日 19時19分 (#3478066)

      ちらっと動画を見たけど、Adware Doctorがマルウェアのスキャンと称する作業を始める時に /home/$USER へのアクセスを求めるダイアログが出てくる模様。
      もしかして、「サンドボックス回避」ってこれのことだろうか。
      だとしたらただの間抜けなソーシャルエンジニアリングだが、わざわざ金を出して買った著名なセキュリティ会社のソフトが特別アクセスを要求したら普通の人はOKするよなあ。私自身、あそこで首をひねるくらいはするだろうが、いくら糞ソフトで有名な会社とはいえ、天下のトレンドマイクロがまさかマルウェアを配布するところまで落ちぶれているとは思わないから、たぶんOKしちまうと思う・・・。

    • by Anonymous Coward

      > トレンドマイクロが糞フトメーカーなのは周知の事実

      限界オタクには周知の事実でも企業向け製品のシェアは13年連続ナンバーワンだそうですが、勝手に企業秘密を送信したりしないってどうやって信頼できるんでしょうね。他人事ながら心配になってきます。

      • by Anonymous Coward on 2018年09月10日 20時06分 (#3478102)

        トレンドマイクロのパスワードマネージャは、JavaScriptとNode.jsを用いて構築されており、
        ローカル環境上でウェブサーバを起動し、APIコマンドを受け付けるようになっているものの、
        外部(インターネット)からウェブサーバにアクセス可能で、任意のコマンド実行が可能でした。
        GoogleのOrmandy氏は、この脆弱性を発見するのに30秒程度しかかからなかったそうです。

        パスワードマネージャが、ウェブサーバを含んでいて、外部からのアクセスも受け付ける状態だった。
        もうこれは素人でもやらないようなレベルが低いを通り越した超超超低レベルの脆弱性です。

        https://japan.zdnet.com/article/35076105/ [zdnet.com]

        まともな技術があれば、パスワードマネージャのWebサーバに外部から認証無しでアクセス可能なんていう
        アフォな脆弱性はありえないので、こんな会社の製品を導入するのは論外ですよね

        こんな会社の製品を導入する企業の方も、糞でしょう
        ローカルに勝手に認証無しでWebサーバを立て、パスワードを全世界に公開するパスワードマネージャなんていうのは、
        トレンドマイクロ以外では前例がありません

        ※この脆弱性は現在は修正済みですが、こんな低レベルの脆弱性に気が付かず製品版として販売した時点で論外です

        • by Anonymous Coward

          トレンドマイクロのパスワードマネージャはIE・Firefox・Chromeなどあらゆるブラウザに対応するため
          ローカルに構築されたHTTPサーバとブラウザアドオンが通信する仕組みになっているのだよ
          なので、HTTPサーバ自体は仕様上必要なものなのだ

          問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ

          • Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
          • ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する

          という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

          • by Anonymous Coward

            > なので、HTTPサーバ自体は仕様上必要なものなのだ

            ダウト。今時は native messaging で作るものだよ。

            • by Anonymous Coward

              日本の企業(?)に、今どきのIT技術を求めるとか馬鹿じゃないの?

              • by Anonymous Coward

                >日本の企業(?)
                書き方からして分かってると思うけど中国の会社だよ。形式上であっても東京に本社があるってのが商売上重要なんでしょうね。

          • by Anonymous Coward

            問題点はlocalhostのみから接続を受け付けるべきだったのに任意のIPアドレスからの接続を受け付けてしまった点だけ
              Windows Firewallやサードパーティ製ファイアウォールを無効にしているか、パスワードマネージャへのインバウンド接続を例外設定で許可してしまった
              ルータ(NAPT)によって割り当てられたプライベートIPアドレスがなく、グローバルIPアドレスでインターネットに接続している。あるいは悪意のあるクライアントがイントラネット上に存在する
            という2つの条件が揃った限定的なケースでのみ悪用可能な脆弱性なので、被害者はそう多くないのでは

            PoC見れば [chromium.org]わかるが完全に間違い

            • by Anonymous Coward

              外部からlocalhostのhttpdに接続できるってわけじゃなくて、
              JavaScriptコードを使ってlocalhostのhttpdにアクセスされる脆弱性なのか

              ポート空いてなくても悪用できるから事態は深刻だな

        • by Anonymous Coward

          情シスって基本クソみたいな連中がやってるから、トレンドマイクロ製品みたいな品質悪いけど値段安いやつを入れたりするんだよな

    • by Anonymous Coward

      俺はトレンドマイクロほどではないにしても、Appleもセキュリティの対応で評判がよいとはいえないので、Appleの対応が大問題だったら、トレンドマイクロも大問題だし、そうでないなら、どちらもそうでないと思うけどな。

    • by Anonymous Coward

      あなたがサンドボックスの意味を知らないとしか思えないんですが。

  • by Anonymous Coward on 2018年09月10日 18時39分 (#3478036)

    Macへの信心が足りないのではないか

    ここに返信
    • by Anonymous Coward

      別にAppleが悪いとか言ってないでしょう。そもそもありえません。
      これは100%トレンドマイクロが悪い。それだけの話です。

  • by Anonymous Coward on 2018年09月10日 18時41分 (#3478040)

    今こそ力を見せつける時だ

    ここに返信
  • by Anonymous Coward on 2018年09月10日 18時42分 (#3478042)

    ストーリーの内容見る限り
    ①トレンドマイクロが自社提供扱いしてるソフト以外にも、トレンドマイクロに勝手にデータ送信してるソフトがあった
    ②トレンドマイクロが中国のデベロッパーに作らせたアプリが、そのデベロッパーの他のアプリと同様のマルウェアだった上、そのデベロッパーにトレンドマイクロのサブドメインを使わせてた

    のどちらか、という、どう転んでも「いい加減なデベロッパーに委託してマルウェア仕込まれた」だけで済まない愚かな話に見えるんだけど。
    流石に問題大きすぎないか、これ。むしろ誤報であってほしいレベル。

    ここに返信
    • by Anonymous Coward

      だってTrendMicroだし
      定期的にやらかしてくれるメーカーという認識しかない…

      • by Anonymous Coward

        代わりばんこに泥かぶって
        ユーザを慣れさせ既成権化するのが狙いかも

      • by Anonymous Coward

        そもそもCEOが華僑だったと思うし、本国とのつながりを考えるとやるのが当然くらいのメーカー

      • by Anonymous Coward

        トレンドマイクロ製品導入しておいて問題が起きたら騒いてるのってFXや株で大損して騒いでいるのと同じだよね
        自業自得

    • by Anonymous Coward

      クラウド屋ならよくある事だけどね。
      amazonaws.comとかがアマゾンのサブドメインと言えるかは微妙だけど。
      というか普通にあらゆる犯罪の温床となってるし。

      • by Anonymous Coward

        amazonawsはAWSというクラウドサービス用ドメインなのだから当然だろ

        • by Anonymous Coward

          有名会社のサブドメインだから信用できるわけでもないし、必ずしも企業が責任もって発信しているわけではないって事ですよ。
          クラウドサービスはデベロッパー向けでエンドユーザー一般に宣伝しているわけではないのだからエンドユーザーが知っているという前提も成り立たない。

          • 企業の情シスなんかで「amazonaws.comにアクセスしてたら何かしらのAWSのサービスへの通信、トレンドマイクロにアクセスしてたらウィルス対策ソフトの通信」と判断して、ブロックしたり通したりを決定する、みたいなフローは普通だと思うんだけど。
            それを同一視しちゃうのは流石におかしくない?というか、普通のデベロッパーでも「トレンドマイクロのサブドメインに通信してた」と言われて、関係ないクラウドサービスや情報漏洩ツールだとは思わないんじゃないの?

    • by Anonymous Coward

      ①、②のどちらでもないですよ。よく読んでください。

      YONGMING ZHANGという中国人が提供していたAdware Doctorというアプリケーションが、中国内のサーバーにWeb閲覧履歴を送信していた。

      同様の手口で、Trend Microが提供している複数のアプリケーションが、Web閲覧履歴を含む複数の情報をtrendmicro.comのサブドメインで運用されているサーバーに送信していた。

      これらの二つの事象は、手口が似ているというだけで、直接の関係はありません。

      • by Anonymous Coward

        ごめんなさい。リンク先を見ると別の中国人デベロッパーが出て来ました。
        ストーリー内で「Trend Microの」と紹介されている3アプリが本当にTrend Micro製であるのか、真贋が確かではないですね。

  • by Anonymous Coward on 2018年09月10日 19時21分 (#3478067)

    ライトクリーナー使ってる人いる?
    https://www.trendmicro.com/ja_jp/about/press-release/2015/pr-20151022-01.html [trendmicro.com]
    この製品は、全世界で170万以上ダウンロード(※1)され、多くのお客さまにご利用いただいている「Dr. Cleaner」(無償版)の機能強化版(有償版)です。

    ここに返信
  • by Anonymous Coward on 2018年09月10日 19時26分 (#3478070)

    それで当のトレンドマイクロは何て説明してるの?

    ここに返信
  • by Anonymous Coward on 2018年09月10日 19時40分 (#3478081)

    デベロッパーの名前の由来は大量殺人犯のようだ。

    >このアプリケーションは中国のYONGMING ZHANGというデベロッパーによって提供されていたものだが
    Zhang Yongming [wikipedia.org]
    2008年から2012年の間に11人を殺した。犠牲者の肉を地元の市場で「ダチョウの肉」として販売したらしい。

    ここに返信
    • 中国は同姓同名の人(が国内にいる人)推定6億人以上居るらしいので、偶然の一致な可能性もなきにしもあらず、な気がする。
      わざわざマルウェア作って稼ごうという人が、意図的に殺人犯の名前なんか使うかな?
      (利益目的じゃない愉快犯の可能性もなくはないけど)

      • by Anonymous Coward

        約二人に一人は同姓同名?

        • by Anonymous Coward

          3億人×2ペアならさもありなんかと?

    • by Anonymous Coward

      「Adware Doctor」の利用者の個人情報を市場で「カモの肉」として販売するんですかね…。

  • by Anonymous Coward on 2018年09月10日 19時56分 (#3478092)

    Coinhiveなんかに言いがかりつけなくてもいくらでも点数稼ぎできるのに

    ここに返信
    • by Anonymous Coward on 2018年09月10日 20時21分 (#3478114)

      こういう事件が起きるたびにCoinhiveを持ち出してくるとは、高木浩光の取り巻きだな。
      高木浩光本人は割と優秀なのだが、取り巻きの知的レベルが低すぎるのが問題だ。

      『不正指令電磁的記録供用罪』(刑法168条の2第2項)とは、正当な理由がないのに、他人のパソコンやスマートフォン等の端末を、その意図に沿うべき動作をさせないか、あるいは、その意図に反する動作をさせるような『不正な指令』を与えるウイルス等のプログラムに感染させ、ウイルスを実行させるといった犯罪のことであるが、これには過失罪は存在しない

      Mac向けの「Adware Doctor」は、トレンドマイクロ自体が開発しているわけではなく、OEMとしてトレンドマイクロの名前とサブドメイン名を貸しているだけなので、トレンドマイクロには故意はない。
      トレンドマイクロは、委託先(OEM先)にマルウェアを仕込まれた哀れな被害者なのだよ。

      あと、実際の開発会社を捕まえればいいのでは? という点については、
      そもそも開発会社は日本の会社ではないので、日本の田舎警察には何もできないよ。

      • トレンドマイクロは、委託先(OEM先)にマルウェアを仕込まれた哀れな被害者なのだよ。

        普通のソフトウェア会社ならギリギリその言い訳も立つかもだけど、セキュリティ商品を扱う会社としては駄目でしょ。
        自社のブランド使って仕事をさせる以上、最低限やらかさないかの監視ぐらい必要じゃないの?

        • by Anonymous Coward

          別に元ACの件に関わらず普通のソフトウェア会社と言うか、他の業種でもダメじゃないかい?
          自社の名前を冠して販売している以上、エンドユーザーから見たら責任者はメーカーであり、OEM製造元とメーカーの間の責任とは全く別な話

          家電でも船井が作ったデッキをパナがパナブレンド売ればパナの責任
          食品でも日清が作った商品をPBとしてイオンが売ればイオンの責任
          でも、販社や小売として製造元の名前で売れば製造元の責任
          ※売り方に問題がある場合を除く

          • ご指摘の通り、責任はあると思いますよ?

            普通の会社なら「悪意を持った相手にOEM生産させて残念だったね、でも顧客に対する責任はとってね」になるかと思いますが
            セキュリティ企業がマルウェアを仕込んだアプリをOEM販売したと言われても「おたく本当にセキュリティ企業なの?自社ドメインまで使わせて何してるの?」になっちゃうような違い、じゃないでしょうか
            (あくまで私個人の感覚ですが)

      • by Anonymous Coward

        Adware Doctor は トレンドマイクロとは別事件では?

      • by Anonymous Coward

        App Storeで自社のキーでサインしたものを配布しておきながら「委託先のせい」は通らんよ。

        • by Anonymous Coward

          民事はいけるが、刑事は無理ってことじゃないかなあ。
          刑事でないなら神奈川県警は関係ないので。

  • by Anonymous Coward on 2018年09月10日 23時17分 (#3478233)

    どうせ材料にすらならないんだろうな

    ここに返信
  • by Anonymous Coward on 2018年09月11日 2時26分 (#3478295)

    trendmicro.comドメインのサイトに、SSH接続で何かの通信をしているのだけど、何をしているのかなあ。外部のSSHサーバに通信って、やっぱりちょっと気になるでしょ?SCPでファイルでも送り込んでいるのかな。ま、自分のPCじゃないし、いいか…

    ここに返信
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...