トレンドマイクロ製品がApp Storeから締め出された事案が重大局面を迎えた。エバ・チェン社長兼CEOの声明が発表されると同時に、準備されていたZDNetニュースが報じられた。
これまでの説明とは異なり、もはやトレンドマイクロ社固有の事情を超え、情報セキュリティ業界の一般論として、業界が必要としている情報取得だったのだと正当化し、社会が理解すべきものだとして、世間に理解を求める声明になっている。
セキュリティ企業は、お客さまのセキュリティならびにプライバシーを改善する目的にのみ、お客さまから信頼いただいているセキュリティ企業としての立場と重要なお客さまのデータへのアクセスを利用すべきという考えに基づいたものです。これは、公然と行われる悪意ある活動や情報漏洩、不適切な形での広告収益化といった形で、許可なくお客さまのデータにアクセスして利益を得ようとするものからお客さまを守るためです。
(略)
ここで問題になるのが、どのようにして一般消費者の個人データやプライバシーを保護しながら、同時に効果的なセキュリティの提供を実現するか、ということです。
(略)
しかし、セキュリティはインフラのレイヤに属するものであり、単一機能のアプリに制限するものではなく、エコシステム全体で考慮する必要があります。最善のセキュリティは、それが影響する領域に関する迅速な警告に基づくものであり、その実現に当たってはユーザからの自警団的なデータに依存することになります。
セキュリティとは関連性がないアプリ(例:バンキングアプリ)で悪いことが起きるのを適切に防ぐといった形で当社が一歩先を行くためには、一定レベルの状況把握が必要になると考えております。
App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日
Chen氏は、同社のこれまでの対応に不十分な点があったことを認めるが、ユーザーのプライバシーに関わるデータをめぐっては、同社の見解がまだ十分に受け入れられていないとも主張する。
(略)
またセキュリティでも、巧妙かつ高度で複雑な脅威をとらえるためには、ユーザーの多様な情報が不可欠であり、同社に限らず多くのセキュリティ企業がユーザーのプライバシーにも関わるデータを含めて収集・分析して脅威の検知や防御に役立てている実態がある。さらには、セキュリティ企業同士や警察などの法執行機関の間でも日常的にセキュリティ関連情報を収集、共有しており、サイバー空間の安全の確保のために利用している。
Chen氏は、「(略)企業ビジネスと同じように収集対象データの種類や利用方法といったものを厳格に規定すれば、現在のサイバー空間の安全を一丸となって確保していくセキュリティ業界の仕組みや役割を後退させてしまう懸念がある」と主張する。
トレンドマイクロのチェンCEO、App Storeでのアプリ削除問題に謝罪と説明, ZDNet Japan, 2018年10月31日
情報セキュリティ業界の末席に身を置く者として、このような見解は到底容認できない。百歩譲って、セキュリティ対策ソフトが利用者の同意なくあらゆる情報を抜き取ることに正当性があるとしても、「メモリ最適化」「電池長持ち」系のアプリがそのような情報収集をすることには一切の正当性がない。開発元がセキュリティ事業者であることはそのことを何ら正当化しない。
トレンドマイクロのこのような主張は、セキュリティ事業者であれば同意なくどんな情報を取得しても許されるべきとする一般論であり、情報セキュリティ業界全体の信用を傷つけるものである。
私自身、最近、インシデント対応の当事者としてセキュリティ事業者に業務を発注する立場を初めて経験したが、切迫する状況の中で、セキュリティ事業者にホイホイとデータを渡して分析を依頼するわけだが、後から思えば、契約の内容がどうなっているかをチェックする余裕などなかった。そこには、当然、セキュリティ事業者たるもの、当該事案に係る情報しか取得しないし、事案が必要とする限度を超えて保管し続けたり、流用することなどあり得ないだろうという信用によって、ホイホイとデータを渡すわけである。
トレンドマイクロのこのような主張が、情報セキュリティ業界の標準的な考え方だと世間からみなされれば、もはや、そのような信頼関係は崩壊してしまう。
情報セキュリティ業界は、業界団体を通じて、トレンドマイクロ社のこのような理念を「我々は共有しない」旨の声明を発表するときであろう。もっとも、おそらく全ての業界団体にトレンドマイクロが幹事として入り込んでいるので、そのような声明を取りまとめることは困難かもしれない。ここは、トレンドマイクロ社を除名してでも、「我々は共有しない」旨の声明を出すべきだ。
行政機関は今日こうしたセキュリティ事業者に頼り、様々な業務委託をしている。そのような業者の経営者が、セキュリティ目的であれば契約にないところのデータまで取得しても正当であると主張しているなら、そのような業者を使うことはリスクである。入室を許すことも危うい。このような業者は政府調達から排除するべきであるし、排除するための仕組みを準備するべきである。
医療分野において過去100年間にもたらされた目覚しい発展によって、我々は恩恵を受けてきました。この成功の要因の一つは、エコシステム全体での世界レベルでのコラボレーションにあります。医師は世界中の事例を分析しています。サイバーセキュリティの分野でも同様で、エコシステム全体が役割を果たすことに頼っています。
App Store上の当社アプリに関する重要なお知らせ, トレンドマイクロ, 2018年10月31日
戦前の人体実験ではあるまいに、何を言っているのか。21世紀の今日、どれだけ医療従事者・医学研究者がインフォームド・コンセントに神経を擦り減らしてきたか。
トレンドマイクロが主張していることは、病院に来た患者は、求められた診療以外についても、医療技術・医学の発展のためには、モルモットにして許されるべきというものだ。それどころか、病院に来た付添人や面会者(「メモリ最適化」「電池長持ち」系のアプリが相当)に対しても、同意なく医学研究のための介入調査を行なって構わないという主張だ。下手をすれば、病院の外にいる通行人(LANの盗聴等がこれに相当)に対してさえも介入調査の対象にする勢いだ。
このような危険思想を振りまいて憚らない業者にはNO!を突き付けなければならない。
製品の透明性を高めるべく内部から解決を提案していた善良なエンジニア諸兄が不憫でならない。これから流出するであろうトレンドマイクロ難民を温かく迎える体制を業界の他の会社に期待したい。
事実関係について事情のわからない人にもこれを読まれるようなので、追記しておこう。
その後、日経NETWORKのインタビュー記事が出て、エバ・チェン社長兼CEOは、トレンドマイクロの製品はその全てが(セキュリティに無関係の製品であろうとも)脅威情報を収集する「センサー」だと言い切った。
脅威情報の共有に必要だった
では、どうしてWebブラウザーの履歴を取得していたのか。エバCEOはその理由を、「セキュリティー企業としての同社のDNAだ」と説明した。
同社が提供するソフトウエアはどんな種類であっても、インストール先のユーザー環境が安全であるかどうかを判断したいという。最初に削除された6製品は、Webブラウザーが直前24時間の間にアクセスした履歴を収集して、ユーザー環境の安全性の確認に利用していたと主張する。
収集した情報は、同社の「Smart Protection Network(SPN)」にも利用していたという。SPNとは、同社の様々な製品から脅威情報を収集し、これを分析することで同社製品のセキュリティー機能へフィードバックし、新しい脅威に対応しやすくするというものだ。つまり、6製品は脅威情報を収集する「センサー」としても利用していたのだ。
App Storeから消えたトレンドマイクロ、エバCEOの言い分, 日経NETWORK, 2018年11月1日
脅威情報の収集だからといって、不正アクセス行為が正当業務行為として違法性阻却されないのと同様に、刑法の不正指令電磁的記録作成・供用罪についても違法性阻却されないだろう。
そもそも、インストール直前24時間のWebアクセス履歴を確認したところで、「ユーザー環境の安全性の確認」になるはずもないことは、セキュリティ関係者には自明の理だ。加えて、Smart Protection Networkとやらの「センサー」とするのが目的なら、取得を24時間1回分に限る理由がない。さらに、Webアクセス履歴とは別にGoogle検索に入力された検索語も取得していた事実*1について、釈明が避けられている*2が、これがどう「ユーザー環境の安全性の確認」になり、どう「脅威情報の収集」に役立つと言うのか。明らかにエバ・チェン社長兼CEOは虚偽の弁明*3をしている。
インストール直前24時間に限った取得というのは、その本当の目的が謎でしかなかった(アフィリエイト説も出ていたが)が、以下の説が矛盾なく説明できるのではないか。
なるほど、広告に限らず、どのような検索で製品のダウンロードにたどり着いたかも含めて、利用者の直前の行動をトレースする分析のために収集していたのだろう。マーケティング目的で取得していたわけだ。実際、問題となったアプリは、Mac App Storeで不自然なランキング急上昇を繰り返していた記録がある。
これは許されることではない。警察庁ふうに言えば「社会的コンセンサスがあるとは言えない」だ。
トレンドマイクロは日頃から、セキュリティの脅威分析の目的でウイルス対策ソフトから吸い上げられるWebアクセス履歴の分析をしていることから、他人のWebアクセス履歴を見ることに慣れっこになっていて、感覚が麻痺しているのだろう。エバ・チェン社長兼CEOの「医師は世界中の事例を分析」の喩えに倣えば、要するうこういうことだ。『産婦人科医は日頃の診察で女性の陰部を観察し慣れているから院内の女子トイレに忍び込んで観察して構わない(院内掲示もしているし)』ということだ。気が狂っているとしか言いようがない。
日経NETWORKの記事の続く段落には次のようにある。
6製品の中にはセキュリティー機能を持たないソフトウエアが含まれる。そうしたソフトウエアは、SPNに情報を提供した恩恵を受けられない。この点について、「SPNで収集した脅威情報は、警察や他のセキュリティー企業と共有している。セキュリティー業界全体で脅威情報を共有すれば、新たな脅威に対応しやすくなり、ユーザーのメリットにつながる」(エバCEO)と反論した。
App Storeから消えたトレンドマイクロ、エバCEOの言い分, 日経NETWORK, 2018年11月1日
セキュリティ業界の必然であるかのような、このような暴言を放置してはいけない。警察や他のセキュリティ企業も、この事実を知りながらそのようなソースの情報に頼っているのなら、共犯である。違法な収集方法を警察が助長してはならない。全国の都道府県警察とJC3は、このような反社会的な思想を開陳して憚らない業者とは縁を切らなければならない。
*1 ちなみに、これらの製品は、盗み出すユーザデータを暗号化ZIP形式にして送信していたが、その暗号化の鍵(パスワード)は製品にハードコードされていて「novirus」という馬鹿げたものだったと、発見者の動画で笑い者にされていた。
*2 10月31日の準備されていたZDNetニュースでは、「ブラウザ履歴以外のユーザー情報も取得していたのではないか」との質問がぶつけられたようだが、「例えば、ライトクリーナーの場合、ユーザーのシステム情報などを取得している。」などと答えており、これに再質問しないZDNet記者の提灯ぶりが露呈していた。
*3 10月31日の準備されていたZDNetニュースでは、「「セキュリティ目的以外のアプリ」での情報の収集・利用は、当該アプリで提供する機能の実行において必要となるためだという。」とあり、完全に矛盾しているうえに、より悪質な虚偽弁明がなされている。