高木浩光＠自宅の日記

■ ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである

星澤さんがウイルスバスター2006のスパイウェア疑惑について、11月2日から書いていらしたが、18日になってもト レンドマイクロから回答が得られないとお困りのご様子だったので、21日 の午前、私も聞 いてみることにした。

一般的に、ユーザからの問い合わせが多くなる商品を販売している会社では、 この種の重要事項の問い合わせ（たとえば脆弱性の指摘など）が、ユーザの一 般的な質問に紛れ込んでしまい、判断のできる肝心な担当者へ情報が伝わらな いということが起きがちなものだ。そこで、大代表に電話をし、個人情報保護 担当者と電話で話したいと伝えた。 （トレン ドマイクロの個人情報保護方針にはメールアドレスしか書いてない。） すると「システムの都合でここから個人情報保護担当者には電話をつなげない」 と言われるわけだが、その対応は想定の範囲内なので、「折り返しお電話いた だければと思います」と主張したところ、しばらく後に、個人情報保護担当の 方から自宅にお電話いただくことができた。

いろいろ質問したところ、正確に回答するためにメールで回答したいとのこと だった。そして、今日、メールでの回答が到着した。

以下は、私がした質問の内容と、それに対応する回答（先方のご希望に沿って 正確を期すため、回答の部分は原文のまま変えずに引用する）である。

質問: 送信しているデータはURLの全体なのか一部なのか？

回答: トレンドマイクロのサーバ（以下弊社サーバ）にはパラメータも含めた全ての 情報を送信します。ユーザが意図的にメールアドレスなどをＵＲＬに入れた場 合やセキュリティ上問題のあるWebベースのアプリケーション（URLにパスワー ドや重要な情報がそのままの形で出てしまうようなサイト）にアクセスした場 合、FORMの隠しフィールドやリンクにこれらの情報が埋め込まれたページが表 示され、ユーザーが明示的に入力しなくても、ＵＲＬリンクのクリックやＦＯ ＲＭの入力を行ったときに、それらの付随する（明示的に入力されていない） データも結果として送信されることはあります。ただし、弊社サーバに保存さ れるのはＵＲＬだけで、パラメータは保存されません。

質問: 送信しているデータは、復号可能な暗号化を施したものか、それとも 一方向性関数でハッシュしたものか？

回答: （秘密鍵で複合化（原文ママ）するタイプの）暗号化処理をしています。

質問: 暗号アルゴリズムは何か？ 鍵長は何ビットか？ （https サイトの ように、ユーザの情報を送信する暗号化通信では、鍵長が何ビットであるかが 表示されるようになっているのだから、自動的にユーザの行動情報を送信する ウイルスバスターも、鍵長をユーザが知ることができるようになっているべき ではないか？）

回答: これ以上の情報は弊社として社外秘扱いの情報としておりますため回答 できません。あしからずご了承ください。

質問: ウイルスバスターはトレンドマイクロの定義で言うところの「スパイウ エア」に該当するのではないか？

回答: [URLフィルタ機能]ならびに[フィッシング詐欺対策ツールバー]の実装 に関して、お客様に対して十分な説明が無かったことに関しましては、弊社と いたしましても謙虚に受け止め、今後、弊社ホームページならびに製品ヘルプ 等へ本仕様に関する情報を明記を行い、お客様に対して情報開示を行っていき たいと考えております。

（これは回答になっていないので、「はい」または「いいえ」で回答するよう、 再度問い合わせ中。）

さて、トレンドマイクロの用語集に掲載されている、スパイウェアの項目を見てみる。

スパイウェア

「スパイウェア」は不正プログラムには分類されないグレーゾーンのプログラムです。ユーザのコンピュータの動きや個人情報を監視し、この種の情報をユーザの許可またはユーザに知らせることなしに送信するアプリケーションであり、動きとしては情報漏洩型ハッキングツー ルに似ていますが、一般的なソフトウェア会社によって作成されてい る、セキュリティポリシーが開示されている、セキュリティに致命 的な情報を流さない、などの条件により特に不正なものとは断定でき ないものです。逆に言うと「スパイウェア」と呼ばれているものは 特に致命的な情報を漏らすことはない、とも言えます。致命的な情報を漏らす ものはハッキングツールに分類され、当然検出の対象となります。

ウイルス対策基礎知識 - 用語集, トレンドマイクロ株式会社

まさに、ウイルスバスター2006は「スパイウェア」である。

スパイウェアという言葉の定義が広すぎるあまりに、事業者間で紛争が起きて いることは、英語圏からのニュースで伝えられてきたところだ。他社製品を スパイ呼ばわりするわけだから、紛争が起きても不思議でない。

だが、ウイルス対策ソフトベンダーは、そうした紛争のリスクを承知の上で、 意識的にあえて「スパイウェア」を広い意味で定義してきたのだと思われる。

なぜなら、上の定義で「ハッキングツールに分類」されるようなマルウェアの 場合、ユーザのコンピュータに本当に仕込まれていることは、そう多くはない だろう。そうすると、（狭い意味の）「スパイウェア」対策ソフトをせっかく 開発して販売しても、何も検出されないことがほとんどであっては、ユーザが そのソフトのありがた味を感じることができない。つまり、できるだけ広い範 囲で検出するようにしないとビジネスにならない。

実際どうだろうか。初めてスパイウェア対策ソフトを動かしてみたときに、何十個ものスパイウェアが検出されたと*1 思ったら、単にcookieの検出だったなんて ことを経験した人は多いだろう。cookieのようなものまで「スパイウェア」 ということにしてしまうことは、対策ソフトベンダーにとってはビジネス上必 要なことだったのだろう。

そういう経緯のあるウイルス対策ソフトが、自分自身が「スパイウェア」の挙 動をしているのである。

ソニーBMGの音楽CDがrootkitまがいのものをインストールするという騒動でも 明らかになったように、「何をやってはいけないのか」という常識が、セキュ リティコミュニティにはあっても、一般企業の全部にまでは浸透してないとい うことがある。そうした「常識」は必ずしも法律で定めらるわけではないのだ から、批判を繰り返すことによって、一般企業へも理解を広めていくしかない だろう。

同様に、「ユーザに知らせることなしにユーザのコンピュータの動きを送信す る」というこの種の挙動は、これまでにも何度かの騒動を経て、やってはいけ ないことだという常識が、少なくともセキュリティコミュニティにはできあがっ ていた。

企業が他社製品をスパイ呼ばわりしていいのか？ とも思えるところ、これは セキュリティ業界では常識なので、スパイ呼ばわりしてよいというわけである。トレンドマイクロの「スパイウェア」の定義のように、 「ユーザに知らせることなしにユーザのコンピュータの動きを送信する」アプ リケーションのことをスパイウェア呼ばわりするのは、許されているわけだ。

したがって、ウイルスバスター2006をスパイウェア呼ばわりすることを、トレ ンドマイクロは止めることができない。

ちなみに、現時点でも、トレンドマイクロホームページの「ニュースとお知らせ」に、 この件のアナウンスが出ていない。

（つづく）