発端
日経バイト12月号の「セキュリティ対策ソフトの新機能」の中で、ウイルスバスター2006の新機能であるフィッシング対策機能に関する解説記事が掲載されました。その記事の中で、ウイルスバスター2006は、ユーザーがアクセスしているドメイン名をトレンドマイクロのデータベースに送信しているという記述があります。
私もウイルスバスター2006をインストールしてフィッシング対策機能を試してみたのですが、たしかに何らかのデータを trendmicro.com に向かって送出しています。
3つの問題
問題の1つは、ウイルスバスター2006がこのような動作をすることが取扱説明書に書かれていないし、インストール時の注意書きにも無いことです。
トレンドマイクロ自身が、「ユーザのキーストローク(キー入力した情報)を記録し、外部に送信」するものを「スパイウェア」と定義していますが、これではウイルスバスター2006のフィッシング対策機能も「スパイウェア」だということになってしまいます。皮肉なものです。
この問題に応え、11月25日付で、トレンドマイクロはQ&Aコーナーでユーザーに周知を行いました。
この記述によると、フィッシング対策機能だけでなく、URLフィルタリングにおいても、アクセス先URLとアクセス先IPアドレスがトレンドマイクロに送信されているそうです。URLには、HTTP_GETでメールアドレスやID番号などの個人情報が付記されることがありますが、これらのパラメータは削除するようです。
ところが、Q&Aには「URL情報のみ弊社サーバに蓄積され」と明記されています。日経バイト12月号の記事には「同社のデータベースに送信したドメイン名などは保存していないという」(58ページ)と記述しているので、明らかに食い違いがあります。これが2つめの問題です。
トレンドマイクロが十分に情報公開していないのか、日経バイトの記者が誤った記事を書いたのか、そのどちらかということになります。
3つめの問題として、データを送信する際に十分な暗号化やアクセス制御が施されているのかどうか明記されていません。
万が一にもアクセス制御が不十分だと、ウイルスバスター2006自身がセキュリティホールになってしまいます。
| 2005年11月30日更新 | ||
| <<前へ | <目次> | 次へ>> |
| 戻る | 【関連ページ】 | |