treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

フリーソフトを導入するときに気になること

PC セキュリティ 私流方法論

無料のソフトを使うときにどうしても気になることがあります。
今日前回の「セキュリティの効率を上げる考え方 - treedown’s Report」に引き続き、この補足的な一つの思うところをご報告します。

「そのソフト、信頼していいか?」という点です。
特にフリーソフトやフリーミアムモデルで販売されている製品が該当します。
具体的にはそのソフトがどの国で生まれたか、が気になって使えない(結果使わない)ことがあります。
昔は、そんなことなかったんです。
ごくごくココ数年での感覚で危険な感覚が芽生えてしまいました。
バグというプログラムの欠陥とは全く別の次元でセキュリティの問題が発生する傾向があるのです。どの国かはあまり言いたくないことと1つだけではない点において具体的な記載は避けております。記載のない部分につきましてはご想像にお任せします。

先にも書きましたが、今回の点はバグ・脆弱性によるセキュリティ侵害の話題ではありません。その道具の設計段階でわざわざバックドアになる設計を組み込んでいる、という点です。
しかもそれが黒と判断できるのなら簡単な話です。入れなければいいだけなのです。実際に黒と判断できるものは入れません。
その設計は毒にも薬にもなる、という黒でも白でもないグレイな部分なので、信頼に迷いが生ずることになります。
そして気が小さい私はそれをインストールするという行動に移せないのです。そういう話がつらつらと続きます。

一番最初のきっかけはDolphin Browserです。
一時期新しいブラウザを使ってみたくなって、イルカがカワイイヨね、というきっかけで使い始めました。それがこの「Dolphin Browser」です。
大手携帯電話キャリアのガラケー(auのSHARP製携帯だった記憶が)でも採用されているブラウザだからという理由で出自耳目の分からないブラウザより信用していました。
が、2011年本国のサーバに向けてユーザがブラウザ内で扱ったデータを送信している、というインシデントが公開され、ちょっとした騒ぎになっていました。特に個人的に落ち込んだのが「ブラウザ内で入力したパスワード文字列」が送信されている、というのが間違いない、とニュースで取り上げられていた点です。
ニュースをみてブラウザで利用していたサービスのパスワードはすべて変更することにしました。
そして私はこのブラウザを選択してしまった自分を呪いながらアンインストールしました。それ以来利用していません。


私は使っていませんが、前職の社内ではバイドゥIMEを使っていた(インストールしていた)人が結構いました。
意図せずインストールされた、との主張もありましたが。
ひとまずインストールして初期設定状態のこのIMEはPC上で打ち込んだ文字列や文章を本社サーバに送信し収集している、という動作をします。
ですが、この収集している目的はどこでも公言されていなくて、ソフトウェアの使用許諾条件などにも記述がない、という点がちょっとした話題になっていました。
いや、前出のDolphin Browserもそうなのですが、キーボードで入力する文字列はパスワードも含まれるのです。パスワード文字列が知らないうちに外国のサーバに送信される、というのはパスワードの意味がなくなってしまう、という感覚に陥ってしまいます。誰のどのパスワードかを特定しなければ悪用できない、という考え方もありますが、それを差し引いても入力した文字列がすべて送信される、というのはどうなんだろうか、と思ってしまいます。


その同じ国の通信機器製造大手2社の機器に対して安全保障上の脅威がある、としてメディアに取り上げられたことも記憶があります。ようするに通信機器から通信内容を抜き取ってロガーできる機能がファーム(かハードウェア)に仕込まれていた、ということが安全保障上の脅威、として話が広まっていました。
国家安全保障局という政府機関が提示した情報らしいのですが、ニュースを見たときにびっくりした記憶があります。日本の大手通信キャリアでもこの2社の製品はデータ通信製品の中核にあって、安価なデータ通信プランでは定番の機器だったので個人的にはかなりショックを受けました。
当然、通信機器製造大手2社はこれを否定しています。
結局白黒つかないまま疑惑は疑惑のままで風化しているように感じます。
ただこれに似た話は他でも、この国家安全保障局と名前の似た国土安全保障省という政府機関では「InternetExplorer」は危険だから使ってはいけない、と触れ回っていて(ニュースにもなったので対処に追われましたよ…。)これについても肝心な部分がよくわからない(結局全世界でInternetExplorerが使われなくなったわけではないから、なんだったのかが分からない、という意味で)ので、結局のところリスクがある、という点がクローズアップされているのか、競合と比較してリスクが大きい、という点がクローズアップされているのか、あるいは全く別次元の話なのか、さっぱり掴めない、というのもまた私個人としては事実なのです。
要するに、どれもこれも灰色です。

私が好んで使用しているThinkPadのメーカであるレノボもソフトウェア(正確にはファームウェアも含む)で問題を出しています。
ファームウェアの方はあまり詳しく情報が公開されていなかったのですが、ソフトウェアは「Superfish」というプレインストールソフトウェアです。
でも、これはどちらかというと冒頭に記載した脆弱性の側面が強いと主張する方もいらっしゃいます。
該当のソフトウェアはThinkPadシリーズには入っていないことと、聞き覚えが無い名称だったことから、IBM買収前から存在する本国設計のシリーズで搭載されていたプログラムだったと認識しています。
最近ThinkVantageプログラムが積極的に新しいプログラムに置き換えが進んでいます。以前の記事でもご紹介したThinkVantageツールの「Password Manager」や「省電力マネージャ」より以前でも、Windows8用が存在していない、
PC Doctor(OEM)⇒Lenovo 診断 ソリューション
ThinkVantage ToolBox⇒Lenovo Solution Center(フォントが怪しくて…)
Client Security Solution ⇒ 自然消滅?
System Migration Assistant ⇒ 自然消滅?
いくつかのソフトウェアがリニューアルの動きを見せています。
ここからはあくまでも私の空想です。
悪意がある前提で考えるとThinkVantageプログラムはIBM時代に設計・コーディングされたソフトウェアなので、あまり効果的に改変できないのではないかと思われます。そもそも技術力はあるので、新しいソフトウェアにリプレースして効果的にメーカーの思惑通りのソフトウェアを用意したい、と"もし"考えているとしたら、それは恐ろしいことです。
実際はそんなことない、と信じたい。
実際にこの問題のあと、「Lenovo's Promise for a Cleaner, Safe PC」=
「クリーンで安全なPCのためのLenovoの約束」といった主旨のプレスリリースを出しています。
信じていいか?いや、信じていますよ。
ただし、実際に廉価シリーズの本国設計の製品では1インシデント事実として発生してしまったので、やはり購入時には購入するシリーズだけは私は考えてしまいます。
ThinkPadはギリギリセーフ、かつOSはOEMのOSを検証する目的でなければWindowsをクリーンインストールする派なので、多少はマシだ、と自分に言い聞かせて好んだ道具を使い続けると思います。


と、こんな感じで目の当たりしたり実際にヒヤリハット体験したところで、一つの傾向として見つけたのがその提供企業内のリテラシー・プライバシーに対する意識、コンプライアンスを超えた倫理観がどうなのか、という点です。
別段私は、特別な考え方や高レベル高次元の要求をするつもりはありません。
ですが、こういった事案って、「無料で製品を提供しているのだから、それを使う貴方の情報をこちらがどう使ってもいいよね?」という無言の主張がされている風に「私の脳内で勝手な変換」がなされてしまい、それを使わない、という行動に反映されてしまう、というだけのことなのです。

だから本心では、よさそうだな/便利そうだなぁ…と思っているAOMEI BackupperもIOBit Advanced SystemCareもEaseUS Todo Backup&パーティション編集も(国が異なりますが)GOM PlayerもLINEもこれがきっかけで二の足踏んでしまいます。昔なら喜んでインストールしたようなソフトウェアにも関わらずです。※LINEはもうちょっと複合的な理由ですが。

※2018-09-05追記:
コメントでご要望をいただきましたので、EaseUS Todo Backupの公式ページへのリンクを記載します。ご興味がありましたらどうぞ。
https://jp.easeus.com/backup-software/free.html

 

もっと言えば、無料のセキュリティ対策ソフトでキングソフトもALYacも二の足を踏んでしまうのは、こういう文化で生まれたセキュリティソフトに自分の環境を保護する役割ができるかどうか、という点において疑問が解消されないからです。要するに安心してソフトウェアを使うことができない、と私は感じているということです。
正直レビューや情報収集を長いことした限りでは好意的な評価が多い印象です。でも実際に使い始めてから、忘れたころにやってくるのがインシデントなのです。Dolphin Browserのような喪失感はもうコリゴリ、イルカがカワイイかっただけにガッカリ感は倍増です。

結局、国レベルでソースコード開示とハード&ソフト両面でバックドア設置を規制として設けている、というルール上で開発される道具…、ある種、こういったインシデントが発生するというのはもはやその息が掛かった製品しか創造されないという受け取り方をしていいんではないか、と思ってしまいます。
ただし製品の水準や技術力はとても高い、と認めています。


なお、無料のセキュリティソフト、という話題をちょっと振りましたが、この国に限った話ではありません。どこでも大なり小なりある話です。
例えば、無料セキュリティソフトと言えば個人的にはMicrosoft Security Essentialsをいの一番にお勧めしますが、昔はavast!やAVGなども評価していました。
特にAVGです。他社製品と違ってAVG Anti-Virus Free Small Business Editionが企業内で5ライセンスまでユーザ登録のみで利用可能だったのです。(現在は廃止されています。)
これがなくなった後の数年たった現在、AVGがライセンスの規約を変更して登録する個人情報の利用範囲と第三者提供への同意事項に変更があり、10月15日から発行されるようになります。
ご興味がある方(英語ですが)ご覧ください。(AVGプライバシーポリシー)
<http://www.avg.com/us-en/privacy-new>
ポイントは無料ユーザか有料ユーザかは言及されていなくて、登録したユーザ、となっているところです。
これぞまさに「無料で製品を提供しているのだから、それを使う貴方の情報をこちらがどう使ってもいいよね?」ということだと受け取っています。
説明されている事情は分かるんですが、ちょっと怖い、というのが個人的な感覚です。
この例から考えても、国だけで判断をしてしまうのは思考停止の第一歩、とそしりを受けても仕方ないのは頭では理解できています。
また、ここで挙げたソフト以外に有害なソフトウェアがたくさんある国が他にも存在している、ということも理解しています。
ええ、理解できていても二の足を踏んでしまうのです。

自分の環境・情報は自分で守らなければならないインターネット世界だからこそ、君子危うきに近寄らず、という言葉が頭をよぎります。

優秀なソフトウェアが正当に評価される、そして安心して使うことができる、こんな当たり前な世の中が到来することを祈っています。