マルチデバイス対応ながら、iOS版のインストールができなくなっているトレンドマイクロ製品

【日高彰の業界を斬る・30】9月21日、家電量販店のスマートフォン売り場はiPhone新モデルの発売に沸いていた。しかし、売り場に多数並ぶスマホ関連商品の中、トレンドマイクロのセキュリティソフト「ウイルスバスター モバイル」は深刻な問題を抱えていた。購入しても、iPhoneへのインストールができないのだ。

(以下、本稿は9月21日時点の情報に基づき執筆) 9月12日、iOSの「App Store」およびmacOSの「Mac App Store」を通じてトレンドマイクロが提供している全アプリが、両ストア上から削除された。一般ユーザーがiOSのアプリをインストールする方法はストア経由に限られているため、ストアでの公開が再開されない限り、店頭でウイルスバスター モバイルのライセンスを購入しても利用できない。個人向け製品だけでなく、企業が従業員の端末管理に使う「Trend Micro Mobile Security」も削除されている。既にインストール済みの環境では使用を継続できるが、新規インストールだけでなくアップデートも行えないため、事態が長引けば同社のiPhone/iPad向け事業に大きく影響するものと考えられる。

通常、アップルがストア向けのアプリを却下・削除した場合、開発元にガイドラインのどの条項に抵触したかが通知される。しかし、本稿を執筆している9月21日時点でも、トレンドマイクロ広報は「削除理由については確認中」とのみ回答している。アップルには再公開の申請を行っているということだが、本当に削除理由がいまだに確認できていないのだとすれば、アプリの再公開がいつになるのか見通しはまったく立たないことになる。

一部の家電量販店では、トレンドマイクロからの通知文書をPCソフト売り場に掲示するなどして、現在iOS版のインストールができないことを顧客に案内している。しかし、そのような店でも携帯電話の販売部門と情報共有ができていないのか、スマホアクセサリ売り場では何の忠告もなく、普通にウイルスバスター モバイルを購入することができた。実際に編集部でもインストール手順を進めてみたが、やはり導入は不可能だった。今のところ、大きな混乱につながっていないようで、返金などについてトレンドマイクロでは「サポート窓口で個別に対応する」としている。

Mac版ソフトに、ブラウザ履歴収集の問題

公式には、アプリの削除理由が語られていないものの、トレンドマイクロ製品で明らかな問題となっていたのが、ストア上で提供していたMac版のユーティリティソフトが、ウェブブラウザの閲覧履歴を収集し、クラウド上に送信していたことだ。日本市場向けの製品では、「ライトクリーナー」「ライトクリーナーLE」がこの動きをしていたという。米国法人がまず現地時間9月10日のブログ記事でこの問題を認め、ストアから同社製品が一斉に消えると、日本の本社も国内向けのサイト上に「お知らせ」を掲載した。

これと同時期、トレンドマイクロとは別の開発者が公開していたMac用の人気ソフト「Adware Doctor」が、問題となったトレンドマイクロ製品と類似の手法でブラウザ履歴を取得し、中国にあるとみられるサーバーへ送信していたことが指摘されていた。このため、トレンドマイクロは発表文の中で「中国への送信」を強く否定。また、取得した履歴はソフトのインストール時点からさかのぼって24時間以内のものに限られていたと強調した。

しかし、問題の本質は送信先や取得期間ではなく、セキュリティ企業が提供するソフトが、ユーザーのプライバシー情報を収集していたことだ。

同社広報は、閲覧履歴の取得理由について、セキュリティやサービス品質改善のためと説明。ユーザーのウェブサイトの閲覧状況を調査することで、不正サイトなどへのアクセスをブロックする精度を高めるのが目的であり、同社が「スマートプロテクションネットワーク」の名称で運用している機能の一環だという。

しかし、セキュリティが目的であれば、1度だけではなく定期的に閲覧履歴を取得し、データベースの質を継続して高めるよう設計するのが自然ではないだろうか。また、米国法人のブログでは、システム最適化や圧縮ファイルの展開といったセキュリティとは直接関係ないソフトが閲覧履歴を取得していた原因として、コードライブラリを複数のソフトで共用していたことを挙げている。「セキュリティ目的で情報を取得した」という説明と、「本来情報を取得する必要のなかったソフトも、開発プロセス上の事情で取得していた」という説明が並立しており、矛盾とまでは言えないものの違和感は残る。

専門家やコミュニティからの指摘が相次ぎ、トレンドマイクロは対象のソフトから閲覧履歴の取得機能を削除するとともに、情報を蓄積していた米国サーバーからデータを消去。これに先立つ9月7日、日本市場で提供していた「ライトクリーナー」シリーズはバージョンアップを行い、ユーザーが閲覧履歴の取得を拒否してもソフトが使えるよう、インストール画面に動作を選択するチェックボックスを追加していたという。ただ、いずれにしてもストアからソフトが消えてしまったことで、これらの改定が行われた新バージョンの入手は不可能になっている。

薬だと思っていたソフトが毒になり得る

オンラインで提供されるユーティリティソフトが、実はユーザーの挙動を収集していたという事件は昔から何度となく繰り返し発生してきた。「またか」と思うベテランユーザーもいることだろう。また、仮に閲覧履歴の取得が続いていたとしても、それが直接の原因となって深刻な事件が発生する可能性はそれほど高くないと思う。

しかし、それでも名の知られたセキュリティ企業の製品が、このような動作をしていたという事実は深刻だ。なぜならば、サイバー攻撃を防ぐため、システムの深部でプログラムの動きや通信内容を監視するという性質上、セキュリティソフトはシステムを破壊したり、プライバシーを“だだ漏れ”にしたりすることも、技術的には可能な立ち位置にあるからだ。App Store経由で提供されるソフトは本来そのような動きはしないはずなのだが、今回問題となったソフト群は、実際にはアップルの審査をいったんは通過していた。

ごく一部の専門家を除き、デジタル機器のユーザーには、セキュリティ製品がどのような動作をしているか知る術はない。ウイルスの検知率といった定量的なスペックにも極端な差はなく、製品選択にあたって頼りにするのはブランドだけというケースがほとんどだろう。情報の取得について使用許諾契約書に書かれているといっても、「悪者に備えて警備員を雇ったら、その警備員が主人の秘密を漏らしていた」というような動作を想像するユーザーはいない。

トレンドマイクロの国内向けサイトでは、App Storeでの製品提供の状況に関して情報が複数回アップデートされているが、履歴取得問題については米国ブログの記事のほうが充実している。同社では、米国版記事で語られている情報自体は日本版のお知らせでも網羅されている、としており、背景に関して今後特段の充実を図る予定はない様子だ。

また、これと前後して、米国のApp Store上に中国風の個人開発者名義で公開されていたソフト「Open Any Files: RAR Support」が、実はトレンドマイクロのソフトだったことがわかっている。なぜこのような事態が起きたかは確認中だという。

上記のとおり、セキュリティ製品は外からみてもわからない部分が多く、「毒」にも「薬」にも作用し得る。ベンダーには徹底した情報公開で、自社の製品が「薬」であることを明らかにしてほしい。新たにお伝えすべき情報が入れば続報する。(BCN・日高 彰)

「ウレぴあ総研」更新情報が受け取れます