Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

利用者情報を無断送信するソフトを公開中止 - ベクター

オンラインソフトのポータルサイトを運営するベクターは、一部ソフトが利用者の許可なくユーザー情報を取得し、作者に送信していたとして公開を中止した。

問題が判明したソフトウェアは、同一の作者が開発した「DDChecker 5.2.2」「同5.3」「TN Player 1.0.2」「同1.0.4」の4作品。同ポータル経由で、のべ721回ダウンロードされている。同作者は9タイトル111バージョンを公開しているが、ベクターの調査では4作品以外に問題はなかったという。

送信されていたのは、ソフトウェアの「シリアル番号」や「バージョン」のほか、パソコンの「MACアドレス」「CPU」「メモリ容量」「コンピュータ名」「OS」「ID番号」「メーカー名」「機種名」「使用者名」 。データは、ソフトの登録時やバージョンの変更時、毎月最初の利用時などに送信されるという。

作者は自身のウェブサイトで、情報の取得について、シェアウェアの不正利用防止や利用者の環境を把握するためだったと釈明。利用環境を把握する行為については、スパイウェアと同等の行為との指摘を認め、認識に誤りがあったとして謝罪を表明した。

今後は、情報の送信について確認画面を表示するよう変更。添付される文書でも取得データや利用目的を明示する。またデータについては、シリアルの有効性を確認するために必要な情報以外を削除した。ただし不正番号を使用を試みたパソコンの使用者名については記録を残すという。

(Security NEXT - 2008/03/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

macOS向けアップデート - 複数脆弱性を修正
委託先にサイバー攻撃、顧客などへ脅迫メール届く - 北関東マツダ
様式と誤って個人情報含むファイルをメール送信 - 嘉手納町
調達業務の見積依頼で、受信者間にメアド流出 - 日本国際協力システム
多数システムでランサム被害、復旧や事業継続に追われる - ならコープ
正規の「リモート管理ソフト」が攻撃者のバックドアに - 米政府が警戒呼びかけ
狙われる「Telerik UI for ASP.NET AJAX」の既知脆弱性
「BIND 9」にサービス拒否の脆弱性 - アップデートが公開
メール誤送信で見学会予約者のメアド流出 - NEXCO東日本
MS&ADと米インシュアテック企業、サイバーリスク可視化で共同開発