トレンドマイクロ社の(評価下げ)快進撃は続きますね。
IOS向けセキュリティソフトではユーザーに無許可で個人を識別できるデータを本社サーバーに送信、見苦しい言い訳をするもAppストアから強制削除された過去を持っています。
簡単に言えば、Appleからも怒られたことのある由緒ある会社です。
フリーのセキュリティソフトで怪しい挙動……はよくありますが、
これが価格帯であれば、かなり上の位置に存在するセキュリティソフトがやってるから面白い。
今回の問題の発端は、ある大学生のツイートから始まります
How to use @TrendMicro's Rootkit Remover to Install a Rootkit, including a fun bonus discovery that @TrendMicro is cheating WHQL certification. cc @msftsecurity https://t.co/c7EEOEnISa
— Bill Demirkapi (@BillDemirkapi) May 18, 2020
Bill Demirkapiはトレンドマイクロ社のRootkit Buster(ルートキットバスター)のソースコードに違和感を抱き、解析。
その結果は脆弱性があった上に、それを隠蔽していた……。というもの。
ルートキットバスターについては、
ルートキットバスターは、隠しファイル、レジストリ、プロセス、ドライバ、
マスターブートレコード(MBR)などを検索し、ルートキットを特定、駆除するツールです。
これ自体は悪いモノではありません。
通常のウイルスチェックでは見つけられない部分に隠されたウイルスを見つけ出すもの……ぐらいの理解で十分です。
正確には、ウイルスに感染する足掛かりを見つけるものですが、どっちも同じようなものです。
今回の騒動をきれいにまとめられた記事が、こちら。
発見したBill Demirkapiへの取材、トレンドマイクロ社の見解、全てがまとめられています。
タイトルは「Tech's Volkswagen moment? Trend Micro accused of cheating Microsoft driver QA by detecting test suite」
日本語に訳すと「テック界のフォルクスワーゲンか?トレンドマイクロ社はMicrosoftのQAドライバのチェックシステムを検出し騙していたと非難されている」といったところ。
フォルクスワーゲンは排気ガス量を偽るシステムで炎上した過去があります。
内容をざっくり説明すると、
ソフトウェア内に重大な脆弱性があり、それを用いることで、管理者権限を奪うことができる。
とのこと。
管理者権限があればウイルス入れ放題。
しかし、一番の問題はこのような脆弱性はMicrosoftのシステムに検出されるハズなんですよ。
どうやら、この検出システムに引っかからないように作られていたそうです。
チェックソフトの入っているPC上では、それっぽい挙動をして、検出から逃げていたそうで。
最悪、脆弱性を持っている、だけならよかったのですが、検出回避が事実なら大問題ですよ。
この発表の後、Bill Demirkapiには感謝状……とはなりませんでした。
Interesting response from @TrendMicro, directly calling me out as an attention-seeker instead of addressing why I'm wrong. Not only was there no vulnerability to report, but I reached out to @msftsecurity weeks ago regarding the WHQL situation. https://t.co/0MneI0fNnU
— Bill Demirkapi (@BillDemirkapi) May 20, 2020
トレンドマイクロ社に目立ちたがり屋と非難されたようです。
Disappointing official vendor response https://t.co/lMwD3whTko claims the researcher was "looking for attention" and didn't follow CVD. Newsflash: there's no CVD for cheating on tests, this isn't a security bug. Also claims to be working with "Microsoft Security Driver Team" (??) https://t.co/UDt1Iwtct9
— Alex Ionescu (@aionescu) May 20, 2020
トレンドマイクロ社の見解にツッコミを入れているのがAlex Ionescu。
トレンドマイクロ社は「Microsoft Security Driver Teamと共同開発しているのだから、検出回避プログラムなんて入れない」と言っていますが……
Microsoft Security Driver Teamなんて部署は存在しません。
Microsoft Security Response Centerが正しいMicrosoftのセキュリティ関係の部署です。
共同開発しているのに、ここまで派手に間違える。
いやー、不思議ですねぇ。
では、Microsoftの回答ですが。
For the laypeople, this is a screenshot Microsoft's "Driver Compatibility Database", which was recently updated for the latest Windows 10 Release (20H1/2004) to block the drivers that "cheat" on the WHQL test.
— Alex Ionescu (@aionescu) May 27, 2020
本騒動のソフトをBANしました。
それに合わせて、トレンドマイクロ社はダウンロードできないようにしたようです。
私個人としては、Microsoft Security Driver Teamの声明が欲しいですね。
そんなチームが存在するなら、ですけど。
今回の騒動で、トレンドマイクロ社の商品をオススメできない理由が1つ増えました。
使うなとは言いませんが、AppleとMicrosoftに「ユーザーに害をなすソフト」認定されたソフトを作った由緒ある会社のソフトを大金払って買いますか?
私なら買いません。
そのお金で数日分の晩御飯を豪華にするのが有意義です。