ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

災難続きのWGA――偽装ワーム登場に続いてまたも集団訴訟

» 2006年07月06日 15時46分 公開
[Matt Hines,eWEEK]
eWEEK

 米Microsoftの海賊版対策プログラム「Windows Genuine Advantage(WGA)」を装ったワームをセキュリティ研究者らが発見した。またWGAプログラムをめぐっては、Microsoftを相手取り、エンドユーザーが2件目の集団訴訟を起こしている。

 WGAを装ったワームを最初に発見したのは、アンチウイルスベンダー、英Sophosの社員らを含むグループ。SophosがCuebot-Kと命名したこのウイルスは、物議を醸しているMicrosoftの海賊版対策ツールWGAを装い、人気の高いAOLのインスタントメッセージング(IM)ネットワークを介して広まっている。

 Sophosによれば、Cuebot-Kは「wgavn」という名前(正式な表示名は「Windows Genuine Advantage Validation Notification」)の新しいシステムドライバサービスとして、感染したPC上に自身を登録する。このウイルスはシステムの起動時に自動的に実行され、同ウイルスが提供するサービスリストを確認したユーザーには、「このサービスを削除あるいは停止するとシステムが不安定になる」旨が警告されるようになっている。

 研究者によれば、Cuebot-KはいったんPCに感染すると、Windowsのファイアウォールを無効にし、感染したPCへのバックドアを開く。これにより、ハッカーはマシンにリモートアクセスして、ユーザーの動きを偵察したり、DDoS(分散型サービス拒否)攻撃を仕掛けたりできるようになる。

 WGAをめぐっては最近、この脅威のほかにも活発な議論が交わされており、その対応としてMicrosoftは同プログラムのアップデート版を提供するに至っている。WGAの以前のバージョンについては、一部の向きから、「スパイウェアのような機能を備えている」との批判の声が上がっていたからだ。専門家によれば、エンドユーザーはこのアップデート版を探す際に、そうとは知らずにCuebot-Kに感染している可能性がある。

 Sophosの上級技術コンサルタント、グレアム・クルーリー氏は次のように語っている。「ユーザーはAIMの友だちリストの誰かから送られてきたファイルだと思っているかもしれないが、実際、このプログラムには友好的な意図などない。知識のあるWindowsユーザーならば、サービスリストにWGAが含まれていても驚かないだろう。そのため、このワームがPCに感染した事実を隠すためにWGAという名称を使っていることにも気付かないだろう。このマルウェアはいったんPCに感染すると、ファイアウォールを無効にし、バックドアを開く。それにより、ハッカーはそのPCを掌握し、データを盗んだり、ユーザーの動作を偵察したり、DoS攻撃を仕掛けたりできる」

 WGAを装ったウイルスに関してMicrosoftの広報担当者にコメントを求めたが、すぐには返答は得られなかった。

 さらにWGAをめぐっては、Microsoftはこのプログラムの以前のバージョンの機能をめぐり、2件目の集団訴訟を起こされている。

 原告のEngineered Process ControlsとUnivexは、エンドユーザーのデビッド・ディドミツィオ氏、エドワード・ミスファド氏、マーティン・シフェンテス氏とともに、シアトルの連邦地裁に6月29日に訴状を提出し、「Microsoftのこの技術は要するにスパイウェアだ」と主張している。

 具体的には、訴状には、「Microsoftはユーザーにこの海賊版対策プログラムが自社サーバと交信することを知らせないまま、重要なセキュリティアップデートの一環としてWGAを提供することで、意図的に顧客をだましている」と記されている。さらに訴状によれば、「このプログラムはマシンのIPアドレスやBIOS情報など、PCを容易に特定できるデータを集めており、そのほか各種の情報収集に使われないとも限らず、悪質なセキュリティ脅威と変わらない」という。

 また訴状では、WGAのこうした動作は連邦政府のスパイウェア規制法に違反していると訴えている。この申し立ては、カリフォルニア在住のユーザーが6月26日に起こした訴訟と同様だ。この訴訟は、ロサンゼルス在住のブライアン・ジョンソン氏がシアトルの連邦地裁に起こしたもの。Microsoftは4月にWGAをアップグレードした際に、同プログラムに関するすべての情報を適切に公開しなかった、というのが原告側の主張。WGAはWindowsの違法コピーの広まりを阻止するために用意された技術だ。

 WGAが最初に導入されたのは2004年だが、訴状によれば、WGAプログラムがスパイウェアのような動作をするようになったのは、海賊版Windowsを使っているユーザーをMicrosoftが特定できるよう、同社サーバと通信する形にWGAプログラムが拡張されてからだという。

 このときアップデートされたWGAツールには、2つのコンポーネント、WGA ValidationとWGA Notificationが含まれている。それぞれの役割は、Windowsが海賊版か正規版かを判別し、海賊版を使っているとMicrosoftが判断したユーザーに警告を発すること。だがWGA NotificationはMicrosoftのサーバに毎日のように「コールバック」することが分かったため、Microsoftがこの機能をWindowsユーザーの監視に使う可能性があると考える一部の人々の間で大きな論争を呼んでいる。

 Microsoftは6月27日、問題のNotificationコンポーネントをWGAから取り除くことに同意し、変更を加えたアップデート版をAutomatic Updatesを介してWindows XPユーザーに配布すると発表した。これまで、WGA NotificationがインストールされたPCは、ログインのたびにサーバ側の構成をチェックし、WGA Notificationを実行すべきかどうかを判断していた。最新版のWGA Notificationパッケージでは、この構成ファイルのチェック機能が削除されている。

 ただしMicrosoftによれば、WGA Validationは今後もWindowsが正規版かどうかを定期的にチェックするようになっている。WGAをめぐる新しい訴訟について同社幹部にコメントを求めたが、すぐに返答は得られなかった。ただし同社幹部は1件目の集団訴訟について「メリットのない訴訟だ」と指摘している。

 Microsoftの広報担当者ジム・デスラー氏はジョンソン氏の訴訟について次のように語っている。「この訴訟はWGAプログラムの本当の目的を曲解し、真の問題を見えなくしている。本当に問題なのは、海賊版ソフトウェアが消費者に及ぼす害だ。当社には、顧客から建設的なフィードバックを得られているプログラムが多数あるが、そうしたプログラムと同様、WGAも進化しており、われわれも改善を施してきた。Microsoftは今後も顧客とのコミュニケーションを改善する努力を続ける」

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.