ITmedia NEWS > セキュリティ >
ニュース
» 2020年06月01日 19時00分 公開

トレンドマイクロの製品に脆弱性? “マイクロソフトからBAN”の疑惑 公式は「事実と異なる」

[井上輝一,ITmedia]

 5月中旬に、英The Registerなど海外の一部メディアが「トレンドマイクロの一部製品が米Microsoftの品質保証テストをすり抜けている」と報じた。The Registerは27日(英国時間)に続報として「MicrosoftがWindows 10でトレンドマイクロのドライバーをブロックした」と報じたが、トレンドマイクロはこれら一連の報道を「事実と異なる」として否定している。セキュリティを手掛ける同社の製品を巡って何があったのか、報道と同社の見解から見ていきたい。

海外の若手リサーチャーが製品の問題を指摘

 発端となったのは、海外の若手リサーチャー、ビル・デミルカピ氏が18日に公開した、「How to use Trend Micro's Rootkit Remover to Install a Rootkit」(トレンドマイクロの「Rootkit Remover」を使ってRootkit(侵入者がコンピュータを遠隔操作するソフトウェア一式)をインストールする方法)という記事だ。

ビル・デミルカピ氏がトレンドマイクロの製品「Rootkit Buster」の問題について指摘した記事

 Rootkit Remover(正しい製品名はRootkit Buster)はPC上からRootkitを探し出して削除してくれるという無料のツールだが、同氏は「このツールが内部でどのように動いているのか、そして悪用が可能なのか気になった」として調査。その結果、この製品を利用し、管理者権限で起動すれば逆にRootkitを埋め込めることが分かったという。

 同氏は「トレンドマイクロのドライバは設計上安全ではない」と指摘した上、Microsoftが他社製品の品質を認定するテスト(WHQL)をうまくすり抜けているのではないか、とも指摘した。

トレンドマイクロは否定 製品取り下げは「別の脆弱性が理由」

 トレンドマイクロはITmedia NEWSの取材に対し、「リサーチャーの指摘は事実と異なる」と答える。

 同社はまず、「WHQLのプロセスについては、Microsoftと密接に連携して行っている」として“すり抜け”のようなことは行っていないと明確に否定。

 一方で、同社はRootkit Busterをリサーチャーの指摘後に公式サイトから一時的に取り下げ、ダウンロードできないようにしている。この理由については、「同氏の指摘を受けてソフトを審査するうちに、指摘とは別の脆弱性が見つかったから」と話す。

6月1日時点で、Rootkit Busterを同社からダウンロードすることはできなくなっている

トレンドマイクロのドライバがWindows Updateの配信ブロックリスト入り? 「当社からそう指定した」と釈明

 トレンドマイクロはリサーチャーの指摘を否定したものの、同社のドライバーをMicrosoftがWindows Updateの配信から除外したとするThe Registerの続報が疑惑に輪を掛ける。

 配信から除外されているのが分かったのは「tmcomm.sys」というトレンドマイクロのドライバで、Rootkit Busterの他、ウイルス対策ソフト「ウイルスバスタークラウド」など同社の一部製品が共通で利用している。リサーチャーは当初の指摘で、このドライバがPC内での特権的な動作に関わっているとしていた。

 サードパーティーのドライバはWHQLの認定を得るとWindows Updateで配信されるようになる。“認定すり抜け”疑惑の最中にWindows Updateの配信リストから除外されたとあって、疑惑を強める見方もできる。

 しかし、同社は「事実と異なる」と否定。「Microsoftがブロックしたのではなく、当社から配信を止めるよう依頼した」という。その理由は「5月末にMicrosoftが配信を始めた、『Windows 10 May 2020 Update』で互換性に問題があることが分かったから」。

 同社は現在取り下げているRootkit Busterとともに、問題を解決でき次第配信を再開する考え。なお、配信を止めているドライバはウイルスバスタークラウドなどの一部製品でも利用されているが、製品を最新版にアップデートしていればWindows 10のアップデートをしても製品の動作に影響はないとしている。

Copyright © ITmedia, Inc. All Rights Reserved.