5月中旬に、英The Registerなど海外の一部メディアが「トレンドマイクロの一部製品が米Microsoftの品質保証テストをすり抜けている」と報じた。The Registerは27日(英国時間)に続報として「MicrosoftがWindows 10でトレンドマイクロのドライバーをブロックした」と報じたが、トレンドマイクロはこれら一連の報道を「事実と異なる」として否定している。セキュリティを手掛ける同社の製品を巡って何があったのか、報道と同社の見解から見ていきたい。
●海外の若手リサーチャーが製品の問題を指摘
発端となったのは、海外の若手リサーチャー、ビル・デミルカピ氏が18日に公開した、「How to use Trend Micro's Rootkit Remover to Install a Rootkit」(トレンドマイクロの「Rootkit Remover」を使ってRootkit(侵入者がコンピュータを遠隔操作するソフトウェア一式)をインストールする方法)という記事だ。
Rootkit Remover(正しい製品名はRootkit Buster)はPC上からRootkitを探し出して削除してくれるという無料のツールだが、同氏は「このツールが内部でどのように動いているのか、そして悪用が可能なのか気になった」として調査。その結果、この製品を利用し、管理者権限で起動すれば逆にRootkitを埋め込めることが分かったという。
同氏は「トレンドマイクロのドライバは設計上安全ではない」と指摘した上、Microsoftが他社製品の品質を認定するテスト(WHQL)をうまくすり抜けているのではないか、とも指摘した。
●トレンドマイクロは否定 製品取り下げは「別の脆弱性が理由」
トレンドマイクロはITmedia NEWSの取材に対し、「リサーチャーの指摘は事実と異なる」と答える。
同社はまず、「WHQLのプロセスについては、Microsoftと密接に連携して行っている」として“すり抜け”のようなことは行っていないと明確に否定。
一方で、同社はRootkit Busterをリサーチャーの指摘後に公式サイトから一時的に取り下げ、ダウンロードできないようにしている。この理由については、「同氏の指摘を受けてソフトを審査するうちに、指摘とは別の脆弱性が見つかったから」と話す。
●トレンドマイクロのドライバがWindows Updateの配信ブロックリスト入り? 「当社からそう指定した」と釈明
トレンドマイクロはリサーチャーの指摘を否定したものの、同社のドライバーをMicrosoftがWindows Updateの配信から除外したとするThe Registerの続報が疑惑に輪を掛ける。
配信から除外されているのが分かったのは「tmcomm.sys」というトレンドマイクロのドライバで、Rootkit Busterの他、ウイルス対策ソフト「ウイルスバスタークラウド」など同社の一部製品が共通で利用している。リサーチャーは当初の指摘で、このドライバがPC内での特権的な動作に関わっているとしていた。
サードパーティーのドライバはWHQLの認定を得るとWindows Updateで配信されるようになる。“認定すり抜け”疑惑の最中にWindows Updateの配信リストから除外されたとあって、疑惑を強める見方もできる。
しかし、同社は「事実と異なる」と否定。「Microsoftがブロックしたのではなく、当社から配信を止めるよう依頼した」という。その理由は「5月末にMicrosoftが配信を始めた、『Windows 10 May 2020 Update』で互換性に問題があることが分かったから」。
同社は現在取り下げているRootkit Busterとともに、問題を解決でき次第配信を再開する考え。なお、配信を止めているドライバはウイルスバスタークラウドなどの一部製品でも利用されているが、製品を最新版にアップデートしていればWindows 10のアップデートをしても製品の動作に影響はないとしている。
(出典 news.nicovideo.jp)
<このニュースへのネットの反応>
知らぬ間に他のシステムと一緒に…紛れ込んだのです…
マジかよ。使い捨てラズパイでフルオープンモードで擬態しつつ、問題があれば手刀で折ればいいよね?
映画『マイノリティリポート』を思い出した。
>同氏の指摘を受けてソフトを審査するうちに、指摘とは別の脆弱性が見つかったから公式サイトから一時的に取り下げ、ダウンロードできないようにしている 結局ダメじゃねえかw
どのみち脆弱性はあったっていう
いつぞやのwinクラッシュ事件を思い出すなぁ・・・
Microsoftは他社製品の品質をテストする暇があったら自社製品の品質をテストして(懇願)
>>Guest WHQLの認証はMSは直接テストしてないぞ。MSから認定、委託された会社がやってる。
トレンドマイクロはそんなことはしてないって言ってるだけで、ビル・デミルカピ氏が指摘した内容について技術的な反論はしていない件についてw
コメントする