Tポイントツールバーが立派なマルウェアである件

せきゅ

 
 しらべた。
 
 まず利用許諾。情報の収集についてこんなことが書いてある。

第6条(履歴の収集)
1.利用者は、当社が提供した本ツールバーをインストールした利用者端末による全てのWEB閲覧履歴(閲覧したURL、検索キーワード、ファイル名及びアクセス日時等の履歴情報をいい、以下「WEB閲覧履歴」といいます)が当社により取得されることをあらかじめ承諾するものとします。
1.当社は、前項に基づき取得した利用者のWEB閲覧履歴を蓄積し、?T会員規約に基づき当社が保有する利用者の購買履歴等の会員情報とWEB閲覧履歴を組み合わせて当社が利用者にとって有益であると判断する広告の表示並びに広告メール及びダイレクトメールの送付等を行うためのデータベースとして利用すること、?個人を特定できないマーケティング情報として加工し利用(第三者への譲渡を含む)することができるものとします。
1.本ツールバーには固有の利用番号が登録されています。当該利用番号は、本ツールバーが機能するために必要な情報であり、無効化あるいは削除することはできません。
2.当社が本ツールバーに関連して利用者より取得する個人情報の取り扱いについては、「T会員規約」及び「Tサイトサービス利用規約」の定めによるものとします。
 番号がおかしいのは原文のままである。
 注目すべきはここ。

ツールバーをインストールした利用者端末による全てのWEB閲覧履歴(閲覧したURL、検索キーワード、ファイル名及びアクセス日時等の履歴情報をいい、以下「WEB閲覧履歴」といいます)が当社により取得されることをあらかじめ承諾するものとします。
 これだけでも相当ひどいもんだが,「当社により」という部分を覚えておこう。
 
 で,解析したところ,利用履歴が「log.opt.ne.jp」というところにあるトラッキング用のCGIに送られていることがわかった。
 
 log.opt.ne.jp の所有者は株式会社オプトである。カルチュア・コンビニエンス・クラブではない。
 CCCはオプトの大規模株主であり,第三位にある。業務・資本提携を結んでいるが,同一の会社ではない。
 
 これは利用者が利用許諾で許容した動作ではないことをまず覚えておこう。
 
 なに,説明しているページがある?
 規約とは別に,規約からリンクも張らずに示したところで許諾には含まれない。当然だろう。そもそもインストール時に表示される規約にも書かれていない。「運営体制」などというリンクでダウンロードページからリンクしていても,まさかそこに「他社に送ります」などという利用規約にない重要な事柄があると誰も予想しないだろう。
 
 そもそもだ。
 「*カルチュア・コンビニエンス・クラブ株式会社は、お客様の同意を得て、株式会社オプトへWEB閲覧履歴、性別・生年月日、郵便番号などの属性データを匿名で提供します。」
 利用許諾にない文言を誰が同意したっていうんだ?これだけの情報を与えておいて何が匿名だ。
 かつ。CCCが提供しているんじゃない。WEB閲覧履歴はオプトが直接収集している。真っ赤なウソだ。
 
 次に,データの送り方。すでにあちこちで指摘されているように,SSLで表示したページであっても平文でURLが送られる。通常,SSLで暗号化通信を行うと,途中経路ではドメイン名までしかわからない。しかし,TポイントツールバーはURLを全部,引数つきで送る。一般的にSSLを使っているページでは「お客様の個人情報を保護するため,SSLにより安全性を確保しています」といった説明が行われる。が,Tポイントツールバーをインストールした環境ではそれが裏切られる。
 これは利用者の意図に反した動作である。
 
 さらに,ローカルアドレスだろうがなんだろうが,Tポイントツールバーは収集する。もし企業内でこれをインストールしてしまう馬鹿がひとりでもいたなら,社内のイントラネットサイトマップが作られてしまうだろう。組織のセキュリティレベルが引き下げられることになる。それがどうした,という向きもあるだろうが,場合によっては社内文書の文書名が持ち出されることを考えたら,やはりリスクであるだろう。
 
 まだある。これをインストールした状態で,Amazon楽天のオンラインショッピングを利用したとしよう。すると,どの商品を,いつ,誰が買ったかが収集されることになる。商品ページからカートに飛び,決済ページを通っていれば買ったことがわかるからだ。無論,買わなかったこともわかる。「この商品に興味はあるが,買わなかった」という,これまでのTカードでは収集できなかった情報が収集されるのだ。
 しかも,Amazon楽天はポイントプログラム参加企業ではない。
 
 Tポイントツールバーは斯様に貪欲かつ悪質なまでに情報を吸い上げる。
 
 企業はTポイントツールバーを禁止すべきだ。また,オンラインショップはTポイントツールバーをインストールしている者が商品ページに訪れることを食い止めなければならない。何物かがショップ内を覗き見て,顧客の動向を収集した挙句,自社の広告を出そうとしているのだ。これは倫理的にも許されることではない。
 
 
 ここまでの動作をまとめるとこうである。

  • 規約に反して,株式会社オプトが情報を収集している。
  • CCCがオプトに個人情報を渡すことを許諾する手続きがない。
  • これら「利用者の意図に反する動作」が,「故意に実装されている」
  • 各社オンラインショッピングサイトは「ポイントプログラムに参加していないのに顧客の購買情報が奪われる」うえ,「ポイントプログラムに参加していないためそれらの統計情報が手に入らない」
  • CCCとオプトは「ポイントプログラム外の購買行動(買わなくてもだ!)を収集できるようになる
  • イントラなどで文書名が流出する可能性がある
  • ログイン後の画面遷移がマッピングされる可能性がある。っていうかされる。

 ということになるか。
 さらに@dechnostick氏の解析によれば,TサイトにログインしたときのCookieと,端末のMAC AddressをSHA128256でハッシュした先頭50桁が送られている。どこかのサイトを見るたびにTサイトのCookieを吸出し,オプトに送っているのだ。同じようにどこかのサイトのCookieも送ろうと思えばできるし,表示内容も取ろうと思えば取れる。Tポイントツールバーは斯様に悪意のあるプログラムなのだ。
 
 実はまだ隠されたものがある。
 ツールバー上のボタンを操作すると,その操作履歴がオプトでもCCCでもない別のところオプトの効果測定サービスに送られるのだ。
 そんなこと,規約にも運用体制にも書いていない。
 
 ここで昨年追加された刑法の条文を引用しておこう。

刑法 第十九章の二 不正指令電磁的記録に関する罪
 
(不正指令電磁的記録作成等)
第百六十八条の二  正当な理由がないのに、人の電子計算機における実行の用に供する目的で、次に掲げる電磁的記録その他の記録を作成し、又は提供した者は、三年以下の懲役又は五十万円以下の罰金に処する。
一  人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
二  前号に掲げるもののほか、同号の不正な指令を記述した電磁的記録その他の記録
2  正当な理由がないのに、前項第一号に掲げる電磁的記録を人の電子計算機における実行の用に供した者も、同項と同様とする。
3  前項の罪の未遂は、罰する。
(強調は引用者による)
 正当な理由ってのは違法性阻却事由のこと。CCCにそんなもんは欠片もない。
 
 Tポイントツールバーは限りなく不正指令電磁的記録に該当する可能性が高いし,CCCはこれを故意にばらまいている。京都府警か警視庁か,どこでもいいからはよ動けや。
 
 
 対策として,企業や学校ではTポイントツールバーのインストールを厳禁することが必要だ。
 また,オンラインショップサイトではTポイントツールバーがインストールされている端末を検出してアクセスさせないことが必要になる。
 だがしかし,Tポイントツールバーを検出する方法はまだ見つけていない。タイプライブラリに含められるならVBSのCreateObjectで掴んでみてその結果を入れたオブジェクトがNullかどうかでわかるんだけど,その手は使えなかった。どうやりゃいいんだろ。
 
 追記:トラックバックをいただいた。こちらの方法ではブラウザにTポイントツールバーがインストールされているかどうかを検出できる。管理者な人は参考にされたし。
 (dechnostick の日記 - Tポイントツールバーの挙動 : http://d.hatena.ne.jp/dechnostick/20120814/1344965687 およびsの前日のエントリhttp://d.hatena.ne.jp/dechnostick/20120813/1344880063

 とにかくTポイントツールバーは「インストールしない」「させない」「配らせない」の3ない運動が必要。これは日本人がインターネットを安全に利用するために必要な施策だ。ウイルス対策ソフトが早期に検出することを望む。
 
 最低限の自衛策として以下の方法を強く推奨する。

  1. 管理者権限のある管理者アカウントでログインする。
  2. スタートボタンからWindows7なら「プログラムとファイルの検索」,WindowsXPなら「ファイル名を指定して実行」で「cmd」と入力する。
  3. 開いたコマンドプロンプトで「notepad %WINDIR%\system32\drivers\etc\hosts」と入力する
  4. メモ帳で,最後の行に「127.0.0.1 log.opt.ne.jp」と入力する。スペースの部分はTABキーで入力する。
  5. 同様にもう一行,「127.0.0.1 r.advg.jp」と入力して保存する。こちらもスペースはTABキーで。

 以上の操作を行えば,WEB閲覧履歴とボタン操作履歴が送られなくなる。そのかわりボタン操作はできないが,そもそもこんなマルウェアを使うくらいなら速攻でアンインストールするべきだ。自分だけでなく,周囲に迷惑を振りまいていることになるので,決してインストールしてはいけない。
 
 追記:
 バージョンアップ()笑したそうだが,マッタク改善されていない。平文だからまずいのではなく,無節操に収集するのがまずいのだ。
 
 存在そのものがEvilなんだよ。