スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

個人情報を送信するシェアウエア

MD5ってご存知ですか?デジタル署名などに使われるハッシュ関数の一つです。

今回のお題は
NB STATION製シェアウェア「DDChecker」「TN Player」が個人情報を無断送信 (窓の杜)
Vectorで公開されていたシェアウエアが、ユーザーに無断でPC内情報を作者に送信していたというニュース。

送信していた情報は、
・ソフトのシリアル番号、バージョン番号
・ソフトの登録者名
・パソコンのMACアドレス、CPU、メモリ容量、PC名、OS(種類、Ver)、メーカー名、機種名
・OSのプロダクトID (マイコンピューターを右クリック-プロパティで表示されるXXXXX-OEM-XXXXXX-XXXXX番号)
・パソコンの登録者名 (マイコンピューターを右クリック-プロパティで表示される使用者名)

とのこと。

"DDChecker"(重複ファイル検索ソフト)と"TN Player"(マルチメディアプレイヤー)だそうです。
おそらくわたしは、両シェアウエアとも使用したことがないと思いますが、よく覚えていません。

シェアウエアの不正使用防止のための個人情報収集だそうですが、送信情報が目的に合致しているとはいい難く、
また、PC内個人情報を暗々裏に送信する行為が許されるはずがありません。

個人情報保護法の観点からは大丈夫でしょうか?(ユーザー数がどの程度なのかは知りませんが)
MACアドレス、プロダクトIDは、PCを特定する情報ですし、名前もありますので、個人データに相当します。
自分の情報がどのように登録されているのか、知りたいと思う人もいるんじゃないでしょうか?
(参考法令:個人情報の保護に関する法律 24条 保有個人データの開示義務)

作者のかたは、今後も送信項目数を絞って、送信機能を搭載したシェアウエアの公開を続ける予定だそうです。
(さきほど確認したら、新バージョンが掲載されていました)
ま、秘密裏ではなく、宣言した上で送信するなら、あとはソフトを使用する人の判断。
わたしが、なにか意見するようなことでもないです。

気になるのは、ベクターの対応のほう。
・今、ベクターで公開されている、ほかのソフトは大丈夫ですか?
・再発を防ぐための対策は?
・今回の件に対する、今後の対応は?

ちょっと、気になります。

ベクターのお知らせページ http://www.vector.co.jp/info/080315_ddchecker.html

ウイルス騒ぎも記憶に新しいベクター。
質より量を追うやり方は間違っていないと思いますが、問題が続くと、窓の杜への回帰が始まりそうな気がします。
わたしは、ベクターがまだCD-ROM付き書籍の形態で書店販売されていた頃からのファンなのでちょっと心配です。


さて、MD5の話でした。
MD5はデジタル署名などに使われるハッシュ関数の一つ。
といっても、理論的な脆弱性が存在することが報告されており、日本のCRYPTRECではMD5を政府推奨暗号リストから外しているそうです。(SHA-1も外れているそうです)
Wikipedia MD5を参照ください

で、上記のシェアウエアなんですが、新バージョンでは使用者のOSのプロダクトIDをMD5値に変換して、作者の元に送信するそうです。
MD5化されていれば、元のプロダクトIDは解らないということなんですが、本当にそうなのでしょうか?
ということで、MD5化されたOSプロダクトIDの強度をたしかめるためにプログラムを組んでみました。


# MD5値化されたOSIDの検索 by focuslights
#XXXXX-OEM-XXXXXXX-XXXXX 形式のみ対応
#! ruby -Ks
$KCODE='s'
require 'digest/md5'
i=j=k=0;
while i< 100000
str_i=sprintf('%05d',i);
while j<10000000
str_j=sprintf('%07d',j);
while k<100000
str_k=sprintf('%05d',k);
strOSID=str_i+"-OEM-"+str_j+"-"+str_k;
if Digest::MD5.hexdigest(strOSID)== '***ここにMD5値を記載***' then
p strOSID
p Digest::MD5.hexdigest(strOSID);
exit;
end
k=k+1;
end
k=0;
j=j+1;
end
p "経過報告:"+ strOSID;
j=0;
i=i+1;
end

調べていませんが、おそらく世界初のMD5->OSID変換のRubyプログラムと思われます。
(だれもそんなこと試みないとおもうので)
通常、ソースコードを掲載する際には"レベルが低くて恥ずかしいです"とか書くのが礼儀とされていますが、
focuslightsはサンデープログラマなので、後ろ指さされようと平気です。

以前紹介した高橋さんのるびま、第3号の巻頭言では"Rubyらしさ"という概念が述べられています。
残念ながら、私のプログラムはRubyらしくありません。(セミコロンつけている時点で既に終わってる・・・?)
もっと精進します。

Rubyらしく記載されたソースをご存知のかたはご連絡ください。
リンクを張らせていただきます。

さすがにちょっと遅い。
ということで、MD5の解析には、MD5データベースサイトmd5();をご紹介させていただきたいと思います。http://md5.rednoize.com/


Rubyの処理が遅いことを問題視されるかたがいらっしゃいます。
focuslightsは、"処理が遅いってことは、裏でいろいろ考えてくれているってことじゃないの?"
と、良い意味で捉えています。
(普段テキストファイルのマッチングにRubyを使っているときには処理速度は気にならないので)
でも、さすがに10^17のブルートフォースループを廻すと遅いなぁ。と、フォーカスライツは思いました。
スポンサーサイト
プロフィール

focuslights

Author:focuslights

since 2007.4.29
誤りのご指摘は大歓迎ですが、考え方に対する抗議は一切お受けいたしません。
リンク確認等は不要です。

すべての文章は、法律並びに医学に対する資格を有さない、一個人の心情を吐露したものであり、法務もしくは治療法に関する情報提供を目的としたものではありません。

本ブログにはいわゆる見通情報(forward-looking statements)を含み、実質的にこれら見込みとは異なった現実的な結果に至ることがあり得ます。
本ブログはそれらを参照したことによって引き起こされる一切の結果に対して責任を負いません。
また、見通し情報に更新もしくは改正が望ましい場合であってもその義務を負いません。

批判的な文章を掲載する際には解決法の提示が望ましいと考えていますが、問題点を抽出整理して、広く知らしめることで、集合知により解決を図ることも重要と考えているため、対案の提示は必須とは考えていません。

オーストラリアのカンガルー虐殺反対活動を推進しています。

テンプレート「RotundityBlue」と「cfdn_12」を利用させていただいています
Ne me blâmez pas.

批判的なコメントを入力される時には、なるべく対象を明記してください(ブログ主への批判なのか、以前のコメントに対する批判なのか。など)

最近の記事
最近のコメント
リンク
カレンダー
02 | 2008/03 | 04
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -
ブログ検索
ブロとも申請フォーム

この人とブロともになる

RSSフィード
By FC2ブログ

Powered By FC2ブログ
ブログやるならFC2ブログ

FC2カウンタ
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。