るなおーびっと!

トレンドマイクロがフェイクアプリについて注意喚起するという渾身のギャグをかました件

2019/01/15 12:59 投稿

  • タグ:
  • セキュリティ

はて、これはいったい何の冗談なのでしょうか?

というのも、自称日本企業のトレンドマイクロ(以下トレンドマイクロ)がリリースしたアプリが、秘密裏にデータを収集し、中国のサーバーと通信しているとして、Mac App ストアから消された問題が2018年9月上旬ごろに起こったからなのです。

この時、TrendMicro(以下TrendMicro)は、指摘された問題について、一部認めるものの、通信は中国のサーバーではなく、Amazon AWS(米)と行っていたのだと弁明しました。
https://newsroom.trendmicro.com/blog/simply-security/answers-your-questions-our-apps-mac-app-store

Domain Name: drcleaner.com
Registry Domain ID: 1624168901_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Updated Date: 2018-09-17T04:21:41Z
Creation Date: 2010-11-06T18:10:40Z
Registrar Registration Expiration Date: 2019-11-06T19:10:40Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: email@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited http://www.icann.org/epp#clientDeleteProhibited
Registrant Organization: Trend Micro, Inc
Registrant State/Province: Texas
Registrant Country: US
Registrant Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=drcleaner.com
Admin Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=drcleaner.com
Tech Email: Select Contact Domain Holder link at https://www.godaddy.com/whois/results.aspx?domain=drcleaner.com
Name Server: NS-1337.AWSDNS-39.ORG
Name Server: NS-1759.AWSDNS-27.CO.UK
Name Server: NS-80.AWSDNS-10.COM
Name Server: NS-929.AWSDNS-52.NET
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>> Last update of WHOIS database: 2018-11-23T15:00:00Z <<<

(以下略)

確かに、2019年1月15日現在、通信していたとされるサーバーのドメインの今のwhoisを見ると、登録者がTrend Micro, Incだし、国籍もUS(米国)なので、TrendMicroの発表通りのように見えます。

しかし、このdrcleaner.comというドメインのwhoisは、問題が起きた当時(アップルから削除されてTrendMicroが問題を発表する前)はそうではなかったと記憶しております。Updated Date(更新日)が2018年9月17日(多分UTC)と、TrendMicroの発表があった2018年9月10日よりも後ですしね。

で、幸いにもInternet Archiveに古い情報が残っていました。
https://web.archive.org/web/20180911092629/https://www.whois.com/whois/drcleaner.com

Domain Name: drcleaner.com
Registry Domain ID: 1624168901_DOMAIN_COM-VRSN
Registrar WHOIS Server: grs-whois.hichina.com
Registrar URL: http://whois.aliyun.com
Updated Date: 2017-05-16T06:52:11Z
Creation Date: 2010-11-06T18:10:40Z
Registrar Registration Expiration Date: 2018-11-06T19:10:40Z
Registrar: Alibaba Cloud Computing (Beijing) Co., Ltd.
Registrar IANA ID: 420
Reseller:
Domain Status: ok https://icann.org/epp#ok
Registrant City: nan jing shi
Registrant State/Province: jiang su
Registry Registrant ID: Not Available From Registry
Name Server: NS-1337.AWSDNS-39.ORG
Name Server: NS-1759.AWSDNS-27.CO.UK
Name Server: NS-80.AWSDNS-10.COM
Name Server: NS-929.AWSDNS-52.NET
DNSSEC: unsigned
Registrar Abuse Contact Email: email@service.aliyun.com
Registrar Abuse Contact Phone: +86.95187
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
>>>Last update of WHOIS database: 2018-09-07T19:44:30Z <<<

(以下略)

赤字にした部分の上から順に
hichina → Hi China、中国のドメイン登録サービス
aliyun → 阿里雲、アリババクラウドコンピューティング。アリババの阿里とクラウドの雲
Alibaba → 阿里巴巴(アリババ)、中国の企業
IANA ID: 420 → Alibaba Cloud Computing (Beijing) Co., Ltd.を指す番号
nan jing shi → 南京市、中華人民共和国の副省級市
jiang su → 江蘇省、中華人民共和国の行政区の一つ
@service.aliyun.com → 阿里雲が登録者(登録代行)なので必然的に連絡先も阿里雲
Registar Abouse Contact Phone → 上に同じ。+86は中国の国際電話番号

名前から察するに、アリババにもクラウドサービスはあるみたいです。ただし、おそらくドメインの登録のみで、ネームサーバーから察するに、AWSかと。

うん、嘘はついてないね。でも同じ時期に消されたAdware Doctorが通信していたサーバーのドメインと同じ登録者ってのはどういうこと何でしょうかねぇ…。

AWSのサーバーは米国だろうと、AWSと契約し、サーバー構築した人物の国籍が重要ではないだろうか…はてさて真相はいかに?


2018/8/5 Privacy 1st氏(@privacy1st)が中国製アプリであるAdware Doctorの不審な動きを指摘する
https://twitter.com/privacyis1st/status/1026031328767225856

2018/8/13 Privacy 1st氏が@TrendMicroに対してアプリの不審な要求を指摘する。
https://twitter.com/privacyis1st/status/1028976939476967424

時期不明 元NSA所属のハッカーでもあるWardle氏が、Adware Doctorが裏で何をやっているのかを具体的にブログにて解説。通信しているサーバーのうちの一つはadwaredoctor.com。リンク先にある日付は“Adware Doctorがストアから削除された”と追記したときの更新日
https://objective-see.com/blog/blog_0x37.html

・2018/9/8 Mac App ストアからAdware Doctorが削除される

2018/9/8 Privacy 1st氏が再び@TrendMicroに対して、今度は画像付きで不審な動きを指摘する。
https://twitter.com/privacyis1st/status/1038376220625461249

・2018/9/10? Mac App ストアから、Dr.CleanerやDr.AntivirusなどTrendMicro配信のアプリが削除される。
この時、6つの収集を行ってたとされるアプリ以外も巻き添えで停止した模様。

2018/9/10 TrendMicro、英語の開発者ブログにて発表を行う。第三者から指摘されている中国のサーバーとの通信を否定。データ収集および収集したデータの通信を認める。データ収集する目的とその利用法について弁解。米国のサーバー(Amazon AWS)と通信していると弁明
https://newsroom.trendmicro.com/blog/simply-security/answers-your-questions-our-apps-mac-app-store

・2018/9/10 Privacy 1st氏、adwaredoctor.comとdrcleaner.comが同じ中国のドメイン登録サービスを使用していることを指摘
https://twitter.com/privacyis1st/status/1039094331393691648

2018/09/12 トレンドマイクロ、日本語のサポートページに、アプリが停止されたことと、再度申請を行っているということだけを発表する
https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=3271

2018/09/17(UST?) drcleaner.comのwhoisが更新され、登録者がトレンドマイクロ名義になる。


関連リンク

無断でユーザのPCの情報を収集&送信してた、自称純国産企業のトレンドマイクロの国籍ロンダリングのまとめ - 黒翼猫のコンピュータ日記 2nd Edition
http://blog.livedoor.jp/blackwingcat/archives/1972355.html


コメント

コメントはまだありません
コメントを書き込むにはログインしてください。

いまブロマガで人気の記事