セキュリティブログ

【トレンドマイクロ/閲覧履歴送信】トレンドマイクロ、国内のApp Storeからアプリが消滅

2018.09.13

9月12日、やや衝撃的なニュースがありました。現在もApp Storeにおけるトレンドマイクロさんアプリは復活は見られておりません。

◆トレンドマイクロ、国内App Storeからアプリが消滅–中国への閲覧データ送信は否定

※以下C-net Japanさんより(2018年9月12日)

トレンドマイクロは、同社の消費者向けMacOS用アプリが無断で中国国内のサーバーへ情報を送っていると指摘された件について、否定する声明を発表した。ウェブブラウザの閲覧履歴を収集しているが、ユーザーの承諾を得ており、送信先は米国内のサーバーであるとしている。

顧客の不安を解消するため、このデータ収集&送信機能は対象となった消費者向け製品から削除済みという。ただし、記事執筆時点(日本時間9月12日9時45分)、対象アプリはいずれも「Mac App Store」でアクセスできなくなっている。

同社はMacOS用アプリ「Dr. Cleaner」「Dr. Cleaner Pro」「Dr. Antivirus」「Dr. Unarchiver」「Dr. Battery」「Duplicate Finder」の機能を調査し、ウェブブラウザ閲覧履歴を収集してサーバーへ送信していることを認めた。収集するデータはアプリをインストールする前の24時間分に限られ、送信するのはその1回だけだとした。

※ここまで

ブラウザ閲覧履歴の送信は24時間分に限られる、とのことです(?)

また、タイミングはトレンドマイクロさん案件と前後するのですが、デンソーウェーブさんの案件も記憶に新しいところです。

◆QRコードリーダーを使うと読み取り時の位置情報がQRコード作成者に提供される

※以下スラドさんより(2018年8月11日)

いくつかのQRコードリーダーを試していたところ「公式」を謳うQRコードリーダーが起動時に位置情報の取得を要求してくることに気づいた。

※ここまで

ただし、こちらも既にデンソーウェーブさんから「QRコードリーダーの利用者への説明が不足し、さらにサーバー側で不必要なデータを収集していたため、サービスを中止した」との発表がなされています。

◆デンソーウェーブ、QRコード利用者のIPアドレスと位置情報を作成者に提供するサービスを中止

※日経XTECさんより(2018年8月28日)

お客様情報がサービス運営上必要なケースも当然あり、当社のイージスもお客様通信ログから攻撃通信を判断する、というシステムです。

ただ、QRコードリーダー起動時に位置情報が飛ぶ、あるいは第3国へウェブブラウザ閲覧履歴を送信する、といった「サービスに関係ない箇所」が「無断」で行われていたとすると問題です。

お客様情報の保守について、当社においても改めてKeep Confidentialに進めていきたい、と考えます。