パスワードを忘れた? アカウント作成
13968087 story
Windows

Microsoft EdgeのSmartScreen、ユーザーのセキュリティ識別子をサーバーに送信 60

ストーリー by headless
識別 部門より

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイートBleeping Computerの記事BetaNewsの記事Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年07月27日 17時51分 (#3659396)

    SIDと、ディレクトリ構造と、訪問URLのセットが蓄積されていて、それが今後漏洩する。
    プロのマルウェア開発者なら、取るべき行動は決まってくると思うのですが。

    • by Anonymous Coward

      SIDだけでは何かできるわけではないし、送信先も固定されているのでは、利用するのは難しい。
      まあ、設定の同期とか使わないようにするんだね。
      気になるならProxyサーバー経由のアクセスにして、Proxyサーバーでフィルタしたほうがいい。

      • by Anonymous Coward

        ローカルディスクを探索するまでもなく、端末のディレクトリ構造がわかるわけだから、速攻で情報を狙い撃ちする。

        • by Anonymous Coward

          パスワードと同様、ディレクトリ構造も定期的に変更する時代になるのか

          • by Anonymous Coward on 2019年07月28日 7時11分 (#3659549)

            そういえば、自分は漏れちゃ困る個人情報を保管したディレクトリの名前を毎年変えてたな。
            ディレクトリパス漏洩時に備えて。

            というのも、Officeが、編集したファイルのパスをイベントログに全部記録していて、
            そのログに、それがMicrosoftのカスタマーエクスペリエンスなんちゃらのため、と書かれていて、
            つまるところ、MS社が無断でOfficeで作った全ファイル名を入手していた可能性に気付いたからだった。

            OfficeLensでも、画像データをMS社に送信するというスイッチが勝手にオンにされてたことがあるから
            (オフにしていたことは確認済み)、それで撮影した免許証の写真とかも無断で取られてそう。

            Microsoftは政府が監査・管理すべきで、持ってる情報全てをゲロさせるべきだよ。
            今回の件だけでなく、図に乗り過ぎ。

            親コメント
  • by Anonymous Coward on 2019年07月27日 15時50分 (#3659359)

    Win10は、プライバシー設定で設定できるいろんなプライバシー設定を、
    すべて高プライバシー側に振っても、
    OSのいろんなプロセスが、よくわからない通信を外部とたくさんしてるので、
    なんかいろんな情報とられてそうで不安

  • あなたのPCのディレクトリ構造もMicrosoftには筒抜けです。

  • by Anonymous Coward on 2019年07月27日 16時07分 (#3659368)

    独占企業の考えることがはわからんが
    やるなら公的に役立つように一般仕様にしてくれないかな。
    マイクロソフトはいつもバグだらけで迷惑なので
    仕様なのかバグなのか明確にするためにも仕様化を望みます。

    • by Anonymous Coward on 2019年07月27日 16時29分 (#3659376)

      バグだらけじゃない企業があったら教えてほしいもんだ

      親コメント
      • by Anonymous Coward

        程度問題かと思いますが
         マイクロソフトってそもそもテストってしてるんですか?

        • by Anonymous Coward

          テストをしてなければこの程度の不具合で済む訳がない。
          でも出回っている全ての環境のパターンを満たしている訳もない。

          • by Anonymous Coward

            後から出るようなバグはなら理解できるにしても、
            初見でわかるようなのは中途半端なテストですか?

            • by Anonymous Coward

              マイクロソフトの製品でソースが公開されているものも少なくないので、
              初見でわかるようなものだけでも報告してあげればいいんじゃないですかね。
              MVPアワードとか、ちゃんと表彰制度もありますから。

        • by Anonymous Coward

          他社と比べれば品質は上の方だろ。
          ハードとセット売りの非常にテストケースが少ないApple、なのにバグだらけ。
          永遠のβ版の異名を持つGoogle。
          某Adobe製品のコードも新人が書いたの?ってぐらい酷かった。

          • by Anonymous Coward

            うん、正直十分上質な方だと思う。
            規模も全然違うのに。
            いまだに20年くらい前のイメージのまま語ってる人が多いんじゃないのかな。

            そういえば、Appleには日本語版のWindowsがなくて、日本語環境でテストしてない、なんて話を思い出した。
            自分で直接聞いたわけでもないし、今も同じとは限らないけど。

      • by Anonymous Coward

        大企業って、どこもこんなことやってる。

  • by Anonymous Coward on 2019年07月27日 16時25分 (#3659375)

    いや、俺は違うけどさ

    • by Anonymous Coward

      SIDの発行の仕組みを知っているのはMicrosoftだし、
      Windowsが標準で求めるMSアカウントには氏名を入力するよね?
      Edgeで取得したSIDと別口で取得したSID+アカウントのセットで
      特定できるんじゃないの?

      知っていれば、MSアカウントを使用する必要はないし、
      氏名に正しい値を入力する必要なないけれど、
      それは誰にでも求めるものじゃないでしょう?

      • by Anonymous Coward

        >SIDの発行の仕組みを知っているのはMicrosoftだし、
        他社も知っている。

        >Windowsが標準で求めるMSアカウントには氏名を入力するよね?
        人それぞれ。
        ニックネームを入力する人もいるし、姓:あ、名:あ
        の人もいる。

        • by Anonymous Coward

          >> SIDの発行の仕組みを知っているのはMicrosoftだし、
          > 他社も知っている。

          SIDの作り方という意味ではなくて、どのアカウントがどのSIDかを
          MSは知ることができるよねという事です(SIDはMSが作ったプログラムが
          発行しているはずだから)。

          >> Windowsが標準で求めるMSアカウントには氏名を入力するよね?
          > 人それぞれ。
          > ニックネームを入力する人もいるし、姓:あ、名:あ
          > の人もいる。

          名前の入力を求められているのだから、正直に本名を入力している人は一定数いるでしょう?
          「人それぞれで、ニックネームとか偽名を入れている」というのは、
          本名を入れている人(=SIDから名前の紐づけがされている可能性がある)の事を無視しているの?
          # というかその件は2段落目に書いているのだけれども読んでないの?

          • by Anonymous Coward

            >どのアカウントがどのSIDかをMSは知ることができるよね
            それはどうだろう?

            • by Anonymous Coward

              別口(別のプロセス)で、アカウントとSIDのセットを送信していれば可能でしょ?
              # とは言え、陰謀論には違いないが・・・

  • Microsoftの回答(Softpedia記事)は、SIDやディレクトリパスまで集めてたことをしれっと無視している。
    - SmartScreenは顧客を保護するた機能を提供。
    - データを暗号化して、安全なHTTPSで収集。
    - ユーザーはいつでも無効にできる。

    MS「顧客保護のためだから、SIDやディレクトリパス集めても問題ないもん!」
    →各紙「SIDや機微性のあるディレクトリパスまで集めるのはプライバシー侵害だ」

    …この構造、デジャブを感じたが、
     「パンツじゃないから恥ずかしくないもん!」
     →「セクハラだ」「感覚が狂っている」 [kyoto-np.co.jp]
     と全く同じだな。

    • by Anonymous Coward

      RPG主人公がタンスの中を勝手に漁って金を奪ったり、ツボを割ったりするような話。

      実際にやられると、イラっとくるどころか、怒りが収まらないな。
      早く公取は動いて、集団訴訟も起きて。Microsoftを解体してくれ。

  • by Anonymous Coward on 2019年07月27日 17時04分 (#3659386)

    OFFにしてるのにこっそり追尾されるよりはましか

    • by Anonymous Coward

      個人的にはAndroidのこの仕様が一番アウトだな。リアル居場所が追跡されているのは怖すぎる。

  • by Anonymous Coward on 2019年07月27日 17時11分 (#3659387)

    >Siriの録音が定期的に契約企業に送信

    >Appleは、ユーザーの音声の録音を秘密裏に契約企業と共有していることにより、GoogleやAmazonなどのいかがわしい企業の仲間入りをしてしまった。
    >ほかの企業と同じようにAppleも、それをやってることを開示を強制されるまでは言わなかった。

    • AppleのiOS利用許諾には、少なくとも2011年時点で、次の1文が書いてある。
      「Siriおよびディクテーション機能をお使いになることによって、Appleおよびその子会社ならびに代理人がSiri、ディクテーション機能、ならびにその他Apple製品およびサービスを提供および向上するために、お客様の音声インプットおよびユーザデータを含む本情報を送信、収集、維持、処理および使用することに同意し、承諾したこととなります。
      しかも、目立つように、この文は太字で書かれている。

      Microsoftは利用許諾にディレクトリパスを集めることなど何一つ明記していない。

      親コメント
      • by Anonymous Coward

        HUAWEIの利用許諾の、それにあたる文を「堂々と宣言してやがる、使わない」という人たちがいるのを思い出した。

        • by Anonymous Coward

          利用許諾読んでから同意する/しない決めるのが建前なのに、
          実際に利用許諾読んで同意しなかったと言うとむしろ不思議がられる、
          この不思議さ。
          同調圧力ってやぁね。

          でも、
          その同調圧力を傘にきて、
          収集情報を開示すらしていない
          デファクトスタンダード企業は、
          ただの詐欺師。

          • by Anonymous Coward

            同意するしないの話じゃなくて、他も同じこと書いてるのを知らないのか知ってて無視してるのか、
            「HUAWEIは」おかしいと考えてる人たちのことを言ってるだけ。

    • by Anonymous Coward

      引用するなら、そのリンクも示してくれよ。

  • by Anonymous Coward on 2019年07月27日 18時07分 (#3659398)

    ストアアプリもSkype以外多分使ってないけど、その他のアプリで本当に経由してないのだろうか。

    • by Anonymous Coward

      SmartScreenはStoreアプリも対象のはずだけど。

      具体的には「スタート > Windowsセキュリティ > アプリとブラウザコントロール」に
      次の3つの設定がある。
      - アプリとファイルの確認 : Webサイトからのアプリとファイルを確認
      - Microsoft Edge の SmartScreen :サイトやダウンロードからデバイスを保護
      - Microsoft Store アプリの SmartScreen :Store アプリが使用する Web コンテンツをチェック

      本来、どれもURLだけを Microsoft社が照合する機能に見せかけているし、
      それだけ送信すれば済むはずだと思われるのに、
      今回、2つ目の機能でディレクトリパスやSIDまで送信してた、と判明した話だから、
      他の機能でも同じように情報を送信していないわけがないだろう。

      • by Anonymous Coward

        >SmartScreenはStoreアプリも対象のはずだけど。
        うん、なので「Skype以外は使ってない」と。
        で、「アプリとファイルの確認」はオフにしているので、SmartScreenの対象はSkypeだけと思ってる。
        という前提で、その他のアプリを使ってるときは本当に関係してないんだろうか、という話。

  • by Anonymous Coward on 2019年07月27日 20時14分 (#3659427)

    GoogleやFacebookよりはずっと安心感ある

    • by Anonymous Coward

      Microsoft がPC内の全てのデータにアクセスできるのに?

      • by Anonymous Coward

        空き巣の常連が家の周辺をうろついているより、ちゃんとした職に就いている親戚のおじさんが家に泊まりに来るほうが安心だろ。
        片方は明確に盗むことを生業としているんだから。

        • by Anonymous Coward

          そのおじさんはいつちゃんとしたOS作ってくれるんですか?

          • by Anonymous Coward

            他のOSよりはずっとちゃんとしてるだろ

          • by Anonymous Coward

            いつもそのおじさんを家に上げてるのはあなたですよ?

            • by Anonymous Coward

              おじさんがは頼んでもないのに勝手に畳の張り替え工事とかやり出すんですが

        • by Anonymous Coward

          どこが安心だ。
          狭い家屋に、豪邸を持ち贅沢な服を着たビリオネアが押し掛けてきて、
          葉巻吸いながらそこらにあるものを物色して放り投げながら「フンッ」と小馬鹿にしてくるイメージ。

          親戚だろうが赤の他人だろうが、
          その態度には侮辱しか感じず、怒りしか沸いて来ない。
          ビジネスで我慢するならまだしも、プライベートに踏み込んでくるわけだ、その偉ぶった奴は。
          いじめっこが示すような態度だね。

          搾取され侮辱されることを受け入れて諂っている人は、
          人としての尊厳を見失って飼いならされた家畜ですね。

    • by Anonymous Coward

      ここにあえてAppleを入れない
      そういうとこやぞ

  • by Anonymous Coward on 2019年07月28日 18時57分 (#3659676)

    基本的にマシンローカル(ADアカウントならドメインローカル)な数値列で、グローバルな意味はないはず。
    例えば別のPCで同じSIDが採番されることもありうる。とはいえトラッキングには有効だろう。

    Microsoftアカウントと紐づけされてれば話は別だが、されてるのかな。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...