Enterprise Watch
バックナンバー

WGAスパイウェア疑惑、集団訴訟も相次ぎ炎上中


 米Microsoftの不正コピー対策技術「Windows Genuine Advantage(WGA)」を巡るスパイウェア疑惑が騒動になっている。同社はユーザーの懸念の声を受けてWGAプログラムを一部変更したが、集団訴訟が相次いで提起されるなど事態はなかなか収拾しそうにない。WGA技術はWindows Vistaに組み込まれる予定だが、前途多難なスタートとなった。


 WGAは、海賊版問題を受けてMicrosoftが2004年に開始したイニシアティブ「Genuine Software Initiative」の一環である。WGAツールはWindows XPユーザーを対象に、OSが正規品かどうかを認証するプログラムで、「WGA Validation」と「WGA Notifications」という2つのコンポーネントで構成されている。

 WGA Validationは、PCのハードウェアとソフトウェアをスキャンして、インストールされているWindows XPが正規品であるかを調べる。WGA Notificationsは正規品ではないと判断されたユーザーにポップアップで告知する。正規品でない場合、重要なセキュリティアップデートを除くダウンロードサービスが利用できなくなるのだ。

 Microsoftは2005年7月に一部の地域で同プログラムの試験運用を開始、その後、展開地域を段階的に増やしていった。今年4月下旬、同社はWGAプログラムを再度拡大したが、ここでセキュリティ専門家らの批判を浴びた。問題は、WGA Notificationsの機能と配布方法だ。


 セキュリティ専門家らの指摘は次のようなものだ。

 WGA Notificationsは、ユーザーがログオンするとMicrosoft側のサーバーと交信して設定ファイルを確認する。Microsoftは4月24日以降、この機能を自動アップデート「Windows Update」と「Windows Download Center」で、セキュリティアップデートと一緒に配布していた。しかも、ユーザーが受け入れざるをえない重要度「高」とした。

 もう一つ、WGA Notificationsがプレリリースつまりベータ版の段階であったことも問題視されている。Microsoftは通常、ユーザーがベータ版プログラムをダウンロードする際には、その旨を告知するが、WGAではこれが明確ではなかった。

 こうしたことから、専門家らは「スパイウェアと同じだ」と非難したのだった。

 ニュースレター「Windows Secrets」を発行するBrian Livingston氏は5月25日、Windows Secretsの中でWGA Notificationsはスパイウェアだとする記事を掲載(加筆した記事を6月15日にWebサイトで公開)している。

 Livingston氏はまず、WGAを、たとえ悪意がないプログラムだとしても、「インストール前にプログラムの運行方法をユーザーに明示することなくインストールさせ、データをサーバーに送る」というふるまいはスパイウェアに該当すると結論した。同氏によると、WGAは起動時にMicrosoftのサーバーと交信し、その後24時間おきにデータを送っているという。

 さらにLivingston氏は、WGAをインストールしたユーザーの間で、正規版所有者であるにもかかわらず、Microsoftから(WGAをインストールしていないとして)ダウンロードを拒否されるといった問題が起こっているとも報告している。

 このほか、セキュリティ専門家からは、Microsoftの配布方法はユーザーの不信感を強め、重要なセキュリティアップデートのインストールを避けるようになる、と警告する声もあがっている。たとえば、米ZDNetでは、米Cybertrustの上級サイエンティスト、Russ Cooper氏が「ベータ版であると明確に告知することなく、これほど広い範囲のユーザーに提供すべきではない」とコメントしている。


 こうした論議は、6月26日、ついに訴訟に発展する。カリフォルニア在住のユーザーが「WGAはスパイウェアを規制する連邦法などに違反している」として米ワシントン州シアトル地区連邦地裁に、Microsoftを相手取った集団訴訟を起こした。訴えでは、セキュリティアップデートとして提供することで、ユーザーに十分な通知をすることなく配布し、このことが同州のスパイウェア規制法に違反すると主張している。さらに6月30日には、別のユーザーが同様の集団訴訟を起こした。

 Microsoftは6月8日と6月14日にWGAに関する情報をWebサイトで公開し、「(WGAはあくまで)ユーザーの同意の上でインストールされる」として、スパイウェアではないことを強調した。このほか、WGA Validationはシステム構成情報をMicrosoftに送るが、Notificationsは設定ファイル情報しか送らないとも説明している。

 ベータ版プログラムを自動アップデートで配布したことについては、WGA Notificationsは十分なテストを受けた安全なプログラムであること、インストールはオプションであると説明して、不信を払拭するのに懸命だ。

 同時に、Microsoftは顧客の懸念の声を受けるかたちで削除の方法を示し、次のリリースではMicrosoft側のサーバーとの交信回数を14日に1度に減らすとも発表した。だが、その間も、WGAを無効にするための非公式プログラムや、WGAを装うワームまで出現し、騒ぎはますます拡大している。

 Microsoftは現時点では方針を転換する様子はない。不正コピーは同社にとっては大きな問題であり、これに取り組む必要は当然だろう。だが、であればこそ、ユーザーの理解を得る努力が、もう少しあってもよいように思える。



URL
  米MicrosoftのWindowsの説明(英文)
  http://www.microsoft.com/presspass/features/2006/jun06/06-08wgaqa.mspx
  Windows Secretsの記事(英文)
  http://windowssecrets.com/comp/060615/#story1
  米ZDNetの記事(英文)
  http://news.zdnet.com/2100-3513_22-6083204.html?tag=nl


( 岡田陽子=Infostand )
2006/07/10 09:00

Enterprise Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.