ペンタブレットやCAD関連製品を中心としたPCの周辺機器メーカーであるワコムのタブレット用ドライバーが、PC上で起動したアプリケーションの名前をGoogleアナリティクスに送信していたことが判明しました。この事実を解明したセキュリティエンジニアのロバート・ヒートン氏が、どうやってワコムのドライバーのトラフィックをチェックしたのかをブログで解説しています。
Wacom drawing tablets track the name of every application that you open | Robert Heaton
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/
ヒートン氏はブログ用のイラストを投稿するために、新しいMacBookにワコムのタブレットをセットアップしました。タブレットのドライバーをインストールする際に、ヒートン氏はワコムのプライバシーポリシーに同意するように求められたとのこと。
一般的にプライバシーポリシーへの同意を求められた時、わざわざプライバシーポリシーを読むことなく「はい」をクリックして次に進もうという人も多いはず。しかし、ヒートン氏は「なぜタブレットデバイスにプライバシーポリシーが必要なのか?」と疑問に思い、プライバシーポリシーを丁寧に読んでみることにしました。
ヒートン氏はプライバシーポリシーの中で、「使用状況データ、技術セッション情報、ハードウェアに関する情報を含むデータを、ユーザーのPCからGoogleアナリティクスに送信する」と明記されているのを発見。プライバシーポリシーでは「送信しているデータとは何なのか」が完全には明らかにされておらず、インターネットを検索しても疑問に思っている人が他にいなかったため、ヒートン氏はワコムが一体何の情報を送っているのかを解明しようと考えました。
ヒートン氏はまずPCが送受信するパケットの内容を監視するWiresharkを使ってワコムのドライバーがどのような通信を行っているのかを調査。その結果、PCがDNSサーバーにwww.google-analytics.comの問い合わせ要求を行っていること、そして返ってきたIPアドレスにTLSで暗号化されたトラフィックが送信されていると判明しました。これは何かが実際にGoogleアナリティクスと通信を行っているということを意味します。
(中略)
「ワコムは、PCで起動したすべてのアプリケーションの名前を記録することがユーザーから受け入れられるとは考えていないでしょう。だから、ワコムはプライバシーポリシーでトラフィック内容を明確にしていないのだと思います。もし指摘されても『アプリケーションの起動についての情報は集計情報や技術セッション情報などに含まれる』と主張するかもしれません」とヒートン氏。プライバシーポリシーの中には情報提供が書かれており、ほとんどの人がプライバシーポリシーを読んでいないだけということを認めながら、「個人がPC上で起動したすべてのアプリケーションの名前を記録する意図については言及されていないため、ワコムには技術的な権利を与えることすらできないでしょう」と主張しています。
ヒートン氏は「もちろんこれらのデータが製品開発の目的で使用されると信頼しています」と述べつつも、「プログラムの存在そのものは機密情報です。例えば、ワコムの従業員が人気ゲームの最新作が極秘に開発中であることを知ってしまったら何が起こってしまうでしょうか?」とコメントしています。
全文はソースで
ワコムのペンタブ用ドライバーがPC上で起動したすべてのアプリの名前を収集しているという報告 - GIGAZINE
https://gigazine