トレンドマイクロ のヌーラボ さんのgithubからのソースコードの無断利用が解決
中国、南京を開発拠点にしてる某セキュリティメーカーの新機能、OSSで実現してることが判明!
先日書いた記事、名前一応伏せましたが、画像とかから、トレンドマイクロだって丸わかりでしたね
この件に進捗があって、ヌーラボさんの権利表記がウイルスバスターに表記されることになったそうです。めでたしめでたし。
しかし、問題なのは、トレンドマイクロさんからの回答が、ライブラリの使用が認められたので、表記することになったらしいという事、この前みたいに、ブラウザ履歴勝手に収集するようなコード入ってても、自社で調査する仕組みに全くなってない事が、この件で明るみになった 事でしょうかね
先方が穏便に済ませたからおおごとになりませんでしたが、
私は、自体を重くみて、ちゃんと釈明すべき案件だと思いますよ( ˘ω˘)
この機能について気になったので、パスワードの辞書どんなものつかってるのか調べてみたのですが…。
辞書があるのは分かったけど、「なんで、英語の wikiやアメリカ映画のテレビのタイトル、海外の人名使うねん!」って突っ込みたくなったのでした。
あれれ・・・・でも、この辞書、 自社のライブラリツリーではなく、別の会社の名前になっていますね。
私たちが技術を使って解決しようとしている課題・それにあたって募集しているメンバーを説明します。 | What We Are Doing真のパスワード強度を測定する5つのアルゴリズム | 株式会社ヌーラボ(Nulab inc.)
パスワード強度を測定する Dropbox 社のライブラリを Nulab さんが Java でAPIにしたものがこれだったのですね(・ω・)!
OSSと言っても、コードが、由緒あるちゃんとしたものだということはわかりました。
GitHubのコードほぼそのままですね。実装は楽だったのではないでしょうか?
さて、ちょっと気になってるのが、この zxcvbn 、MITライセンスなので、一番緩いライセンス形態なのですが、
zxcvbn4j/LICENSE.txt at master ・ nulab/zxcvbn4j
| 「Copyright(c)2014 Nulab Inc」をソフトウェア表記の重要な箇所に明記することが条件になっているようです。でも、不思議なことに、製品のどこにも記述されていないようです( ˘ω˘) |
(確認してみたところ、見事に無断利用だったのですが)
ウイルスバスターは、大陸の中国人が開発してるのは、先日の公式発表でばれてしまったので、日本法人さんの預かり知らぬところで行われたのだと思いますが、先日のブラウザ履歴の収集といい、コードのチェックの仕組みが働いていないことが再度露見してしまったわけで、こういうのを見ると、中国政府の意に沿って変なコードが埋め込まれたりしないのか非常に不安になりますね。
【App Store上の当社アプリに関する重要なお知らせ】2018年12月26日更新 | トレンドマイクロ
| セキュリティ企業として、当社ではプライバシー並びにコンプライアンスを重要事項として、お客さまを最優先に取り組んでまいりました。当社では、消費者のプライバシー保護におけるAppleの模範的な取り組みに賛同するとともに、本件からの教訓を活かし、徹底した法規制準拠プログラムの維持ならびにプライバシーに関する利用者の信頼と利用体験へのより一層の注力という点で当社の今後の取り組みのさらなる改善に取り組んでまいります。 |
全然活かせてないよね?
まぁ、こんなソフト使わなければいいんですけど。
こういう企業が、偉そうに セキュリティのアドバイスとかしてるのを見ると、いい気がしないわけなのです。
# コードを無断で使われたベンダーさんは、注意程度にとどめるそうです(˘ω˘)
Translate
Comments