Windowsのエラー報告機能が原因でPCの個体識別コードなど各種データが漏れる危険性があることが判明

By Colin Charles

Windowsには、アプリケーションがクラッシュした場合にエラーの内容を送信するクラッシュレポート機能が備わっていますが、この機能を用いて、USB端子でiPhoneなどの端末を接続するなどの一般的なシステムイベントを行ったときに自動的にPC端末の識別コードなどの情報が送信されていることがあると判明しました。

Are Your Windows Error Reports Leaking Data? - Security Labs
http://community.websense.com/blogs/securitylabs/archive/2013/12/29/dr-watson.aspx

Windowsが持つエラー報告機能(WER)は、Windows XPから導入された技術で、ユーザーが送信したエラー情報はMicrosoftによって蓄積され、エラーカテゴリに関連づけられたメッセージがある場合には、ユーザーはエラー報告に対する応答としてメッセージを受信できる仕組みが採られています。このメッセージ情報にはネットワークインフラやサービス、アプリケーションやそのバージョン情報が含まれているため、ITセキュリティの管理者にとってWERは便利なツールであると言えます。Microsoftのデータによると、Windows PC全体の約80％がWERプログラムに参加しており、2009年時点で参加するWindows PCは10億台を超えるとされます。

これは、WERを通じてwatson.microsoft.comに送信されるデータの例。Firefoxでエラーが生じたことの他に、Acer製の「Aspire 1930」というPCの型番や端末識別情報が送信されています。

WERでは、基本的にユーザーが任意でレポートを送信するかどうかを決めることができます。しかし、Microsoftのプライバシーステートメントには、ユーザーに通知することなく情報が送信される場合があることが明示されています。

情報セキュリティ会社Websenseによると、WERは、クラッシュレポート以外にも、「PCのUSB端子に外部機器を接続した」「アプリケーションのアップデートに失敗した」「TCPからタイムアウトした」というような一般的なシステムイベントが起こった場合でも情報が送信されていることが明らかにされています。WindowsマシンのUSB端子にiPhoneを接続した場合には、日付、USBに接続された端末名、端末の製造メーカー、端末のリビジョン、Windows PCのOSやサービスパック、PCの製造メーカーやモデル名、PCのBIOSバージョンやマシンの識別コードなどの情報がwatson.microsoft.comに送信されています。

こちらは、PCにiPhone 5が接続された場合に送られる情報。ソニー製の「VPCEC3DFX」という型番のPCであることに加えてOSのバージョン・サービスパックの情報やPCの端末識別情報が含まれていることが分かります。

Websenseは、企業でも多く利用されているWindows PCから、これらの情報が暗号化されることなく送信されている点を問題視しています。万一、悪意のある者によってこれらの送信情報が取得された場合に、情報が漏洩したり、セキュリティの脆弱性を利用したハッキングがなされる危険があるからです。

Websenseは、TLSでの暗号化がなされているWindows 8/8.1を除く、Windows XP、Vista、7を使うPCでは、レポートとして情報を送信する場合には、理想的にはTLS 1.2で暗号化することが望ましいとしつつ、それが無理な場合であっても最低限SSLで暗号化した上でレポート機能を利用することを推奨しています。