ワコムのペンタブ用ドライバーがPC上で起動したすべてのアプリの名前を収集しているという報告

by stevepb

ペンタブレットやCAD関連製品を中心としたPCの周辺機器メーカーであるワコムのタブレット用ドライバーが、PC上で起動したアプリケーションの名前をGoogleアナリティクスに送信していたことが判明しました。この事実を解明したセキュリティエンジニアのロバート・ヒートン氏が、どうやってワコムのドライバーのトラフィックをチェックしたのかをブログで解説しています。

Wacom drawing tablets track the name of every application that you open | Robert Heaton
https://robertheaton.com/2020/02/05/wacom-drawing-tablets-track-name-of-every-application-you-open/

ヒートン氏はブログ用のイラストを投稿するために、新しいMacBookにワコムのタブレットをセットアップしました。タブレットのドライバーをインストールする際に、ヒートン氏はワコムのプライバシーポリシーに同意するように求められたとのこと。

一般的にプライバシーポリシーへの同意を求められた時、わざわざプライバシーポリシーを読むことなく「はい」をクリックして次に進もうという人も多いはず。しかし、ヒートン氏は「なぜタブレットデバイスにプライバシーポリシーが必要なのか？」と疑問に思い、プライバシーポリシーを丁寧に読んでみることにしました。

ヒートン氏はプライバシーポリシーの中で、「使用状況データ、技術セッション情報、ハードウェアに関する情報を含むデータを、ユーザーのPCからGoogleアナリティクスに送信する」と明記されているのを発見。プライバシーポリシーでは「送信しているデータとは何なのか」が完全には明らかにされておらず、インターネットを検索しても疑問に思っている人が他にいなかったため、ヒートン氏はワコムが一体何の情報を送っているのかを解明しようと考えました。

ヒートン氏はまずPCが送受信するパケットの内容を監視するWiresharkを使ってワコムのドライバーがどのような通信を行っているのかを調査。その結果、PCがDNSサーバーにwww.google-analytics.comの問い合わせ要求を行っていること、そして返ってきたIPアドレスにTLSで暗号化されたトラフィックが送信されていると判明しました。これは何かが実際にGoogleアナリティクスと通信を行っているということを意味します。

ヒートン氏は、ワコムのドライバーが送信しているデータをのぞくために、MacBookにBurp Suiteでプロキシサーバーをセットアップしました。これで、プロキシサーバーに通信ログが残るというわけです。ヒートン氏は自分のMacBookのグローバルHTTP／HTTPSプロキシにBurp Suiteで構築したプロキシを指すように構成しました。これで、ワコムのドライバーはプロキシプロファイルに従い、Burp Suiteによるプロキシ経由でトラフィックを送信することとなります。

ワコムのドライバーはTLSを介してGoogleアナリティクスと通信を行っているため、プロキシサーバーも有効なルート証明書を提示する必要があります。Burp Suiteは任意のドメインの証明書を生成・署名することが可能ですが、デフォルトでBurp Suiteを認証機関として信頼するコンピューターやプログラムがないので、Burp Suiteによって署名された証明書は拒否されてしまいます。

そこでヒートン氏は、macOSでパスワードやアカウント情報を保管するキーチェーンに、Burp Suiteによるルート証明書を追加しました。ワコムのドライバーがヒートン氏のMacBookから認証済みのルート証明書のリストを読み込めば、Burp Suiteの証明書も「信頼できる証明書」として認識し、プロキシとのTLSハンドシェイクが完了するとヒートン氏は予想。

そして、ヒートン氏がワコムのドライバーを再起動したところ、ドライバーが収集した情報すべてがGoogleアナリティクスに送信されていたことがわかりました。内容を見ると、送信されていた情報にはMacBook上でアプリケーションを起動した記録が送信されていたとのこと。以下の画像は、ドライバーのトラフィックに含まれていたGoogle Chromeの起動ログ。

また、ドライバーが収集した情報はワコムのサーバーにも送られていたとのこと。ヒートン氏が最初にトラフィックをチェックした時は、サーバー管理ミスからか、ドライバーのリクエストに対して404コードが返ってきていたそうですが、2020年2月3日に再度チェックしたところ、ワコムサーバーとの通信が再開していたそうです。

「ワコムは、PCで起動したすべてのアプリケーションの名前を記録することがユーザーから受け入れられるとは考えていないでしょう。だから、ワコムはプライバシーポリシーでトラフィック内容を明確にしていないのだと思います。もし指摘されても『アプリケーションの起動についての情報は集計情報や技術セッション情報などに含まれる』と主張するかもしれません」とヒートン氏。プライバシーポリシーの中には情報提供が書かれており、ほとんどの人がプライバシーポリシーを読んでいないだけということを認めながら、「個人がPC上で起動したすべてのアプリケーションの名前を記録する意図については言及されていないため、ワコムには技術的な権利を与えることすらできないでしょう」と主張しています。

ヒートン氏は「もちろんこれらのデータが製品開発の目的で使用されると信頼しています」と述べつつも、「プログラムの存在そのものは機密情報です。例えば、ワコムの従業員が人気ゲームの最新作が極秘に開発中であることを知ってしまったら何が起こってしまうでしょうか？」とコメントしています。

2020/02/07 16:23追記

ワコム広報によると、

ワコムの公式見解として、以下を掲載しております。
https://www.wacom.com/ja-jp/about-wacom/news-and-events/2020/1414

「ワコムの従業員が人気ゲームの最新作が極秘に開発中であることを知ってしまう」ということは、Google Analyticsで収集しているデータからは
知ることはできず、また個人を特定する情報も知ることができません。

当社ペンタブレット製品のユーザー体験の向上と、ユーザーのニーズにマッチしたより良い製品・サービスの提供のために、「Wacom Experience Program」を実施しており、
このプログラムにご同意（プライバシー通知への同意）いただいた方のみのデータを取集させていただいておりますが、
後からこの設定を変えることも可能です。
「タブレットドライバ プライバシー通知　設定変更方法について」はこちらをご覧下さい。
https://www.wacom.com/ja-jp/support?&guideId=150-907

とのことです。