無料期間のある有料ソフトに注意

現在コンピュータソフトウェアのビジネスモデルは、従来からの買い切り（一度料金を支払えば永遠に利用可能）からサブスクリプションモデルと呼ばれる、定期的に課金が発生するものへと移行しつつある。


例えばMicro$oft社のOffice。

これまで3万円～6万円程度の買い切りだったものが、毎月500円～というようになっている。


一方、このサブスクリプション契約には二通りの契約が存在する。

一つは最初に契約を結び、利用を始める時から課金が発生するもの。

もう一方は一定の試用期間が過ぎると、試用期間内に解約しなければ自動的に課金が発生するものである。

後者は日本国内では携帯電話のサービスに多く見られるもので、携帯電話の利用者の多くがサービスをまったく利用していないにも関わらず、試用期間を過ぎてもサービスの解約をしないために無駄な課金を支払い続けているという問題が起きている。


この問題、そもそもこのような契約方法を商売に適用する事自体問題があると私は思う。

そしてこれをスマートフォンのアプリで悪用する者が最近出始めていて、これが問題となっているようである。


無料期間が終わっても高額な定期購入が続く詐欺アプリに注意
https://news.mynavi.jp/article/20190315-789673/


この記事によると、「無料試用版」となっているアプリをインストールすると最初にクレジットカードの情報を入力するよう促される。

多くの人はここでクレジットカード情報を入力しないと試用出来ないと感じて入力する。（大半の人はここで不信感を感じて躊躇するだろうが）

すると、アプリをアンインストールしてもサブスクリプション契約は継続していて、月額242ドル(約27,000円)や週160ドル(約18,000円)という金額がクレジットカードを通じて銀行口座から引き落とされるらしい。


このような詐欺ソフトに引っかからないようにするには、安易にアプリをインストールしないようにするしかない。

記事ではアプリのレビューや契約時の規約を読めなどの注意が書かれているが、これらの注意は実質的効果がほとんど無い。

何故なら、普通はレビューなどまるでアテにならないし、引っかかる人はいくら注意を促されてもレビューや規約など読まずに引っかかるからだ。

であれば、そもそもアプリなど入れるな、と言う方がわかりやすい。

スマートフォンのアプリケーションソフトウェアなど、ほとんど全部に近い数が無くても困らない、くだらないモノだ。（マトモなのは数百万などと言われる物の内せいぜいが数十から数百である）

過去には某有名ゲームの偽造されたものが流通するという事もあった。

アプリの名前や会社名などはいくらでも詐称出来るから、このような問題に対し勉強熱心で注意深い人以外は簡単に騙される。


そういう事を、幼少時代から教育するよう、国家が動く必要があると私は思う。

ストアアプリは安全ではなかったのか

Micro$oft社は、現在Windowz上で動作するアプリケーションをMicro$oft $toreに移行させようとしている。

その心はAppleやAndroidのようなエコシステムを構築し、これによる収益を上げる事だ。

このため、Windowz Sのようなストアアプリしかインストール出来ない仕様のWindowzも存在し、その売り文句は「ストアアプリしかインストール出来ないから安全である」という事になっている。

当然、AppleやAndroidの現状を見ればこれは大きなウソである。

そして実際にこのような事になっている。


先週のサイバー事件簿 - アーカイバ「WinRAR」に19年前から脆弱性？
https://news.mynavi.jp/article/20190301-security/


この記事には、このような記述がある。


“クリプトジャッキングアプリをMicrosoft Storeで確認

シマンテックの公式ブログによると、Microsoft Storeにおいて、仮想通貨「Monero」をマイニングするアプリが8件確認されたという。”

（以下略）


というワケで、ストアアプリだからといって必ずしも安全ではない事が確認された。

無法地帯であるWeb上よりは多少マシとはいえ、今後もこの問題が解決する事は無いだろう。

Intelだけの問題とは言えない

先日SPOILERというCPUの脆弱性が公表されたIntel。

昨日もまた新たな脆弱性が発表されている。

複数のIntel製品に脆弱性、修正版が公開　一部製品では利用中止を呼びかけ
https://www.itmedia.co.jp/pcuser/articles/1903/15/news090.html


また、記事中にJVN(Japan Vulnerability Notes)の記事が紹介されていたのでそちらを見ると、2月13日と3月14日の二回、“Intel 製品に複数の脆弱性”という記事が出ていた。


Intel 製品に複数の脆弱性　[2019/03/14 11:30]
http://jvn.jp/vu/JVNVU98344681/index.html

Intel 製品に複数の脆弱性
http://jvn.jp/vu/JVNVU99119322/index.html


これらの記事内容をまとめると以下の通りになる。


・Intel製 無線LANドライバの脆弱性
・Intel製 USB3.0ドライバの脆弱性
・Intel Unite（会議等で画面共有する機能）の脆弱性
・Intel Active Management Technology(PCやサーバの遠隔管理)の脆弱性
・Intel Graphics Driverの脆弱性
・Intel Firmware(Intel マネジメント・エンジン)の脆弱性
・Intel Matrix Storage Manager(Intel ラピッド・ストレージ・テクノロジー)の脆弱性
・Intel SGX(セキュリティ対策機能) SDKの脆弱性
・Intel USB 3.0 Creator Utilityの脆弱性
・Intel Accelerated Storage Managerの脆弱性

これらの脆弱性により「情報漏えい」「サービス運用妨害 (DoS)」「権限昇格(要はPCの乗っ取り)」などが起きる可能性があるという。

また、Intelより「Intel Matrix Storage Manager」や「Intel USB 3.0 Creator Utility」は利用の中止やアンインストールが求められている。


まあ一部は昔からセキュリティホールが出まくって問題になっているが・・・

要はいらん機能が多く、それらが悉く問題を起していると。

特にセキュリティのためとか、ストレージ関係の機能向上のために提供されているモノがほとんどダメ。

これなら最初から無い方がマシである。

ちなみに私は10年以上前からこれらを信用していなくて、こうした機能のドライバやユーティリティ関係は全てインストールしないし、入っていたら削除している。

なんとなく入れておいた方が良いと思って入れている方は、これら全てをアンインストールした方が良いとアドバイスしておこう。（アンインストールすると一部デバイスが不明のデバイスとなるが、これは無視してもかまわない。少なくとも私の管理する環境でこれらが原因で問題が出た事は一度も無いので。）


後はグラフィックやUSB等の必須ドライバ関係。

これらは対策された新しいものに入れ替えるしかない。

Windows10はこうしたデバイスドライバの更新も自動で行うが、環境(或いは使い方)によってはデバイスドライバの自動更新が出来ない事も少なくない。

この問題に気付いたのなら、自分から積極的に更新した方が良いと思う。


さて、このように年中問題を起しているIntel製のデバイスだが。

自社の製品を差別化するために色々やるのは良いが、このように穴だらけでは逆効果と思うのは私だけだろうか。


一方AMD製システムをメインに扱う人はこのような問題がなくて一安心と言いたい所だが、これはIntelだけの問題として安心してはいられない。

AMDのセキュリティ問題に関する報告が少ないのは、恐らくシェアの問題から無視(積極的に穴探しが行われていない)されているのだと私は思う。

もちろんハード・ソフト共にセキュリティ問題対する対策がIntelよりもしっかりしている(CPUの脆弱性問題はその良い例)、という事は考えられるが、仮にそうだとしてもこうした問題がゼロになる事はありえない。


今の所は注意しようにも情報が無いため、何も無くとも出来る事をするしかない。



関連情報

SPOILERがあまりにも話題になっていない件
https://17inch.blog.so-net.ne.jp/2019-03-12

またCPU脆弱性が
https://17inch.blog.so-net.ne.jp/2019-03-06


CPUのハードウェア的欠陥
https://17inch.blog.so-net.ne.jp/2017-06-26

CPU 脆弱性
https://17inch.blog.so-net.ne.jp/search/?keyword=CPU+%E8%84%86%E5%BC%B1%E6%80%A7