Windows 11はスパイウェア？

Gigazineで表記の記事を読んで本当か？と驚きました。

「Windows 11はスパイウェアと化している」とMicrosoftのプライバシー侵害が指摘される – GIGAZINE

そこで記事に書いてあることを確かめるべくWiresharkを走らせてみることにしました。使い方に関しては以下のサイトを参考にさせていただきました。

Wireshark によるパケット解析講座 2 – Palo Alto Networks

参考までに筆者の使用しているDesktop PC(Windows11)には下記の2種類のセキュリティーソフトがインストールされています。

• マカフィーリブセーフ
  マカフィーリブセーフ(セキュリティ・ウイルス対策)｜McAfee
• saat netizen　
  saat netizen | saat(サート) – ネットムーブのセキュリティ、認証ソリューション Security and Auth

切り分けもしたいため、３種類の条件の下でWiresharkを数分走らせてパケットをキャプチャーしました。

1. saat netizenをの機能をいったんとめて何もアプリを走らせていない状態（＊：マカフィーは常駐）
2. 1の状態からWindows Updateを実行（最新になっているため特にUpdateはされない）
3. saat netizenの機能を有効にする

ケース１

まず、saat netizenの「アンチフィッシング」「不正実行遮断」「ＨＯＳＴＳファイル監視」「不正送金対策に協力する」を無効にしました。

その状態でのキャプチャーしたパケットは以下のようになりました。

３つのホストとの通信が発生していましたが、特に問題はありませんでした。

• sadownload.mcafee.com
  • これはMcAfeeのサーバーですので特に異常ではありません。
• cr13.digicert.com
  • これはSSL/TLS証明書認証用のサーバーですので特に異常ではありません。
• 自宅内の他のIP
  • アドレスは隠してありますが、アクセスして確認してみたところ、自宅に設置しているプリンターでした。

ケース２

次にWindows Updateを実行してみたのですが、、、Gigazineで指摘されているように多くの通信が見受けられました。ただし、DNSへのQueryだけで特に情報の流出などは見られませんでした。

ひとつだけServer Nameがないものがあり、調べたところなんとAmazonでした。。

ケース３

最後にsaat netizenの機能を有効化しました。

gms.ahnlab.comというホストへの通信がかなり頻繁に見られるようになりました。

調べてみたところどうやら韓国のセキュリティーソリューションプロバイダのようです。

アンラボは、

すべてのコンピュータユーザーに安全なインターネット／ネットワーク環境を提供する 総合セキュリティ・ソリューション・プロバイダとして、アンチウイルス製品、 ファイアウォール製品から、ネットワーク／オンラインゲームセキュリティソリューションまで、幅広い製品とサービスを提供しています。

AhnLab | 会社概要

saat netizenはnet moveという日本のIT会社から出ているようですが、どうやらAhnLabのOpen Sourceを使用しているようです。

saat netizen（サート・ネチズン）Windows版 オンラインヘルプ

saat netizenの「不正送金対策に協力する」を選択しているとAnnLabにデータが送信されると明記されていました。

不正送金対策へのご協力について | サート・ネチズン | インターネットサービスの不正送金やウイルスをブロック (saat.jp)

しかしながら「不正送金対策への協力」をOFFにしても依然通信はされています。データが送信されているわけではありませんが、不安が残ります。

saat netizenのソースファイルも見てみましたが、、中身はなんとmozilla nssでした！検索してもgms.ahnlab.comという文字列は見つけることができず、その部分はProprietaryなのかもしれません。

saat netizenはみずほダイレクトなど多くの銀行系のウェブ上でインストールを求められますが、PCが重くなるなどの報告も見受けられます。筆者はほぼスマホでみずほダイレクトも使用しているのでPCからは削除しようと思います。。