炎上は、もはや企業リスクのひとつである

　企業側に悪意や特殊な意図があれば当然だが、それらがなくても製品の脆弱性、悪用可能な機能、時として担当者や経営者の発言が問題視されたり説明が誤解されたり、ちょっとした炎上騒ぎになることがある。この数か月の間、グローバルな大手企業がまさにそのような問題に巻き込まれた。レノボ、オラクル、楽天の3社だ。

　3社が関わった問題を調べると、それぞれの事情もあり、その後の説明に一定の合理性も見受けられるものもある。しかし、それらが消費者や専門家に受け入れられることはなく、問題が現在も進行している楽天の事例以外は、企業が批判を受け入れる形で問題を決着させている。

レノボのノートPCに脆弱性を伴う不審な機能

　まず、レノボの例を見てみよう。問題となったのは、同社製品である一部のノートPCが、BIOSの機能を利用して、起動時に同社サーバーと通信して、PCの情報を送ったり、ソフトウェアをダウンロードさせていたことだ。

　じつは、この動作だけならあまり問題になるとはいえない。多くのPCベンダーは、さまざまな機種ごとのドライバーを正しくインストールできるように同様な処理を行っているからだ。実際、レノボもそのために実装した機能だと説明している。

　問題となったのは、レノボのノートPCが起動時に実行されるWindows OSのシステムプログラムを、レノボ製の独自プログラムに置き換えていることだ。さらに分析を進めると、詳細動作が不明なモジュールをダウンロードし、レノボのサーバーに端末情報などを送っているのだが、その通信にSSLを用いていないことも発覚した。BIOS機能を利用しているため、OSを再インストール、またはクリーンインストールしてもこの動作をキャンセルできない点も問題視された。

　専門家による指摘は4月に行われ、これらの動作が悪用される危険性があると警告した。6月の時点でレノボは指摘されたソフトウェアの機能停止方法を発表しているが、その後も騒ぎが沈静化せず8月に入って、問題の機能を無効化するためのBIOSアップデートとユーティリティの配布を、副社長の謝罪とともにアナウンスした。

オラクルCSOの不注意な発言から、副社長が謝罪

　オラクルで起こった問題は、同社CSOであるメアリー・アン・デビッドソン氏による公式ブログへの書き込みが引き金となり、ユーザーや専門家からの批判を受けることになった。

　批判を受けたのは「専門家やコンサルタントが、パッチ開発やセキュリティ対策のためにソースコードを読む（リバースエンジニアリング）は利用規約違反であるので、やめるべきだ」という主旨のデビッドソン氏の書き込みだ。

　企業は、そのためのセキュア開発、検査に予算を投入し、問題が起きれば対応している。それなのに一部の専門家が、いわば寝た子を起こすような脆弱性公表やパッチ配布を行うことで、かえって市場を混乱させている。このような想いは、ベンダー側の多くの人の本音と言えるかもしれない。

　しかし、この理屈は近年の企業ポリシーやコンプライアンスの観点からもはや通用しなくなってきている。確かにほとんどのソフトウェアやサービスがリバースエンジニアリングを禁止しているが、法的に問題となるのはそれによって不正な利益や権利侵害など具体的な犯罪や被害を伴う必要がある。

　企業側の個人の研究や善意による分析・調査を行為を規制するような態度・言動は、ユーザーはネガティブな評価をしがちである。役員や従業員が外部に対して本音で意見を述べられるという環境は重要だが、会社の施策やポリシーとの切り分けには注意が必要だ。

【次ページ】安全性の根拠が希薄？　楽天の新サービス