Download.com

Download.com
URL	download.cnet.com
タイプ	ダウンロード
運営者	Ziff Davis
設立者	CNET
IPv6対応	No
営利性	Yes
登録	任意
開始	1996年10月23日 (28年前)
現在の状態	稼働中

Download.comは、1996年にCNETの一部として開始されたインターネット上のダウンロードディレクトリウェブサイトである。当初はdownload.comというドメインで運営されていたが、その後一時的にdownload.com.comに移行し、現在はdownload.cnet.comである。download.comというドメインは、2008年までに少なくとも年間1億1300万人の訪問者を集めていたことを、Compete.com（英語版）の調査が示している^[1]。

概要

提供されるコンテンツは、software（Windows、Mac、モバイルを含む）、music、games、videosの4つの主要なカテゴリに分類されている。これらはDownload.comのウェブサーバまたはサードパーティのサーバからFTPを通じてダウンロード可能である。動画は現在ストリーミング配信されており、音楽はすべて無料のMP3ダウンロード、あるいは時折デジタル著作権管理付きのWMAまたはストリーミング配信であったが、のちにlast.fmに置き換えられた。

softwareカテゴリには、10万本以上のフリーウェア、シェアウェア、試用可能なソフトウェアが含まれている。これらのダウンロードには編集者による評価やレビューが付けられていることが多く、ソフトウェア開発元によるファイルの要約が含まれている。登録ユーザーもレビューを書き、製品を評価することができる。ソフトウェアの開発者は、自身のタイトルをCNETのUpload.comサイトを通じて無料で、あるいは追加機能を提供する有料プランで配布することが許可されている。

2015年まで、CNETはdownload.comへのトラフィックを収益化するためにSpigot Incを利用していた。当時CNETのゼネラルマネージャーであったショーン・マーフィーは「SpigotはDownload.comにとって素晴らしいパートナーであり、顧客体験と収益のバランスを取るという我々の願望を共有している」と述べている^[2]。

マルウェアの配布

2011年8月、Download.comはCNET TechTrackerと呼ばれるインストールマネージャを導入し、カタログ内の多くのソフトウェアタイトルを配布する手段として用いた^[3]。このインストーラにはトロイの木馬やブロートウェア（ツールバーなど）が含まれていた^[4]^[5]^[6]。CNETはダウンロードに関するFAQで、「一部のセキュリティ企業がインストーラをアドウェアまたは望ましくない可能性のあるアプリケーションとして警告している」と認めている^[7]。

2011年12月、ゴードン・リヨン（英語版）は自身のペンネームFyodorでインストールマネージャおよびバンドルソフトウェアに対する強い嫌悪感を表明した。彼の投稿はソーシャルネットワーク上で非常に人気を博し、数十のメディアによって報じられた。主な問題は、Download.comで提供されているコンテンツと元の開発者が提供するソフトウェアとの混同であり、詐欺や著作権・商標権の侵害といった非難が含まれていた^[8]^[9]^[9]。

2014年には、ザ・レジスター（英語版）およびUS-CERT（英語版）が、download.comの「マルウェア」を通じて「攻撃者が任意のコードをダウンロードおよび実行できる可能性がある」と警告した^[10]。2015年には、Emsisoftの調査により、すべての無料ダウンロードポータルが望ましくないソフトウェアをバンドルしていることが示され、Download.comが最も悪質であるとされた^[11]。

2015年にHow-To Geekが行った調査では、Download.comが自身のインストーラにマルウェアを組み込んでいることが明らかとなった。テストは仮想マシン上で実施され、上位10件のアプリをダウンロードしたところ、すべてにクラップウェア／マルウェアが含まれていた。その一例として、KMPlayerのインストーラは「Pro PC Cleaner」という偽装セキュリティツールをインストールし、WajamPage.exeの実行を試みた。特にYTDのダウンロードはAvastによって完全にブロックされた^[12]。

同じく2015年、How-To Geekの別の調査によって、Download.comがインストーラ内に偽のSSL証明書をインストールしていたことが判明した。これはレノボのSuperfish証明書と類似しており、SSL暗号化を完全に破壊し、中間者攻撃を可能にする^[13]。

しかし、2016年7月にはHow-To Geekによって、Download.comがもはやアドウェアやマルウェアをダウンロードに含めておらず、インストーラプログラムも廃止されたことが発見された^[14]。

脚注

^ “Download.com attracts over 100m visitors yearly”. 2011年8月13日時点のオリジナルよりアーカイブ。2008年5月15日閲覧。
^ “Search Extensions”. 2015年3月16日時点のオリジナルよりアーカイブ。2015年5月4日閲覧。
^ “Download App - Free download and software reviews - CNET Download.com”. Cnet.com. 2015年5月4日閲覧。
^ “Download.com wraps downloads in bloatware, lies about motivations”. ExtremeTech. 2015年5月4日閲覧。
^ Neal, Dave (2011年12月6日). “Cnet is accused of bundling malware with downloads”. The Inquirer. 2012年1月7日時点のオリジナルよりアーカイブ。2015年5月4日閲覧。
^ Parrish, Kevin (2011年12月7日). “CNET Accused of Bundling Software Downloads with Trojans”. Tom's Guide. 2015年5月4日閲覧。
^ “CNET Download Installer”. 2019年5月18日時点のオリジナルよりアーカイブ。2019年5月18日閲覧。
^ Brian Krebs (2011年12月6日). “Download.com Bundling Toolbars, Trojans?”. Krebs on security. 2015年5月4日閲覧。
^ ^a ^b Gordon Lyon (2012年6月27日). “Download.com Caught Adding Malware to Nmap & Other Software”. 2015年5月4日閲覧。 “we suggest avoiding CNET Download.com entirely”
^ Darren Pauli (2014年7月8日). “Insecure AVG search tool shoved down users' throats, says US CERT”. The Register. 2015年5月4日閲覧。 “Sneaky 'foistware' downloads install things you never asked for”
^ “Mind the PUP: Top download portals to avoid”. EMSISOFT (2015年3月11日). 2015年5月4日閲覧。
^ Lowell Heddings (2015年1月11日). “Here's What Happens When You Install The Top 10 Download.com Apps”. How-To Geek. 2015年6月20日閲覧。
^ Lowell Heddings (2015年2月23日). “Download.com and Others Bundle Superfish-Style HTTPS Breaking Adware”. How-To Geek. 2016年1月6日閲覧。
^ Chris Hoffman (2016年7月27日). “Download.com Has Finally Stopped Bundling Crapware”. How-To Geek. 2016年8月8日閲覧。

[1] “Download.com attracts over 100m visitors yearly”. 2011年8月13日時点のオリジナルよりアーカイブ。2008年5月15日閲覧。

[2] “Search Extensions”. 2015年3月16日時点のオリジナルよりアーカイブ。2015年5月4日閲覧。

[3] “Download App - Free download and software reviews - CNET Download.com”. Cnet.com. 2015年5月4日閲覧。

[4] “Download.com wraps downloads in bloatware, lies about motivations”. ExtremeTech. 2015年5月4日閲覧。

[5] Neal, Dave (2011年12月6日). “Cnet is accused of bundling malware with downloads”. The Inquirer. 2012年1月7日時点のオリジナルよりアーカイブ。2015年5月4日閲覧。

[6] Parrish, Kevin (2011年12月7日). “CNET Accused of Bundling Software Downloads with Trojans”. Tom's Guide. 2015年5月4日閲覧。

[7] “CNET Download Installer”. 2019年5月18日時点のオリジナルよりアーカイブ。2019年5月18日閲覧。

[8] Brian Krebs (2011年12月6日). “Download.com Bundling Toolbars, Trojans?”. Krebs on security. 2015年5月4日閲覧。

[insecure-9] Gordon Lyon (2012年6月27日). “Download.com Caught Adding Malware to Nmap & Other Software”. 2015年5月4日閲覧。 “we suggest avoiding CNET Download.com entirely”

[10] Darren Pauli (2014年7月8日). “Insecure AVG search tool shoved down users' throats, says US CERT”. The Register. 2015年5月4日閲覧。 “Sneaky 'foistware' downloads install things you never asked for”

[11] “Mind the PUP: Top download portals to avoid”. EMSISOFT (2015年3月11日). 2015年5月4日閲覧。

[12] Lowell Heddings (2015年1月11日). “Here's What Happens When You Install The Top 10 Download.com Apps”. How-To Geek. 2015年6月20日閲覧。

[13] Lowell Heddings (2015年2月23日). “Download.com and Others Bundle Superfish-Style HTTPS Breaking Adware”. How-To Geek. 2016年1月6日閲覧。

[14] Chris Hoffman (2016年7月27日). “Download.com Has Finally Stopped Bundling Crapware”. How-To Geek. 2016年8月8日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]