フリーウェアの Windows カスタマイズツール、マルウェアと認識され作者サイトがブロックされる 114
ストーリー by reo
多分上司が馬鹿な命令を 部門より
多分上司が馬鹿な命令を 部門より
ある Anonymous Coward 曰く、
Windows 用のシステムカスタマイズツール「いじくるつくーる」が、トレンドマイクロの「ウイルスバスター」からマルウェアとして認識され、ウイルスバスターが導入された環境でダウンロードを行うと「危険な Web サイト」としてブロックされる、という問題が発生していたそうだ (作者による状況まとめ) 。現在はブロックは解除されている模様。
ブロック理由として「このWebサイトは、有害なプログラムを転送するか、オンライン詐欺に関係していることが確認されています。」との旨が表示されるそうで、作者は、
当然、私はオンライン詐欺に関係していることなどありません。なぜ、トレンドマイクロ社が私を「オンライン詐欺に関係している」ことを「確認した」という事実ではない情報を表示しているのか、さっぱりわかりません。
と述べている。作者はトレンドマイクロのサポートセンターに問い合わせを行ったが、その反応はあまり良くなかったとのことで、トレンドマイクロとのやり取りの経緯についても紹介されている。「いじくるつくーる」は Windows 95 の時代からリリースされていた著名フリーウェアであり、なぜいまさらマルウェア認識されたのか不思議ではある。先日はトレンドマイクロが B-CAS 書き換えツールをマルウェア認定したことも伝えられており (/.J 記事)、最近の同社の対応は微妙な感じがしてならない。
トレンドマックロ (スコア:3, おもしろおかしい)
B-CAS書き換えツールの時といい絶好調なようで安心。
このままどこまでも突っ走っていけば面白そう。
フリーウェア? (スコア:2)
『フリーソフト』って書いてあるね。
#お約束的な感じだけど
トレンドマイクロに限らず (スコア:1)
窓の杜 - 【#モリトーク】第12話:過剰セキュリティの落とし穴 [impress.co.jp]
「Avast が自分自身を...」「MS Security Essentials が Google Chrome を...」といった、似たような話が紹介されています。
個人的には、KeeFox [keefox.org]という、KeePass [keepass.info] と Firefox を連携させるアドオンが、Symantec のレピュテーションの評価で「利用者数が少ない」という理由で、問答無用に削除され、KeeFox のアップデートが失敗した、という経験があります。
Re:トレンドマイクロに限らず (スコア:2, 参考になる)
現実的な対応法というと…
・コードサイニング証明書を買う (年間6万)
・Vectorや窓の杜 (Vectorは登録時に個人情報が必要、窓の杜は審査制)
・sourceforge (ライセンスが合致すれば)
・rubyforgeとかmozdevとか、本家の周辺サイト (アドオン系なら)
前科二犯のVectorに個人情報を教えるのは、ちょっと勘弁だなぁ。
海外はよく知らないのですけど、softpediaとかになるんでしょうか?
Re:トレンドマイクロに限らず (スコア:2)
少々、本題からずれますが、自作の小さなツール類はヒューリスティック判定に
かかってしまうことがたまにありますけど、
>・コードサイニング証明書を買う (年間6万)
はさすがに自作ツール用には買えないものの、オレオレ証明書を突っ込むとヒューリスティック判定が
黙ることがあります。黙らない時もあるけど。
小さなコードを書くことが多い人は覚えておくといいことがあるかもしれません。
Re:トレンドマイクロに限らず (スコア:1)
>小さなコードを書くことが多い人は覚えておくといいことがあるかもしれません。
4K-Introとかのデモプログラム作るときにclinkerってのを使うんですが、これがもう100%ウィルス認定 orz
#clinkerつかわねーと4Kにおさまんないわい!
Re:トレンドマイクロに限らず (スコア:1)
Re:トレンドマイクロに限らず (スコア:2)
3月23日のライブラリ作者向け電子メールから。
中略
あと、不正アクセスに関する最新状況のご報告 [vector.co.jp]を読む限り、コチラ側は大丈夫だったようだけどね。
Re:トレンドマイクロに限らず (スコア:1)
Google Chromeは自動アップデート機能などで間違えられても不思議ではない気がします。
状況が良く分からないのですが (スコア:1)
Google Safe Browsing の結果を見ても
http://www.yoshibaworks.com/ [google.com]
http://park21.wakwak.com/~ayacy/inasoft/dls/rnsf7.73.10_setup.exe [google.com]
と言われていますね。
ウィルスバスターの検出の影響なのかな?
それとも Gumblar みたいなのに入られてたとか?
Re: (スコア:0)
> このサイトで過去 90 日間に Google がテストした 12 ページのうち 0 ページで、
> ユーザーの同意なしに不正なソフトウェアがダウンロードされ、
> インストールされていたことが判明しました。
つまり、不正なソフトウェアがダウンロードされていなかった?
> 過去 90 日間に park21.wakwak.com/~ayacy/inasoft が他サイトへの感染媒体となっていた形跡はありません。
> このサイトでは過去 90 日間に不正なソフトウェアのホスティングが行われ、
> 0 個のドメイン( など)への感染が判明しています。
こちらもゼロ。
ぐぐる先生、これじゃ混乱させるだけだよ。
Re: (スコア:0)
外部ドメインへの感染と、同意無しの不正インストールは無かったけども、4つのトロイの木馬が配布されていたということでは?
分かりにくいのは同意
Re: (スコア:0)
google先生もたまにミスしますし、先日セーフサーチ:中の標準設定で、エロと全然関係ないキーワードで検索したら、無修正モロ画像が出てきたことがあります。
………まだ修正されてないや(´・ω・`)
Re:状況が良く分からないのですが (スコア:1)
画像がですか?
うーん? (スコア:1)
> 私が本件を通して最初に思ったのは、先の警告メッセージに登場する「オンライン詐欺に関係している」ことを「確認した」というのが、
> いったい、誰が、どうやって、どういう確認をもって、私を「オンライン詐欺に関係している」と認定したのか、ということです。
認定している方法をおおっぴらに公開したらそれ自体が抜け穴になっちゃう気がするので
「ホワイトリスト管理しててうちが漏れちゃったんだろう、早く対応してくれ!」
って思うべきじゃないのかなぁ。そんな単純な話ではないのかなぁ。
// うちの主力コンテンツもたまにブロックされるんですよ!ほんとしっかりしてくださいよ頼みますよ!!(:>^
Re:うーん? (スコア:1)
>「オンライン詐欺に関係していることを確認」と言う表現だと、ブラックリストでしか在り得ないでしょ。
そこが勘違い。
>「このWebサイトは、有害なプログラムを転送するか、オンライン詐欺に関係していることが確認されています。」
ってのは多分ブロック時のデフォルトでしょ。
だからここは前者の「有害なプログラムを転送する」って方が適応されていると見るべきでしょう。
「か」ってのはANDでなくORですから。
で、レジストリを弄るツールなんかはホワイトリストで管理しなきゃダメですから、理屈は合います。
疑問を持って居る人たちはみんな
「何でこの文章でなんで詐欺と言われていると思っているんだ?」
って感じだと思う。
Re:うーん? (スコア:1)
有害か無害かは立場により異なる主観だけど、オンライン詐欺は犯罪の疑いだからなぁ。
両方ともが「確認」されていない限り、同列に並べて「どちらかが確認されている」とすべきではないよ。
それは単に、ブロック時のデフォルトの記述が不適切だと言うだけの話。
作者が怒るのはもっともだし、その怒りに疑問を持つ方が感覚的には分かり難いなぁ。
トレンドマイクロを擁護しなきゃならん背景でもあるのかしら。
明確に「どちらともとれる記述」をしたなら、そりゃそう書いた奴が悪いよ。
どちらかに受け取って、もう片方の可能性を除外して怒ってる奴の方を厄介者認定するとか気持ち悪過ぎる。
あれか、ネット巡回して火消し書き込みする会社の人なのか?
Re:うーん? (スコア:1)
全く以て擁護する気はないけど、
このWebサイトは、
「有害なプログラムを転送する」
か、
「オンライン詐欺に関係している」
ことが確認されています。
あくまでorなんじゃないのって気がする。
andだったら「有害なプログラムを転送してるけどオンライン詐欺には関係ないよ!」ってプログラムが弾けないじゃん。
そもそも人の手で書かれた文じゃなく、ポップアップで出る自動応答でしょこれ。
確認の方法が「有害なプログラム転送 or オンライン詐欺」を検出するもので、
それに引っかかったんだよ!って言いたいだけなんじゃないの。
分かり辛ぇんだよ!って言われりゃそこまでだけどさ。
日本語って難しいねぇ
// 特定のホストへhttpクエリを投げるロジックを内包するexeは全部それに引っかかって、
// 引っかからないためのハッシュのホワイトリストがあるんだけどそれに漏れたんじゃねって気がする(:>^
Re:うーん? (スコア:1)
あれなんか変なところにぶら下がった。まぁいいや
Re:うーん? (スコア:1)
だから機械的な自動応答だっつってんじゃん
確認した、走査してエラーを検出したのはウイルスチェッカーだっての
人間がイチイチ検査するかよ・・・
その辺の文言が気に入らないってなら自分で万人に気に入られるものを作れよ・・・
// おふとぴ(:>^
Re:うーん? (スコア:1)
その文言をきちんと理解しないでうだうだ文句言ってんじゃねーよって話じゃなかったの?
お前に話を合わせられない俺が馬鹿なの? J (・ω・
// 話が合ってないんじゃそりゃキレるわ(:>^
Re:うーん? (スコア:1)
あーはいはい会話が成り立ってないね。相手にした俺が馬鹿だったよ・・・
お前の言ってることは分かってんだよ、ユーザに言われたから文言直すべきってんだろ?
いちいち言わんでいいわ・・・
// これだけ大きな釣り針も久しぶりに見たな(:>^
Re:うーん? (スコア:1)
一通り拝読しましたが、たぶんごっちゃになってるのは貴方だけだよ…
セキュリティソフト利用者が承知しているからと言ってセキュリティソフト提供者の「嘘」が許されるわけじゃないし、
今回問題になってるのはアプリケーション利用者の不利益では無くアプリケーション作者の名誉が毀損されることだし、
名誉毀損はそれが表示された場所がサーバであるかクライアントであるかも関係なく、
それを読むのが誰であるかさえも関係無いの。
何故か「セキュリティソフトの誤検出」が問題にされているように歪曲したがるけど、
本件は徹頭徹尾、技術的な話じゃないよ。そんな誤解する余地は無いよ。
わざとじゃないなら、最初から読み直した方がいいね。
このコメントが分かり易いかな?
http://security.srad.jp/comments.pl?sid=570889&cid=2172964 [srad.jp]
言葉の問題だね。
機械的に検出結果だけで分類されて出力されるメッセージに、
「オンライン詐欺に関係していることが確認」と言う文言を混ぜるべきではない。
それは、そのコメントを発するのが誰であろうが、そのコメントを受け取るのが誰であろうが、
そのコメントが掲載されるのが何処であろうが、変わらず不適切だと言う話。
技術の話に持ち込めば「誰が誰に対し何処でどの様にして発したメッセージか」は意味を持つだろうが、
社会の話としては『それ以前』の状態なので、「誰が誰に対し何処でどの様にして発したメッセージか」はおいといて下さい。
ホントそれは今はどーでもいい事だから、
Re:うーん? (スコア:1)
いや読んでないだろ・・・
>今回問題になってるのはアプリケーション利用者の不利益では無くアプリケーション作者の名誉が毀損されること
だからそれがそもそも成り立たない文面なのに何故それが理解できないのか不思議だということ。
嘘じゃないだろってみんな言ってるの。
今の君のコメント内ですら、名誉棄損の可能性があることを考慮しているのに
> 「誰が誰に対し何処でどの様にして発したメッセージか」はおいといて下さい。
というのは浅薄すぎではないかね?
// もう突っ込むのも疲れるのでやめてくんない?
バスターがウインドウフォーカスを奪う謎現象 (スコア:1)
ウイルスバスターのアップデータがウインドウフォーカスを奪う謎現象が起きてて、一向に解消するそぶりが無いんですよね。
詳細なレポートを何度も送ってるんですけど。
トレンドマイクロって、ユーザーサポートと、その先の開発などとの間の連絡がちゃんとできてないんじゃないかな。
ちなみに現象は、ウインドウタイトル「ウイルスバスター2012 クラウド」でウインドウクラス名「#32770」の“不可視の”ウインドウが、2~3秒間フォアグラウンドウインドウになって、入力フォーカスを少し奪って戻す、という挙動をします。
しかもきっかり3時間ごとに繰り返す。
IMEが入力中に固まるなど、妙な挙動があるなぁ、と思ってる人は、バスターが原因かもしれません。
WindowsXPとWindows7-64で現象確認済。多分どんな環境でも起きると思うよ。
著名? (スコア:0)
>Windows 95 の時代からリリースされていた著名フリーウェアであり
95当時、この手のツール結構漁ってたつもりだったけど、聞いたことなかった。
早々に『窓の手』に落ち着いたってのもあるけど。
#winから離れて久しいので、著名になったのが最近ならすまん
Re:著名? (スコア:3, 参考になる)
私はwin98あたりから利用させて頂いていますが、 カスタマイズできる項目が「窓の手」と多少異なり相補的な関係にあった気がしますね。
たしか、フォルダのターゲット変更(e.g. My Documentを d:\home\ にマップする)なんて機能は (当時の)「窓の手」になくて「いじくるつくーる」では提供されていたような記憶があります。
Re:著名? (スコア:2)
当時はRNSFとかいう、今とは違う名前じゃなかったでしょうか。
http://www.yoshibaworks.com/ayacy/inasoft/webhelp/rnsf7/HLP000012.html [yoshibaworks.com]
Re: (スコア:0)
私も最初、ん?と思ったのですが、サイトトップで「すっきり!! デフラグ」と同じ作者とわかったので著名かもと納得しました。
# すっきり!! デフラグもしらんというならばすみません
Re: (スコア:0)
窓の手の開発が止まってた頃に普及した感があるかな>いじくるつくーる。
前科を考えればトレンドマイクロのソフトの方がよっぽど悪意のあるマルウェアと受け取れなくもないけど、
カスタマイズツールって、使い方間違うと悲惨なことになりかねないって意味では、
ある意味素人お断りの領域でもあるわけで、よくわからない人が手を出してしまって失敗しないように警告を出す程度なら
ありえなくもないかなとは思う。ただし今回のはやりすぎにもほどがあると感じる。
Re:著名? (スコア:1)
マルウェア認定よりも、「オンライン詐欺」「確認」の方が今回はポイントなんじゃないかという気がする。
Re: (スコア:0)
「有害なプログラムを転送するか、オンライン詐欺に関係していること」が「確認」されたんだから単に配布してるツールが有害プログラム認定されただけでは?
Re:著名? (スコア:2)
冗談です。
Re:著名? (スコア:1)
同感。
作者は「いじくるつくーるはどのように使っても害を与えることはありません」と言えばいいのにね。
たぶんそう言えないから警告前半は無視しているんだろうけど。
どっかの素人が「このツールを使っていたら、ソフトが立ち上がらなくなった!有害なプログラムだ!」とか通報したんじゃないの。
Re: (スコア:0)
>作者は「いじくるつくーるはどのように使っても害を与えることはありません」と言えばいいのにね。
ツールの機能から言ってそれを断言するのは無理でしょうな。
どんなソフトでもそうか。
>最近の同社の対応は微妙な感じがしてならない (スコア:0)
だからB-CASの件はあっちの記事でさんざん「最近に限った話じゃねーよ!」って突っ込みが入ってるだろ。リンクまで貼ってるんだから、そこでの指摘ぐらい反映しようぜ。
今回の件がアレなのはわかるが、トレンドマイクロ憎しで何でもこじつけるのは陰謀論と変わらんよ。
Re:>最近の同社の対応は微妙な感じがしてならない (スコア:1)
陰謀論でもなんでもなく、実績です。
Google: ウイルスバスター 給料594円 [google.co.jp]
Re: (スコア:0)
トレンドマイクロの対応が微妙なのは昔からですよね。
Re: (スコア:0)
最近に限ってないと言うのは問題の深刻さを示す根拠になることはあっても
昔からそうなのだからと言うことが緩和される要因にはならない気がするんですが。
オンライン詐欺に関係しているのではなく、有害なプログラムを転送している (スコア:0)
普通のWindwosカスタマイズ・ツールでは触らないようなレジストリ項目をいじくるツールなので、機械的に(?)有害なプログラム(のダウンロード・サイト)だと判定されただけでは?
なぜ作者が『トレンドマイクロ社が私を「オンライン詐欺に関係している」ことを「確認した」』と誤解したのか非常に不思議
常識的には『有害なプログラムを転送する(ダウンロードさせる)サイト』と誤解されたと考えるのが普通だろ
ウィルスバスターが「確認した」と表示するので (スコア:1)
作者がそう解釈したのではなくて、ウィルスバスターが
「このWebサイトは、有害なプログラムを転送するか、オンライン詐欺に関係していることが確認されています。」
と表示しているのです。
http://park21.wakwak.com/~ayacy/inasoft/pic/talkpic/vbkrs.jpg [wakwak.com]
屍体メモ [windy.cx]
Re: (スコア:0)
いやだから、
If A or B Then マルウェア
の条件で、結果としてマルウェアだと判断されている。
作者は「なぜB=Trueと判断したのか分からない」と言っている。
作者がAの条件を無視する理由はなんだろう。
ってことでしょう。
元コメは「A=Trueだからじゃないの」という意見。
私も同意見。
Re:ウィルスバスターが「確認した」と表示するので (スコア:2, 参考になる)
作者による状況まとめに
> 現時点において、ウイルスバスター自身を含め、いくつかのウイルス対策ソフトにて「いじくるつくーる」を検閲しても、ウイルスとは検出されません。
> 本現象は、ダウンロード時のみに発生する現象となります。
と書いてるのでA=Falseであるとトレンドマイクロは判定したと作者は認識したのではないでしょうか?
トレンドマイクロがA=Trueと判断したのならばダウンロードサイトへのブロッキングだけでなく該当ソフトウェアもウィルススキャンでマルウェアと
判定しなければ対策としては不十分な気はします。
Re: (スコア:0)
1. 『前者のみに該当』
2. 『後者のみに該当』
3. 『前者と後者の両方に該当』
の各パターンがあり得ると思うんだけど、作者さんは (意図的なのか誤解によるものかは分かりませんが) 1. の可能性を無視して『後者に該当していると判断された! そんな事実は無いのに!』と騒いでいるように見えるんですね。
Re:ウィルスバスターが「確認した」と表示するので (スコア:1)
Re: (スコア:0)
有益なプログラムを作る事は出来るんだろうけど、
わざと事を荒立てて騒ぐタイプなんだろうなぁ、
という印象を持った。
Re:オンライン詐欺に関係しているのではなく、有害なプログラムを転送している (スコア:1)
大企業から濡れ衣着せられる中小商店の立場に、実際になってみないと、
事を荒立てて騒ぐどうこうはわからんだろな。
Re: (スコア:0)
自分も同じ印象を持った。
分かってて言ってるよね。
Re:オンライン詐欺に関係しているのではなく、有害なプログラムを転送している (スコア:1)
http://www.yoshibaworks.com/ayacy/inasoft/rnsf7.txt [yoshibaworks.com]
8. 著作権・転載について
……
本プログラムを使用した際に生じたいかなる障害についても、またドキュメント
ファイル等に不手際があったとしても、著作権所有者は一切の責任を負わないもの
とします。
その少し下の部分で
ウイルス対策ソフトメーカー・セキュリティ企業・ブラウザ開発企業各社は、
当サイトで公開しているソフトウェアについて、ウイルス・マルウェアと誤検知
することを禁じます。また、当サイト・ミラーサイト・転載先サイトにおいて、
ダウンロード時に過度に危険をにおわせるメッセージを表示し、ユーザーに誤解を
与えることを禁じます。
だって。
Re:Bitdefender製のAquariusによるもの (スコア:2, 興味深い)
だから、「ヒューリスティック検査」を「確認した」って表現していいのかって話でしょ。少なくとも私は、機械的に検出したのを「確認した」とは言って欲しくない。
検査に引っかかるってことは、状況証拠的には黒いんだが、それをもって「確認した」と言っちゃうと、じゃあ確認って何だって話になるんじゃないですかね。疑いがあるのと、確認したにはかなり開きがあるはず。
つまり、今回のケースは機会判定じゃなくて、人為的なミスじゃないの?人間を挟まずに「確認」って言ったのなら、これ、明らかに名誉毀損でしょ?正直、訴えたら勝てるんじゃないかと思うんだけど。