トレンドマイクロの誤検知、フリーソフトの開発を停止に追い込む 146
トレンドマイクロ(笑) 部門より
CPRM解除ツールを「インターネット脅威ランキングトップ」と認定したり、B-CAS書き換えツールをマルウェアと認定したりとその所業が失笑を浴びているトレンドマイクロだが、今度はフリーソフトの開発を停止に追い込む悪行を達成した。
先月、フリーウェアの Windows カスタマイズツール、マルウェアと認識され作者サイトがブロックされるという問題が発生したが、その続報となる。発生したのはトレンドマイクロのセキュリティソフトがフリーソフト「いじくるつくーる」と「すっきり!! デフラグ」の配布サイトに対し、「危険なWebサイトである」とのメッセージを表示してブロックする、という問題なのだが、トレンドマイクロに「稀にしか発生しない」とされた誤検知が繰り返し発生、さらに「再発防止策について詳細を聞いたところ、継続的な出費が発生してしまうものであり、しかも、手間が大きくかかってしまうものであることから、受け入れは困難」ということで、結局作者が当面の更新停止を宣言することなってしまった。作者のブログには
今の心情は、ストーカーがナイフを持って、後ろからついてきているような状態です。過去に、もう、何回かそのナイフで刺されていますが、一昨日もそれで刺されました。
と記されている。なお、これを報じている窓の杜の記事では、
窓の杜ライブラリに収録している両ソフトについても、ダウンロードがブロックされる問題がたびたび発生しており、そのたびに同社へ問い合わせてブロックの解除を依頼している状況。根本的な誤検知対策も依頼しているが、記事執筆現在において有効な対策は取られていない。
「ウイルスバスター」の“危険なWebサイト”認定については誤検知が多いため、その結果を参考程度と捉え、「ウイルスバスター」を含む3種のウイルス対策ソフトでダウンロードしたファイル自身を検査し、問題が検出されなければ更新対象とするよう方針を転換した。
などと述べられている。
ウイルス作成罪との関連は? (スコア:5, 興味深い)
何度も何度もウイルス扱いするのでは、「この作者はウイルス作成の犯罪者です」とトレンドマイクロが言いふらしているようなものですよねぇ。これ、以前作者が書いてた気がするけど。名誉毀損で告訴しようにも、何がどうなってるのか警察に話が通じなさそうだ。しまいには「あなたがウイルス作るからいけないんでしょう」まで無知な警察に言われそう。
Re:ウイルス作成罪との関連は? (スコア:1)
むしろ無知の方がいい。
「コンピューターウィルスじゃないのに、コンピューターウィルスと言いふらされて困っているんです。
それで、どうしたら良いのか聞いてみたら、金を払えって言ってくるんです。」
Re:ウイルス作成罪との関連は? (スコア:2, 興味深い)
マジで言ってるのか皮肉なのかわかりませんが、ブラクラ中学生を補導して念書を書かせたのが京都府警サイバー対策課なんですよね。被害者がいない状況で逮捕状が降りたとは思いたくないんですが、これ、任意で子供に「意図」を自白させて、念書を取ったのなら、なんかマズい方向に社会が動いている気がする。
ウイルスバスターのお気に召さないからって開発を停止する必要がありますか (スコア:5, すばらしい洞察)
ウィルススキャンはトレンドマイクロ側が勝手に始めたことなのに、フリーソフト開発者がセキュリティソフトの仕様に合うように開発するなんて本末転倒です。
署名の要求もトレンドマイクロ側がソフトの検査の手間を惜しんでのことですし。
ソフトウェアの検査が仕事なのに、署名の有無の方が大事なんていうセキュリティソフトがあっていいものですか。
似たような話 (スコア:3, 興味深い)
こんなのとか。
https://twitter.com/HiromitsuTakagi/status/220520356153266176 [twitter.com]
http://www.applitech.co.jp/Kokuso.html [applitech.co.jp]
株式会社シマンテックを告訴
Re:え"-----------------------!!!!!! (スコア:3, 参考になる)
この答弁撤回されてるのにそこには一切触れないとか2chまとめサイト並みにひどい切り貼りっぷりだな。これこそ文書偽造罪か何かで取り締まられるべきじゃね?
Re:え"-----------------------!!!!!! (スコア:2)
継続的な出費 (スコア:2)
何度もブロックを繰り返すとか、何が起きてるんでしょうか。
よくわかりませんが、ブロックされたくないなら金払えってのはすごいです。
感心しました。
いたるところをブロックして金を取る商売ができるな。
セキュリティツール恐るべし
Re:継続的な出費 (スコア:4, 参考になる)
トレンドマイクロから提示された内容の詳細が書かれていないので推測ですが、実行ファイルに署名すれば発行者をホワイトリストに登録してやるってことじゃないですかね。
Re:継続的な出費 (スコア:2, 参考になる)
今回のこれ、サイトがブロックされる話だそうですし、また窓の杜の記事 [impress.co.jp]によると
ダウンロードしたファイル自体は、「ウイルスバスター」で検査してもウイルスが検知されないことを編集部にて確認している。
とのことなので、コードサイニング証明書ではなく、サイトを実在認証付きSSL証明書でもつけろ等と言っている可能性もあると思います。
どちらにせよデジタル署名すりゃ安全とみなしてやるってそんなのウイルス対策ソフトがなくたってできるわけですが、自己否定のようなこんな間の抜けた事を言っていると言うのは流石に無いと思いたいところです。
Re:継続的な出費 (スコア:2, 興味深い)
Re:継続的な出費 (スコア:1)
誤検知を直すのはバグだから当たり前。
そんなの当たり前すぎて議論にすらならないって人も多いのでは?
故に、誤検知を0にするのは技術的に困難なので、その先の誤検知した際にも現れるこの画面の表現が妥当であるか?という議論かと。
このような例が続くとオオカミと少年」状態になり、無視されるとなったらこの機能の意味がなくなってしまいます。
何より同一製品内で結果が一致しないというのはかなりダメな挙動でしょう。
大手電機メーカーで採用されてるコーポレート版も不定期にやらかしてトレンドからのお詫び文書がイントラに載ってます。
フリーソフトやフリーウェアを自由に導入できない環境でこのザマ、誤検知のトレンドマイクロってイメージは私の中で確定しつつあります。
Re:継続的な出費 (スコア:2, 参考になる)
作者がまとめている経緯を読んだ?
http://www.inasoft.org/talk/h201205c.html [inasoft.org]
この作者も最初は「間違いだから修正して」って言って後は対応待ちにしていたのだけれど、
あまりに頻発するから根本的な対策をお願いしてるって話ですよ。
これを「ちょっと神経質なレベル」「ここまで神経質で攻撃性のある」と言われるのは、作者が気の毒だわ。
# 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
Re:継続的な出費 (スコア:1)
> # 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
果たしてそれは本当に「外野」かな?
トレンドマイクロから何らかの業務を請け負って、業として人格攻撃をしているのかも知れんぞ。
作者が精神的に追い詰められて醜態を晒すようになれば「社会的抹殺完了」と言うわけだ。
杞憂・妄想であってくれればいいけどね。
「冷静さを欠くほど熱心なトレンドマイクロ信者」なんてのが居るとは思えないので、
人格攻撃にまで至る背景って何だろう?と穿った見方をしちゃうよね。
Re:継続的な出費 (スコア:1)
だれも無条件にホワイトリストに入れろなんぞ言って無いと思いますよ。
んなアホでタコいアルゴリズムさっさと修正しろ迷惑だろって話だと思いますが。
変更も改編も行う物を自動で判別し、尚且つ「誤検出は許さない」となると、他に手は無いと思いますよ。
2重の意味で間違い。
まず、証明書に頼ったようなホワイトリストは、少なくとも一般向けマルウエア対策では使ったら駄目でしょう。
今時署名されたマルウエアなんぞいくらでも出回ってるし、正規の証明書で保護されたフィッシングサイトなんぞもいくらでもあるから。
また一度まともなソフトを公開した後、ホワイトリストに登録させ、同じ証明書を使ってマルウエアを仕込んだ物を入れたらスルーできてしまう。
あるいは、特定のマクロファイルに自分をコピーするウイルス(かつてExcelで流行った)などが紛れ込んだまま署名される、といった事故も防止できない。とにかくファイルが安全かどうかは署名なんぞで判断してはならないはず。
(ユーザが自分で作るホワイトリストに「○○さんは信用しているから、○○さんが署名した物は無条件に信頼する」といった形で使われるなら個人認証ができているわけで話は別)
もしこの考え方を適用しようとしているのならば、それこそセキュリティ屋の看板を下ろすべき。署名されてようがされてまいが、きちんと識別できてこそセキュリティソフトウエアだろうが。
次に、他に手段が無い事は無い。
単純に検出アルゴリズムをさらに強化して、区別できる様にすれば良いだけの話。少なくとも、ウイルスバスターで検査をしてもウイルスとして関知されないことがわかっているなら、そちらの手法を取れば良いだけの話だ。
またソフトウエアのファイルは更新されていないのに、解除されてもまたブロックされると言う状況が続いているのだから、単純に考えても一度誤検出としてホワイトリストに登録されたファイルは、同一性を確認して同一ならば改ざんされていない間はブロックしないと言った措置は可能なはず。
Re:継続的な出費 (スコア:1)
>たしかにMicorosoftの証明書で署名されたマルウエアなんてありませんし
このストーリーとは関係ない話ですが、"Micorosoftの証明書で署名されたマルウエア"は存在していたようです。先月のWindows Updateで対策されています。
MS、マルウェア「Flame」で悪用された証明書を失効させる修正パッチを公開 -INTERNET Watch [impress.co.jp]
セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 - 日本のセキュリティチーム - Site Home - TechNet Blogs [technet.com]
Re:継続的な出費 (スコア:1)
フレッツウィルスクリアの中身がウィルスバスターなので、光回線導入したときに一緒に導入する方が多いんですよね。
また、導入させる代理店の方も、とにかくウィルスバスターじゃなきゃダメとか、
お金払ってるんだから間違いないとか、根拠が薄いまま使わせている事も多く、
妙なブランド志向がシェアを維持してる要因なんじゃないかな、と思ってます。
Re:継続的な出費 (スコア:1)
アプリケーションの挙動だけ見れば、誤検知されても仕方ないところはある。それがための公的な署名なんでしょうね。
今回話題になっているアプリケーションは、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなわけで、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているわけです。仕方ない面もあるだろう。
Re:継続的な出費 (スコア:5, 興味深い)
前にも書きましたが、以前ウィルスチェッカの誤検出に悩まされた時には、
オレオレ証明の署名を埋め込むことで黙らせることに成功したことがあります。
黙ったのがトレンドマイクロがどうだったかは記憶にないのですが、この方もそれを
試してみるのもいいかな、とは思います。
もっとも、正しいやり方ではないし、高木先生から怒られそうではあるし
積極的なオススメはできませんですねえ。
Re:継続的な出費 (スコア:2)
個人使用ならともかく、第三者が見たら、余計に怪しいソフトになっちゃうな。
Re:継続的な出費 (スコア:4, 興味深い)
アプリケーションの挙動だけ見れば、誤検知されても仕方ないところはある。それがための公的な署名なんでしょうね。
今回話題になっているアプリケーションは、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなわけで、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているわけです。仕方ない面もあるだろう。
だからといって「オンライン詐欺に関係していることが確認されています」という表現はどうかと。
誰が何をどうやって確認したんだろう?
Re:継続的な出費 (スコア:4, 興味深い)
このスクリーンショットを見たとき、心底びっくりしたのですが。
>>確認されています
ヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
トレンドマイクロには、一応法務部があるわけなんですが。
法務がOKを出した結果の文面であるなら、法務はそこらの法学生未満だろ?としか思えないし。
法務に相談することなく、こんなクリティカルな画面で断定口調を使うことが許されているなら、セキュリティ企業の開発体制としてマズすぎだろ、としか思えないし。
どっちにせよ、この文面一つからしても「トレンドマイクロという会社のマズさ」が見えると感じます。
Re:継続的な出費 (スコア:5, 興味深い)
このスクリーンショットを見たとき、心底びっくりしたのですが。
確認されています
ヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
この問題の一番まずいところは、このメッセージを見る人が、ほぼ素人さんだってことなんですよね。
で、往々にして二つの事柄が並んでいるときはインパクトのある方に目が行ってしまうことが多い、と。
しかし、ヒューリスティックで検知した結果から「オンライン詐欺に~確認されています」って文章を消すだけでいいと思うんだけど何でそうしないんだろう?
そもそも何でウェブサイトへヒューリスティックを用いているんだろう?ダウンロードされたファイルへならともかく。
トレンドマイクロの開発ポリシーに謎が多い現象です。
一ヶ月前のあれ、再び (スコア:1)
SQLインジェクションの改竄クエリーみたいなものです。
条件式を二つ「or」で繋ぎ、その片方を必ずTrueになる条件式にする事で、
もう片方は何が書かれていようが「間違いではない。お前らが誤読しただけだ」と主張できます。
荒唐無稽で全く事実と異なる文言であっても、何の問題も無いのです。
こんなの意思疎通するための言葉の使い方ではなく、
相手を騙して自己正当化するためだけの言葉の使い方ですから、
まともに相手をするだけ損で、「黙ってくたばれ」としか返しようがないのですが…
http://security.srad.jp/story/12/06/13/0040201/ [srad.jp]
前ストーリーでは、言葉としては間違ってないじゃないか!と言う主張がチラホラ。
中には、「詐欺に関係していること」も人間が介在せずにシステムがヒューリスティックに判定・確認できる、
なんて主張まで飛び出します。裁判官がコンピュータに置き換わる日も近そうです。
http://security.srad.jp/comments.pl?sid=570889&cid=2173529 [srad.jp]
…と言う事なのかな?
だとしたら、今回もネット風評対策会社の活躍にご期待下さい。
http://security.srad.jp/comments.pl?sid=573384&cid=2191242 [srad.jp]
あぁ、湧いてる湧いてる。
作者の下にもこんな感じの中傷メールが届いてるんでしょうかね?
企業から睨まれるって怖いですね。おちおちIDで書いたら何をされるか…
Re:継続的な出費 (スコア:3, すばらしい洞察)
> ブロックされたくないなら金払え
これってランサムウェアとかスケアウェアと呼ばれているソフトの手口そのものでは…。
Re:継続的な出費 (スコア:2)
作者のサイトを見たところ、費用はトレンドマイクロに支払うものではないようなので、おそらくはコードサイニング証明書などの登録費用では?
Re:継続的な出費 (スコア:2)
ああ、なるほど。そのようですね。失礼しました。
コードサイニング証明書で署名すればブロックから外してもらえるということでしょうか。
そうなら、いじくるつくーるはレジストリをいじるツールのようなので危険と判定→署名があれば
危険ではないツールと判定、という流れかもしれませんね。
結構お金かかるので、アマチュアには辛い出費にはなりますなあ。
ノートンのSONAR (スコア:2, 参考になる)
これが自分でビルドしたコードをいちいちヴィルス判定して削除します
正確には実行ファイルを他の(ノートンの動いている)マシンで実行させるとですが
ヴィルスバスターと共にメジャーな最古参の2つが一番信用できないってのはどういうことだか・・・
Re:ノートンのSONAR (スコア:1)
ファーストサーバと一緒でしょ? (スコア:2)
そして昨日はAdobe Readerを誤爆 (スコア:2)
以下窓の杜から引用。
http://www.forest.impress.co.jp/docs/news/20120712_546454.html [impress.co.jp]
トレンドマイクロ(株)は12日、同社の統合セキュリティソフト“ウイルスバスター”シリーズで「Adobe Reader」関連のファイルをウイルスであると誤検知してしまう問題が発生していることを明らかにした。執筆時現在、対応状況は“詳細確認中”とされており、最新のパターンファイルで問題が解消したかどうかは不明。
同社によると、この誤検知が発生するのは“スマートスキャン”機能を利用してウイルススキャンを行った場合のみで、従来型のウイルススキャン機能では発生しないとのこと。“スマートスキャン”機能とは、ローカルとクラウドの定義ファイルを組み合わせたハイブリッドなウイルススキャンを行う機能で、「ウイルスバスター2010」以降のバージョンに搭載されている。ローカルの定義ファイルを大幅に削減できるほか、クラウドで共有された最新情報にもとづくウイルス検知が行えるのがメリット。
クラウド化してから更に酷くなったような気がするよ|。・ω・)ノ
Re:トレンドマイクロはサポート対象外に (スコア:5, おもしろおかしい)
退場すべきは劣悪ソフト作ってる方なのに、逆の結果になってるのが世の理不尽ですよね。
トレンドマイクロはどこかの企業のように、嫌なら使うな!と開き直ってほしい
Re:トレンドマイクロはサポート対象外に (スコア:1)
威力業務妨害で訴えるぐらいしたほうがいいんじゃなかろうかと。
Re:トレンドマイクロはサポート対象外に (スコア:2)
訴訟は脅しにはなっても勝つのは難しんじゃなかろか。
結局のところ入れるか入れないかはユーザの判断だからね。
嫌なら機能を切ったりアンインストールしたり他のソフト使ったりすればいいし。
明確な悪意を元にしてるならともかく、対象となってるソフトの性質を鑑みれば検出してもおかしくなさそうなのもわかるし。
むしろgoogle八分の方が影響デカそうだけど、あれも法的措置が行えるわけではないしね。
何よりこれが通ってしまうとアクセスブロックされてる成人向けサイトとか訴え放題になってしまうんじゃなかろか。
こういう問題がある、というのをユーザに周知するのはいいと思うけど罪には問えないと思うなぁ。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:トレンドマイクロはサポート対象外に (スコア:3, 興味深い)
いや、もう訴えれば勝てるレベルだと思うよ。
>>信用毀損罪
>>虚偽の風説を流布し、又は偽計を用いて、人の信用を毀損し、又はその業務を妨害した者は、3年以下の懲役又は50万円以下の罰金に処する。
(これとは別に、民事で訴えても良し)
現状を整理すれば、こんな感じなワケですが。
・「有害もしくは詐欺サイトと確認している」と完全に断定している(ココは重要じゃないと言っている人が居るけど、作者さんに対するダメージ・虚偽の風説の要件としては致命的だと思う)
・トレンドマイクロ側は「誤検出である」ことを認識しており、それを随分前から把握している
・前項状況にもかかわらず、具体的な再発防止を講じていない
・現在も状況は続いている
これだけ揃っていれば「未必の故意」と言われても反論できない……と言うか、未必の故意そのものでしょ。
ちなみに、貴方が例としてあげている成人向けサイトとgoogle八分だけど。
成人向けの方は、指摘している名目の「成人向けであること」が単なる事実であり。
信用の毀損に該当することは無いと思います。
google八分の方は「表示しない」だけであって、全く違う。
私が知っている限り「表示しない」事で問える罪は無いと思います。
googleがらみで言うならGoogleサジェストにプライバシー侵害で表示差し止め命令 [impress.co.jp]の方が、今回に近い。
#今気づいたけど。
#googleの方「信用毀損」じゃなく「プライバシー」で訴えてるのって、虚偽じゃないってこ(ry
Re:トレンドマイクロはサポート対象外に (スコア:1)
自分で使って誤検出するから困るって話ではないので、使わなければいいっ
て的外れだよね。
Re:トレンドマイクロはサポート対象外に (スコア:1)
> PCく詳しくない多くの人は最初から入っていたソフトを使い続けます。
それは勝手だけど無知の責任はユーザじゃないのかな。
> それをいったらこの手のセキュリティーソフトのやっている事も悪意のあるソフトとやっている事は紙一重。
> だからこそ今は知らないけど少し前までは複数のセキュリティーソフトを入れるなが鉄則だった。
> それぞれのセキュリティーソフトがそれぞれのセキュリティーソフトを誤検知してしまうのはよくあることだった。
だから? アンチウィルスがアンチウィルスを同じように誤検出するのは分かりますし、
ベンダーがベンターを訴えた例も聞いたことありません。
それと同じ扱いになるんじゃないかしら。
だからこの言及は、訴えても罪には問えないんじゃない? って主張には何の影響も与えないですね。
スルースキル:Lv2
Keep It Simple, Stupid!
Re:トレンドマイクロはサポート対象外に (スコア:1)
Re:ウイルス (スコア:5, おもしろおかしい)
セキュリティーソフトは、強いウイルスだから弱いウイルスがはいってこないんですw
Re:ウイルス (スコア:1)
Re:ウイルス (スコア:1)
正常なファイルを駆除するのは、例えるのなら自己免疫疾患ですね。
膠原病とか、リウマチとか・・・
白血病は癌化した白血球が造血を阻害する病気なので、
例えるならウィルス検索ですべての処理が止まってしまう一昔前のアンチウィルスソフトではないかと。
Re:初心者にはセキュリティソフトは神 (スコア:2, 興味深い)
トレンドマイクロの評価版を使ってるユーザに"Microsoft Security Essentials"を薦めて、入れ替えてもらって、納得してもらったことが何度かある。こういう場合、素人ほど、Microsoft謹製の後光の効果があったりする。そもそも、セキュリティは多少気にしていても、金をかけたり、無償のセキュリティソフトにどんなものがあって何が信用できるのか調べることすらめんどくさがったりする人達ですからね。クレームだけは1人前以上に上げてくるので、対応には苦労します。
Re:実際 (スコア:1)
> 作ってたソフトはウイルスみたいなもん
具体的にどこが?
# いやみなどではなく、本気でその判断の根拠を知りたい。
Re:いったい何がしたいのだろう (スコア:3, すばらしい洞察)
クレームつける人がいるんじゃない?
ブロック画面でて「インストールできない!何とかしろ!!」って人や「ウイルスに感染した!どうしてくれる!!」って人とか、
「誤検知です」って言っても「キーッ!!!」とか頭に血がのぼりそうな人が稀でもいそう、
って、ここ見てても思わない?
Re:いったい何がしたいのだろう (スコア:2, 興味深い)
私もフリーソフトを作って居ますが、誤検知でユーザから苦情が入ったことありますよ
かなり感情的な感じでしたな
そのときはアンチウィルスソフトの更新で直りましたけど
Re:いったい何がしたいのだろう (スコア:2)
Re:いったい何がしたいのだろう (スコア:1)
別件ですが、先のsoftonic問題で会社を直接訪問するなど、結構アクティブな方のようです。
ソフトニック社を訪問してきました - INASOFT 管理人のふたこと
http://www.inasoft.org/talk/h201103b.html [inasoft.org]
Re:窓の杜の記事にある、WEBブロックされた時の画面 (スコア:1)
>>翻訳者が悪いのか
役員一覧を見ると信じられないでしょうが。
トレンドマイクロって、現在は東証一部上場の日本企業だったりするんですよ。
Re:和製ソフトは信用できない! (スコア:1)
ATOKだけでも認めてあげて…
Re:仕方ないのでは (スコア:1)
件のソフトにゃ問題なんかねぇよ。それはトレンドマイクロ自身がウィルスバスター単体でスキャンして反応しないという事実で証明してる。
問題は、にもかかわらずWebダウンロード時だけ異常な反応をすること、異常な反応だと分かっているのに対策しないこと、そのときの画面メッセージが不適切なこと、の3点なんだから、そこ踏まえてコメントしないお前はトレンドマイクロ以下のカスってこった。