Kaspersky、ライバルが誤検出するよう妨害工作をしていた? 49
ストーリー by headless
審議 部門より
審議 部門より
Kaspersky Labがライバルのアンチウィルスソフトを妨害するため、誤検出を引き起こすように仕向けていたと元従業員2名が証言しているそうだ(Reutersの記事、
TNW Newsの記事、
V3.co.ukの記事)。
ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。
しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして提出。それから1週間半のうちにすべてのファイルを14社のセキュリティーソフトが危険なファイルとして検出したことも2010年1月に発表している。
(続く...)
ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。
しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして提出。それから1週間半のうちにすべてのファイルを14社のセキュリティーソフトが危険なファイルとして検出したことも2010年1月に発表している。
(続く...)
Kasperskyでは技術の物まねに対して抗議し、互いの知的財産を尊重するように呼び掛けたが効果がみられなかったため、妨害工作を実行に移す。まず、一般的に使われている正規のファイルに不正なコードを挿入して感染したファイルに見えるよう細工し、匿名でVirusTotalに提出。細工したファイルを危険なファイルとライバルが認識するだけでなく、正規のファイルにも疑いが向くように仕向けたという。
ターゲットとされるMicrosoftやAVG、Avastでは、正規のファイルとそっくりな不正ファイルが見つかったため、正規のファイルの誤検出が発生したことを過去に認めている。しかし、Reutersでは今回の件に対するコメントを得られなかったとのこと。一方、Kasperskyでも過去に同様の妨害を受けたことがあるとし、他社への妨害工作を否定しているという。また、カスペルスキー氏は「普段はReutersを読まないが、読んでみたら誤検出を見つけた」などとツイートしている。
Reutersの記事では2010年に抗議したが効果を示さなかったので妨害工作を実行に移したという証言を紹介しつつ、妨害工作は10年以上にわたって続き、2009年~2013年がピークだったとの証言も紹介しており、つじつまが合わないところもある。皆さんはどう思われるだろうか。
なんでやねん (スコア:1)
「マルウェア情報を収集・共有するVirusTotal」にアップロードされた結果を反映すると、
なんでそれが「実際に同社の技術が盗まれていることを証明する」ことになるんや?
Re:なんでやねん (スコア:5, すばらしい洞察)
逆だよね。
10個の無害なファイルに対して自社のエンジンではアラートを出すように細工しつつ、VirusTotalには未提出にしておく。
情報は共有していなかったのに、他者のウィルス検出エンジンでも同じようにアラートを出すようになったら、技術が盗まれたことを疑うべき。
Re:なんでやねん (スコア:1)
これって地図に嘘知名仕込む以上に無害に実装できるんだよね。
たとえば実行ファイル形式だけど実行しても何もせず終了するプログラムに「パクってんじゃねーよ!」を数MB繰り返したダミーデータを持ったファイルでアラート出るようにしておけば、ユーザーがそんなファイルを持ってて誤検出されることはまずありえなくて、そういうファイルを用意してスキャンさせてひっかかれば、パクりではなく偶然誤検出したと言い逃れるのは苦しい。
実際にはもうちょっと複雑な手を使うだろうけど、「ユーザーが実際に持っている恐れはほとんどないファイルでわざと誤検出させる」という手法はパクった者以外は誰も困らないので有効な対策になると思う。
うじゃうじゃ
Re: (スコア:0)
全く同感。
むしろ、「10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして提出。」ってほうがよっぽどおかしい。
マルウェアだというなら他社が対応するのは妥当だし、マルウェアではない誤検知だというならマルウェアでもない情報を提出するKasperskyの技術力が疑問ってことになる。
Re: (スコア:0)
妨害工作の準備として、無害なものをそうと知りつつマルウェアだと嘘をついて提出したって話だろ。
Re: (スコア:0)
いや、それは元コメはわかってるでしょ。
無害だろうがなんだろうが、ある程度有名なソフトが「有害である」と判断したんだから、
他社はそれなりの対応をするだろうという事じゃない?。
自社のヒューリスティック検知には引っかからないが有害であるとか、新種のウィルスがみつかったとかいう可能性もある。そもそも検出率に差があるので。
冤罪みたいに絶対に無いってことを証明することは難しいのだし、詳しい検査が終わるまでは感染しちゃうくらいなら誤検出って考え方もあるかもね。
# まぁ普通ならVirusTotalで 1社だけが検知っていくらカスペルスキーでも、こりゃ誤検知だねってなるとは思うけど。
# 検知したウィルスの情報はどうしたんだろうね?(検知されたウィルスの情報の説明があったり説明の HPに飛べたりするじゃん?)
Re: (スコア:0)
とりあえず、無害のファイルを、どんな根拠でユーザに対して「これはウィルスだ」と言っているのかがポイントでは。
「カスペルスキーさんが言ってるから」っていうならまだしも、
「検知方法は企業秘密ですけど、うちの技術で検知しました。こいつはウィルスです」っていうののなら、
それは盗人猛々しいってことではないかな。
Re:なんでやねん (スコア:1)
信頼できる (と見做されている) ベンダー = カスペルスキーが「ウイルスである」と主張しているのだから、「疑いがある」として検出するのはまあ普通の対応。さまざまな方法で in the wilde のマルウェア情報を収集するのはセキュリティ ベンダーとして当然やることと考えられるから、「企業秘密」と言うような話でもない。
無害である事が分かっているファイルを「ウイルス」として Virus Total のような場所に提出するのはモラル的にどうかと思いますね。同じ事を皆がやりだしたら収集が付かなくなるでしょうに。
Re: (スコア:0)
アップロードされたファイルを無条件に追加してたら、無害なファイルをアップロードしまくることで誤検出させる攻撃ができちゃうだろ。
Re: (スコア:0)
それは「実際に同社の技術が盗まれていることを証明する」とはまた別の話やな。
Re: (スコア:0)
Kasperskyが有害と判断した(実際には無害な)ファイルを、他社が検証することなく有害なファイルとして判断していたことになるので、それを技術が盗まれているって言っているんじゃないの?
Re: (スコア:0)
それは何を盗んでいるんだ。「マルウェア情報を収集・共有するVirusTotal」にアップロードするということは、
他社とその情報を共有することを目的としているんだろう。
相手がその情報を利用することに対して「盗った」と考えるのは、どんな気違いだ。
Re: (スコア:0)
VirtusTotalの趣旨の問題でしょ。
つまり、マルウェア検出のための実用データベースなのか、マルウェア研究のための研究データベースなのか。
カスペルスキーは後者だと考えているから、ファイルの中身を調べないで結果だけをパクったことを非難しているんでしょ。
Re: (スコア:0)
なら賛成だな(違
Re: (スコア:0)
だからパクってないだろ。結果もKasperskyが自ら提供した情報だろ。
自らデータを公共の場で公開しておいて、
「俺はここはこれこれこういう場所だと考えていた。
お前らが俺が思ったルールに従わずに、俺が公開したデータを利用するのは泥棒だ」
と本気で言っているのなら、ほんまもんの気違いだわ。
Re: (スコア:0)
VirusTotalって公共の場なの?
情報は誰でも自由に利用することが許諾されているの?
Re:なんでやねん (スコア:4, 参考になる)
VirusTotalのサイト [virustotal.com]には次の一文がある。
つまり、少なくとも今回の議論の対象であるアンチウイルスソフトベンダーがVirusTotalの情報を使うのは全く問題なし。
Re: (スコア:0)
それは、一般ユーザー向けのサービスで送られたファイルの扱い方でしょう。
Re: (スコア:0)
公共の場だろ。コミュニティーへの参加 [virustotal.com]は、資格が必要でもないし、
他に人を選ぶような参加条件があるわけでもない。誰でも参加できる。
そして、そこで公開された情報を製品に組み込むな、という規定があるわけでもないしな。
Re: (スコア:0)
「情報共有のためにアップロードされたものを元に検証せずマルウェアと判断していれば、それは技術が盗まれてることになる」
どんな理屈だよ。ありえん。
Re: (スコア:0)
それはカスペのアルゴリズムを盗用してるんじゃないか?って話じゃないの?
Re: (スコア:0)
VirusTotalにはファイルが提出されているんだ。現物のファイルがあるなら、それを認識するようにするのは
技術もへったくれもないだろう。そのパターンをブラックリストに入れておくだけだ。
Re: (スコア:0)
無害なファイル(Kasperskyが検知しない)を検知したと言って提出したのを、他社製品が検知するようになったのなら、
むしろ盗用でない可能性が高まるのでは?
Re: (スコア:0)
無害なファイルを誤検知した→独自に実装してる(ただしマヌケ)
誤検知しない→ウチのを盗んでる!
誤訳 (スコア:0)
リンク先を読むと、他社が独自にマルウェアを解析したり発見したりする努力をしないで、
提供された情報にただ乗りしていることを、この実験で批判しているようですね。
妨害工作でもないでしょ (スコア:0)
IMEで辞書の盗用を防ぐためにわざと変な変換の候補を混ぜとくとかずっと前からあるしね
カスペ以外でも当然やってるだろ
誤検知されるファイルを意図的に含めていた(どこでもやってるだろう事実)を、
記事書かせてるパトロンが無理やりカスペルスキー批判にすり替えようとしてるって感じ
Re:妨害工作でもないでしょ (スコア:3, すばらしい洞察)
(続く...) 以下の
まず、一般的に使われている正規のファイルに不正なコードを挿入して感染したファイルに見えるよう細工し、匿名でVirusTotalに提出。細工したファイルを危険なファイルとライバルが認識するだけでなく、正規のファイルにも疑いが向くように仕向けたという。
ってのは一線を越えたんじゃないかと思う。結局、誤認識による実害を増やす事になってるから。
で、他社も含めてやりあってるなんてのが本当なら、単に業界全体の信頼を損ねるだけなんじゃないか。
#地図やIMEの場合は、さすがに極力実害が出ないように配慮しているだろうし
#存在自体がホラー
Re:妨害工作でもないでしょ (スコア:3, 参考になる)
>正規のファイルにも疑いが向くように仕向けた
まて、記者はVirusTotalを知らないのか?
というより、その主張でカスペを貶めようという意図のデタラメな記事なんだな、多分。
VirusTotalはハッシュ値でファイルを認識する。
だから、加工したファイルならば感染ファイルとして報告したとしても何も問題ない。
非難されるとしたら、正常なファイルを感染ファイルだと報告する、真っ当な意味での誤検出。
Re:妨害工作でもないでしょ (スコア:1)
すいません、確かに、
ターゲットとされるMicrosoftやAVG、Avastでは、正規のファイルとそっくりな不正ファイルが見つかったため、正規のファイルの誤検出が発生したことを過去に認めている。しかし、Reutersでは今回の件に対するコメントを得られなかったとのこと。一
と続きますが、前の記述(「正規のファイルにも疑いが向くように仕向けた」)との因果関係は明らかでないですね。
#いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?
#存在自体がホラー
Re: (スコア:0)
> すいません、確かに、
すいませんとは何を吸わないのでしょうか、と思うのは私が古いからですかね
> #いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?
ハッシュは MD5/SHA1/SHA256 で持っているから、誤魔化せるとして SHA1 ぐらいまでじゃないでしょうか
それも仮に実行可能な exe だとすれば、MD5 でさえ偽装するのは難しいと思います
いや、私の知らない間に衝突するハッシュになる意味あるデータ列を作る技術ができているなら教えて欲しいぐらいですが……
# ネタにマジレス、カッコワルイ
# でも無闇に他者の精神を貶めるのは感心しないなー
Re:妨害工作でもないでしょ (スコア:1)
># でも無闇に他者の精神を貶めるのは感心しないなー
そう読まれましたか、単に自分の誤謬、粗忽さを訂正したつもりだったのですが。
#すば洞ついてるのがちょっと恥ずかしいです
>#いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?
ってのは蛇足でした。おもしろくもないし、意味もない。
#存在自体がホラー
Re:妨害工作でもないでしょ (スコア:1)
実際「ああ対策ソフトの需要がなくならないように自作自演でウィルス撒いてるってのも本当だったんだ」って思いました。
Re: (スコア:0)
Appleの地図は命にかかわるケースがあってオーストラリアの警察が警告出したりしてたけどな。
http://apple.srad.jp/story/12/12/10/194218/ [apple.srad.jp]
Re:妨害工作でもないでしょ (スコア:1)
あれはいくらなんでもコピー防止の類じゃないだろ。全世界的に誤った地図なんて…
Re: (スコア:0)
Re:妨害工作でもないでしょ (スコア:2)
パチンコガンダム駅はちょっとやりすぎでしたね。
Re: (スコア:0)
オードリー春日トゥース [mynavi.jp] に至ってはやりすぎを通り越して軽犯罪レベルでしたね。
Re: (スコア:0)
オードリー春日トゥース [mynavi.jp] に至ってはやりすぎを通り越して軽犯罪レベルでしたね。
それはパクりホイホイじゃないです。
一緒にするなよ。
Re: (スコア:0)
ユーザーが書き換えできるGoogleMAPの弱点だよな。
Re: (スコア:0)
地図でも普通に使う手法
Re: (スコア:0)
インクリメントPがひっかかりました。
http://internet.watch.impress.co.jp/cda/news/2005/03/17/6909.html [impress.co.jp]
防御側がこういうゴタゴタを起こしているとカスペルスキーの目指す「Save the World」はムリ (スコア:0)
オレは
ようやく
のぼりはじめた
ばかりだからな
この
はてしなく遠い
男坂をよ…
カスペルスキー「だから、俺たちは常にゴール(Save the World)に向かって突き進めるんだ!」
Re: (スコア:0)
???
Re: (スコア:0)
男坂ですか。
たて読み斜め読み逆さ読みアナグラムエトセトラ
見当たらない場合は一文を検索かけると答えが見つかる可能性があります
Re: (スコア:0)
いや、何で男坂なのかなーって。
「Save the World」は無理 = もう終わり = 男坂 ← ハァ?て感じ。
Re: (スコア:0)
元ネタの固有名詞まで明記されていてなお「???」な場合は
「ネタすべってない?」の婉曲表現である可能性もあります
え? (スコア:0)
> 一方、Kasperskyでも過去に同様の妨害を受けたことがあるとし、
ここで言う妨害行為っていうのが、
「パターンファイル盗用防止のために偽パターンを登録すること」
もしくは「VirusTotalに疑陽性判定を誘発する破損ファイル提出」
のことだとしたら、「同様の妨害をうけた」ってのはKaspersky自身も他社製品のパターン盗用ないしは、
VirusTotal経由での情報収集を行っていたという自白なのかね。
いや、パターン盗用はともかくVirusTotalでの情報収集が悪いとは思わんけど。
そもそも、パターンは知財で、技術では無いような気がする。
Re: (スコア:0)
「心に棚を作れ!」 [imgur.com]ということやね。
知ってた (スコア:0)
こう言う会社だよね