パスワードを忘れた? アカウント作成
12380159 story
テクノロジー

Kaspersky、ライバルが誤検出するよう妨害工作をしていた? 49

ストーリー by headless
審議 部門より
Kaspersky Labがライバルのアンチウィルスソフトを妨害するため、誤検出を引き起こすように仕向けていたと元従業員2名が証言しているそうだ(Reutersの記事TNW Newsの記事V3.co.ukの記事)。

ターゲットとなったのはMicrosoftやAVG、Avastなどのライバル製品で、一部の妨害工作はユージン・カスペルスキー氏が指示していたそうだ。現在ではセキュリティーソフトウェアを開発する企業間で情報が共有され、検出エンジンを互いにライセンスすることで迅速な脅威の検出が可能となっている。

しかし、カスペルスキー氏はライバル企業が独自の技術を開発せず、同社の技術を盗んでいると考えていたのだという。実際に同社の技術が盗まれていることを証明するため、Kasperskyは10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして提出。それから1週間半のうちにすべてのファイルを14社のセキュリティーソフトが危険なファイルとして検出したことも2010年1月に発表している。

(続く...)

Kasperskyでは技術の物まねに対して抗議し、互いの知的財産を尊重するように呼び掛けたが効果がみられなかったため、妨害工作を実行に移す。まず、一般的に使われている正規のファイルに不正なコードを挿入して感染したファイルに見えるよう細工し、匿名でVirusTotalに提出。細工したファイルを危険なファイルとライバルが認識するだけでなく、正規のファイルにも疑いが向くように仕向けたという。

ターゲットとされるMicrosoftやAVG、Avastでは、正規のファイルとそっくりな不正ファイルが見つかったため、正規のファイルの誤検出が発生したことを過去に認めている。しかし、Reutersでは今回の件に対するコメントを得られなかったとのこと。一方、Kasperskyでも過去に同様の妨害を受けたことがあるとし、他社への妨害工作を否定しているという。また、カスペルスキー氏は「普段はReutersを読まないが、読んでみたら誤検出を見つけた」などとツイートしている。

Reutersの記事では2010年に抗議したが効果を示さなかったので妨害工作を実行に移したという証言を紹介しつつ、妨害工作は10年以上にわたって続き、2009年~2013年がピークだったとの証言も紹介しており、つじつまが合わないところもある。皆さんはどう思われるだろうか。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年08月15日 11時50分 (#2864929)

    「マルウェア情報を収集・共有するVirusTotal」にアップロードされた結果を反映すると、
    なんでそれが「実際に同社の技術が盗まれていることを証明する」ことになるんや?

    • Re:なんでやねん (スコア:5, すばらしい洞察)

      by Anonymous Coward on 2015年08月15日 12時31分 (#2864949)

      逆だよね。
      10個の無害なファイルに対して自社のエンジンではアラートを出すように細工しつつ、VirusTotalには未提出にしておく。
      情報は共有していなかったのに、他者のウィルス検出エンジンでも同じようにアラートを出すようになったら、技術が盗まれたことを疑うべき。

      親コメント
      • by albireo (7374) on 2015年08月16日 1時14分 (#2865202) 日記

        これって地図に嘘知名仕込む以上に無害に実装できるんだよね。
        たとえば実行ファイル形式だけど実行しても何もせず終了するプログラムに「パクってんじゃねーよ!」を数MB繰り返したダミーデータを持ったファイルでアラート出るようにしておけば、ユーザーがそんなファイルを持ってて誤検出されることはまずありえなくて、そういうファイルを用意してスキャンさせてひっかかれば、パクりではなく偶然誤検出したと言い逃れるのは苦しい。
        実際にはもうちょっと複雑な手を使うだろうけど、「ユーザーが実際に持っている恐れはほとんどないファイルでわざと誤検出させる」という手法はパクった者以外は誰も困らないので有効な対策になると思う。

        親コメント
    • by Anonymous Coward

      全く同感。

      むしろ、「10個の無害なファイルを作り、マルウェア情報を収集・共有するVirusTotalに悪意のあるファイルとして提出。」ってほうがよっぽどおかしい。
      マルウェアだというなら他社が対応するのは妥当だし、マルウェアではない誤検知だというならマルウェアでもない情報を提出するKasperskyの技術力が疑問ってことになる。

      • by Anonymous Coward

        妨害工作の準備として、無害なものをそうと知りつつマルウェアだと嘘をついて提出したって話だろ。

        • by Anonymous Coward
          > 妨害工作の準備として、無害なものをそうと知りつつマルウェアだと嘘をついて提出したって話だろ。

          いや、それは元コメはわかってるでしょ。

          無害だろうがなんだろうが、ある程度有名なソフトが「有害である」と判断したんだから、
          他社はそれなりの対応をするだろうという事じゃない?。
          自社のヒューリスティック検知には引っかからないが有害であるとか、新種のウィルスがみつかったとかいう可能性もある。そもそも検出率に差があるので。

          冤罪みたいに絶対に無いってことを証明することは難しいのだし、詳しい検査が終わるまでは感染しちゃうくらいなら誤検出って考え方もあるかもね。

          # まぁ普通ならVirusTotalで 1社だけが検知っていくらカスペルスキーでも、こりゃ誤検知だねってなるとは思うけど。
          # 検知したウィルスの情報はどうしたんだろうね?(検知されたウィルスの情報の説明があったり説明の HPに飛べたりするじゃん?)
          • by Anonymous Coward

            とりあえず、無害のファイルを、どんな根拠でユーザに対して「これはウィルスだ」と言っているのかがポイントでは。
            「カスペルスキーさんが言ってるから」っていうならまだしも、
            「検知方法は企業秘密ですけど、うちの技術で検知しました。こいつはウィルスです」っていうののなら、
            それは盗人猛々しいってことではないかな。

            • 「ウイルスです」ではなくて「ウイルスの疑いがある」ですね。
              信頼できる (と見做されている) ベンダー = カスペルスキーが「ウイルスである」と主張しているのだから、「疑いがある」として検出するのはまあ普通の対応。さまざまな方法で in the wilde のマルウェア情報を収集するのはセキュリティ ベンダーとして当然やることと考えられるから、「企業秘密」と言うような話でもない。
              無害である事が分かっているファイルを「ウイルス」として Virus Total のような場所に提出するのはモラル的にどうかと思いますね。同じ事を皆がやりだしたら収集が付かなくなるでしょうに。
              親コメント
    • by Anonymous Coward

      アップロードされたファイルを無条件に追加してたら、無害なファイルをアップロードしまくることで誤検出させる攻撃ができちゃうだろ。

      • by Anonymous Coward

        それは「実際に同社の技術が盗まれていることを証明する」とはまた別の話やな。

        • by Anonymous Coward

          Kasperskyが有害と判断した(実際には無害な)ファイルを、他社が検証することなく有害なファイルとして判断していたことになるので、それを技術が盗まれているって言っているんじゃないの?

          • by Anonymous Coward

            それは何を盗んでいるんだ。「マルウェア情報を収集・共有するVirusTotal」にアップロードするということは、
            他社とその情報を共有することを目的としているんだろう。

            相手がその情報を利用することに対して「盗った」と考えるのは、どんな気違いだ。

            • by Anonymous Coward

              VirtusTotalの趣旨の問題でしょ。
              つまり、マルウェア検出のための実用データベースなのか、マルウェア研究のための研究データベースなのか。
              カスペルスキーは後者だと考えているから、ファイルの中身を調べないで結果だけをパクったことを非難しているんでしょ。

              • by Anonymous Coward
                つまり、「バイラルサイトはパクリ」論と一緒?

                なら賛成だな(違
              • by Anonymous Coward

                だからパクってないだろ。結果もKasperskyが自ら提供した情報だろ。

                自らデータを公共の場で公開しておいて、
                「俺はここはこれこれこういう場所だと考えていた。
                 お前らが俺が思ったルールに従わずに、俺が公開したデータを利用するのは泥棒だ」
                と本気で言っているのなら、ほんまもんの気違いだわ。

              • by Anonymous Coward

                VirusTotalって公共の場なの?
                情報は誰でも自由に利用することが許諾されているの?

              • Re:なんでやねん (スコア:4, 参考になる)

                by Patilise (45974) on 2015年08月15日 19時46分 (#2865101) 日記

                VirusTotalのサイト [virustotal.com]には次の一文がある。

                Files and URLs sent to VirusTotal will be shared with antivirus vendors and security companies so as to help them in improving their services and products.

                つまり、少なくとも今回の議論の対象であるアンチウイルスソフトベンダーがVirusTotalの情報を使うのは全く問題なし。

                親コメント
              • by Anonymous Coward

                それは、一般ユーザー向けのサービスで送られたファイルの扱い方でしょう。

              • by Anonymous Coward

                公共の場だろ。コミュニティーへの参加 [virustotal.com]は、資格が必要でもないし、
                他に人を選ぶような参加条件があるわけでもない。誰でも参加できる。

                そして、そこで公開された情報を製品に組み込むな、という規定があるわけでもないしな。

          • by Anonymous Coward

            「情報共有のためにアップロードされたものを元に検証せずマルウェアと判断していれば、それは技術が盗まれてることになる」

            どんな理屈だよ。ありえん。

          • by Anonymous Coward
            無害だがカスペのアルゴリズムで(のみ?)誤検出するファイルを作り、他社も同様に誤検出したら、
            それはカスペのアルゴリズムを盗用してるんじゃないか?って話じゃないの?
            • by Anonymous Coward

              VirusTotalにはファイルが提出されているんだ。現物のファイルがあるなら、それを認識するようにするのは
              技術もへったくれもないだろう。そのパターンをブラックリストに入れておくだけだ。

    • by Anonymous Coward

      無害なファイル(Kasperskyが検知しない)を検知したと言って提出したのを、他社製品が検知するようになったのなら、
      むしろ盗用でない可能性が高まるのでは?

      • by Anonymous Coward

        無害なファイルを誤検知した→独自に実装してる(ただしマヌケ)
        誤検知しない→ウチのを盗んでる!

    • by Anonymous Coward

      リンク先を読むと、他社が独自にマルウェアを解析したり発見したりする努力をしないで、
      提供された情報にただ乗りしていることを、この実験で批判しているようですね。

  • by Anonymous Coward on 2015年08月15日 11時35分 (#2864923)

    IMEで辞書の盗用を防ぐためにわざと変な変換の候補を混ぜとくとかずっと前からあるしね
    カスペ以外でも当然やってるだろ

    誤検知されるファイルを意図的に含めていた(どこでもやってるだろう事実)を、
    記事書かせてるパトロンが無理やりカスペルスキー批判にすり替えようとしてるって感じ

    • by matlay (32743) on 2015年08月15日 12時57分 (#2864960) 日記

      (続く...) 以下の

      まず、一般的に使われている正規のファイルに不正なコードを挿入して感染したファイルに見えるよう細工し、匿名でVirusTotalに提出。細工したファイルを危険なファイルとライバルが認識するだけでなく、正規のファイルにも疑いが向くように仕向けたという。

      ってのは一線を越えたんじゃないかと思う。結局、誤認識による実害を増やす事になってるから。
      で、他社も含めてやりあってるなんてのが本当なら、単に業界全体の信頼を損ねるだけなんじゃないか。
      #地図やIMEの場合は、さすがに極力実害が出ないように配慮しているだろうし

      --
      #存在自体がホラー
      親コメント
      • by Anonymous Coward on 2015年08月15日 15時16分 (#2865012)

        >正規のファイルにも疑いが向くように仕向けた
        まて、記者はVirusTotalを知らないのか?
        というより、その主張でカスペを貶めようという意図のデタラメな記事なんだな、多分。

        VirusTotalはハッシュ値でファイルを認識する。
        だから、加工したファイルならば感染ファイルとして報告したとしても何も問題ない。
        非難されるとしたら、正常なファイルを感染ファイルだと報告する、真っ当な意味での誤検出。

        親コメント
        • すいません、確かに、

          ターゲットとされるMicrosoftやAVG、Avastでは、正規のファイルとそっくりな不正ファイルが見つかったため、正規のファイルの誤検出が発生したことを過去に認めている。しかし、Reutersでは今回の件に対するコメントを得られなかったとのこと。一

          と続きますが、前の記述(「正規のファイルにも疑いが向くように仕向けた」)との因果関係は明らかでないですね。

          #いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?

          --
          #存在自体がホラー
          親コメント
          • by Anonymous Coward

            > すいません、確かに、
            すいませんとは何を吸わないのでしょうか、と思うのは私が古いからですかね

            > #いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?
            ハッシュは MD5/SHA1/SHA256 で持っているから、誤魔化せるとして SHA1 ぐらいまでじゃないでしょうか
            それも仮に実行可能な exe だとすれば、MD5 でさえ偽装するのは難しいと思います
            いや、私の知らない間に衝突するハッシュになる意味あるデータ列を作る技術ができているなら教えて欲しいぐらいですが……

            # ネタにマジレス、カッコワルイ
            # でも無闇に他者の精神を貶めるのは感心しないなー

            • ># でも無闇に他者の精神を貶めるのは感心しないなー

              そう読まれましたか、単に自分の誤謬、粗忽さを訂正したつもりだったのですが。
              #すば洞ついてるのがちょっと恥ずかしいです

              >#いや、カスペルスキー大先生ならば、ハッシュぐらい誤魔化せるにちがいない......か?
              ってのは蛇足でした。おもしろくもないし、意味もない。

              --
              #存在自体がホラー
              親コメント
      • by Anonymous Coward on 2015年08月15日 13時00分 (#2864961)

        実際「ああ対策ソフトの需要がなくならないように自作自演でウィルス撒いてるってのも本当だったんだ」って思いました。

        親コメント
      • by Anonymous Coward

        Appleの地図は命にかかわるケースがあってオーストラリアの警察が警告出したりしてたけどな。
        http://apple.srad.jp/story/12/12/10/194218/ [apple.srad.jp]

    • by Anonymous Coward
      地図とかも、存在しない地名を書き込んでおいたりするらしいですね。
    • by Anonymous Coward

      地図でも普通に使う手法

  • オレは
    ようやく
    のぼりはじめた
    ばかりだからな

    この
    はてしなく遠い
    男坂をよ…

    カスペルスキー「だから、俺たちは常にゴール(Save the World)に向かって突き進めるんだ!」

    • by Anonymous Coward

      ???

      • by Anonymous Coward

        男坂ですか。

        たて読み斜め読み逆さ読みアナグラムエトセトラ
        見当たらない場合は一文を検索かけると答えが見つかる可能性があります

        • by Anonymous Coward

          いや、何で男坂なのかなーって。

          「Save the World」は無理 = もう終わり = 男坂 ← ハァ?て感じ。

        • by Anonymous Coward

          元ネタの固有名詞まで明記されていてなお「???」な場合は
          「ネタすべってない?」の婉曲表現である可能性もあります

  • by Anonymous Coward on 2015年08月15日 20時30分 (#2865125)

    > 一方、Kasperskyでも過去に同様の妨害を受けたことがあるとし、
    ここで言う妨害行為っていうのが、
    「パターンファイル盗用防止のために偽パターンを登録すること」
    もしくは「VirusTotalに疑陽性判定を誘発する破損ファイル提出」
    のことだとしたら、「同様の妨害をうけた」ってのはKaspersky自身も他社製品のパターン盗用ないしは、
    VirusTotal経由での情報収集を行っていたという自白なのかね。
    いや、パターン盗用はともかくVirusTotalでの情報収集が悪いとは思わんけど。

    そもそも、パターンは知財で、技術では無いような気がする。

  • by Anonymous Coward on 2015年08月17日 10時29分 (#2865641)

    こう言う会社だよね

typodupeerror

ソースを見ろ -- ある4桁UID

読み込み中...