Windows 8.1/10ではサードパーティーのアンチウイルス製品を避けるべき? 112
ストーリー by headless
安全 部門より
安全 部門より
Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事、
Ars Technicaの記事、
The Registerの記事、
Softpediaの記事)。
これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。
たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。
GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。
なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。
これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。
たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。
GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。
なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。
通信内容を書き換えられる (スコア:5, 興味深い)
最近TCPを使うソフトを作っていて、妙にテストに失敗すると思ったらNOD32が通信内容を書き換えていた。
(chunked codingを使うHTTPメッセージを受信するとき区切りを書き換える)
Windows Defenderより多少検出率が良いとしても、通信に侵襲的に影響するようではきつい。
Re:通信内容を書き換えられる (スコア:3, 興味深い)
チャンク書き換えならまだましだよ。
数年前の事だけど、なんとかバスターなんて、 ncで大量転送のテストしただけでペイロード化ける。
# こっちのソフトがおかしいのかと切り分けしていったらこれ。にわかには信じられなかった。
Re:通信内容を書き換えられる (スコア:1)
なんとかバスターで、サーバーに画像をアップする際に、特定の画像だけ破壊される現象があったな。
俺の場合、まあ、なんとかバスターだしな、と納得したものだ。
Re:通信内容を書き換えられる (スコア:2, おもしろおかしい)
なんとかバスターで、サーバーに画像をアップする際に、特定の画像だけ破壊される
なんとかバスター「えっちなのはいけないと思います」
Re:通信内容を書き換えられる (スコア:1, 興味深い)
なんちゃらバスターのリアルタイムスキャンが有効な時だけネットワーク越しにファイルコピーしたら2GB以降が全部ヌルバイトになるのは遭遇したわ
Re:通信内容を書き換えられる (スコア:1)
TCPではなくてHTTPだけど、カスペルスキーがページに勝手にスクリプト追加するのに閉口した。
しかも、外せないという。(今現在の最新バージョンでは外せるようになったけど)
Webアプリ開発してる時に混ざって非常に鬱陶しかった……。
視点を変えると (スコア:3, すばらしい洞察)
攻撃者側(ウイルス開発者側)からしても、純正ソフトひとつだけ用意してそれに検出されないように攻撃すればいいからウイルスを作りやすくなる。
Re: (スコア:0)
Macの悪口はやめろ
Re:視点を変えると (スコア:5, おもしろおかしい)
あなたの発言は、現実から離れています。
apple自身の公式なCMによると、macにウイルスは存在しないということです。
Re:視点を変えると (スコア:1)
思うに真に重要なのは知識を古いままにしないことなのではないかと。
最近はMacにも対応したセキュリティソフトが複数でているし今のCMではウイルスがいないなんて言っていないし。
Re: (スコア:0)
appleの公式CMが現実に即したものであるという根拠を述べてください。
Re:視点を変えると (スコア:1)
# どこの宗教もこんなんだ
Re: (スコア:0)
そして何食わぬ顔をして自分の作ったウィルスを駆除するセキュリティソフトを売りつけるわけですね。
Re: (スコア:0)
視点を戻すと、アンチウィルスソフトがシステムに穴を空けるから、複数のアンチウイルスが世にあった方が穴が開いたシステムが多くなって侵入しやすくなる。
つまるのところ、アンチウイルスソフトに権利者権限を与えてしまうから余計なことをするわけで、Windowsの用意したサンドボックス内でチェックだけを行う仕組みがあればいいと思う。
Re: (スコア:0)
脆弱性に関してはOSやアプリ(場合によってはASLRによるアドレス)の多様性が助けになりますが、アンチウイルスは基本的にパターンマッチングしかしてないので攻撃側が単純に新しいウイルスを作ればアンチウイルスの多様性は助けにならないという認識は間違ってますでしょうか?
アンチウイルスメーカーはユーザーへ商品の説明をせよ (スコア:3, すばらしい洞察)
アンチウイルスメーカーがウェブブラウザへの介入が必要と考え、そのような機能を持つのは自由だろう。
しかし、その副作用として「FirefoxをリフレッシュしたらHTTPSのサイトにつながらなくなった」という質問がFirefoxのサポート掲示板にあふれているというのはいかがなものか。
アンチウイルスメーカーは、ブラウザに介入していることをユーザーに十分に説明しているのだろうか。
動作不良が起こった時、金を払ったソフトより無料のブラウザをユーザーが疑うことは容易に想像できる。
ノートンがFirefoxのダウングレードを推奨した時も、実際にノートンの指示に従ったユーザーがいた。
Re: (スコア:0)
ノートンのFirefoxダウングレード推奨も酷いものでしたよね。
互換性の問題ならESR版を入れさせるべきなのに、既知の穴が空いた通常版を勧めてた。
Re:アンチウイルスメーカーはユーザーへ商品の説明をせよ (スコア:1)
アンチウイルスソフトにも問題があるね。
アンチウイルスベンダーと契約していない、怪しいソフトの起動を許すなんてな。
重大な脆弱性だよ。まったく。
ネットワーク関連の設定やセキュリティやってると (スコア:3)
アンチウィルスソフトが原因だったってことは良くあるから、基本的な設定見て分からないときはアンチウィルスソフトの機能を切ってみたりして変化するかどうかを見るのはわりと良くある。
# まぁかと言ってノーガード戦法っぽいのもちょっと抵抗あるけど
Re:ネットワーク関連の設定やセキュリティやってると (スコア:2, 興味深い)
プロバイダーのサポート窓口やってましたが、まさにそれ。
ユーザーにアドバイスするのは、たいてい以下。
・サードパーティのアンチウイルスを無効にしてみてください
・ネトゲのセキュリティソフトを無効にしてみてください
アンチウイルスベンダーの窓口に電話すればいいのに、第三者のPCメーカーやISPがやらされてる。
金取っているんだから、自分らで尻拭いしてくれ。。
それな (スコア:2, 興味深い)
たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。
ほんこれ。
殆どがやってるし、あえてどことは名言しないが、いわゆる『オンラインバンキング保護』とかいうクソみたいな機能や、オンラインバンキング単機能の製品。
どこも『セーフブラウザ』だかなんだかいう、わけわからんブラウザでセッションを乗っ取ることで『オンラインバンキング保護』しているが、これが使い物にならない。
一見プライベートモードのように見えるが、裏でわけわからんことやってるらしく、送金処理の途中でいきなりクラッシュしたり、『応答なし』になったりする。
普通にプライベートモードやシークレットモードを使った方が遥かにマシ。
どこぞのマルウェア配信サイトよろしく、RapportだのPhishWallだのといったクソを執拗にインストールさせようとするのは止めろ。要らねえって言ってんだろ。
銀行各社はRobert O'Callahanの主張を百回読んで学習すべき。
おまえらのやっていることは百害あって一理なし。
そもそも各社が各社とも十人十色のオンラインバンキング専用保護アプリを勧めているので、もはや本当のマルウェアとの見分けがつかない。
オンラインバンキング保護を謳ったマルウェアが猛威を奮うのは時間の問題。
総合Anti-Virus売ってる会社も不要なことやりすぎ。
Microsoft見習って、余計な機能は全部外せ。
排気ファンがプラズマクラスター吐いてくる某社のノートPCなみに不要な機能つけまくってんぞ。
Re: (スコア:0)
SSL証明書を勝手に置き換えて安全だといいはるからなぁ・・・(カスペルスキーとか
Re: (スコア:0)
カスペルスキーのは書き換えとは言わないのでは?
Re: (スコア:0)
ソフトの問題とは違うけど、セキュリティと言えば類推できる合言葉要求してくるのも質が悪いと思う。
好きな食べ物とかペットの名前とかいかんでしょ。自分はそれもパスワード状態にしてるけど。
Re: (スコア:0)
結局のところ最大の防御手段がファイル名や中身のパターンマッチなんですよね。
とにかくパソコンのディスクやメモリ上のあらゆる文字列をデータベースと適合するかどうか調べるしかない。
やってることはキーロガーと全く同じなのが興味深いところです(実際に別のアンチウイルスではウイルス判定される)。
ASLRなんかは所詮、ウイルスの攻撃範囲を狭めるだけで完全に防御できる手段じゃないんだからそれこそ無駄では。
ゼロデイ攻撃は誰にも防げないのであきらめましょう。
サードパーティーソフトの弱点 (スコア:2)
自身の素性を保証するすべがないことがサードパーティーアンチウィルスベンダーの最大の弱点だよね。
利潤追求を目的にして活動する企業である以上、自社利益のために公益性に反する行為をしないという保証なんて根本的に無理だし。
OSベンダ自身のアンチウィルス機能もそのあたりは程度問題ではあるんだけど、少なくともOSがもたらす利益を侵すような行為をする動機がないという時点でサードパーティー製よりも安心できる。
かつてのメディアプレイヤーがそうだったように、アンチウィルスソフトもOS標準機能が進化するに従ってサードパーティー製の製品をインストールする必要性はどんどんなくなっていくんだろうね。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re:サードパーティーソフトの弱点 (スコア:1)
かといって、NPOやNGOが作ったアンチウイルスがあったら、
それはそれで怪しさ全開な気がする。
結局、OS配布元以外、信頼感は落ちますね。
Re: (スコア:0)
政府が作ったアンチウィルスだと国ごとにどうだろう。
日本…動きが鈍め。大学や省庁から報告されたものを対策。他のアンチウィルスと併用。
米国…動きは割と早め。国防総省とかが作る。スパイウェア。
中国…国内でしか使われない。中国だけで人気のウィルス向け。信用されない。特定ワードを含むドキュメントを勝手に削除や報告とか。
イスラエル…なんとなく強そう。対策されるウィルスの数は少ないが迅速とか?
ドイツ…堅実。問題を起こさない。
みたいなイメージかなぁ。
追加で入れる必要ないというのは同意 (スコア:1)
・どのベンダーでも最新のランサムウェアが出てから検出可能までタイムラグがある
・メール経由の感染を減らすならGmail/Outlook.com等を使ったほうが良い
・ファイアウォールの挙動が一般ユーザーには分かりにくい
個人や小規模オフィスではもう追加導入は要らないかなーと。
集中管理とかエンタープライズ用途なら別ですが。
Re: (スコア:0)
・どのベンダーでも最新のランサムウェアが出てから検出可能までタイムラグがある
・メール経由の感染を減らすならGmail/Outlook.com等を使ったほうが良い
・ファイアウォールの挙動が一般ユーザーには分かりにくい
個人や小規模オフィスではもう追加導入は要らないかなーと。
集中管理とかエンタープライズ用途なら別ですが。
一行目が事実なら二行目にあまり意味はないでしょう。メールをローカルにおけるスキャンの対象外とすることでローカル側の負担を減らせる程度?ウェブメールでもメーラーでもどのみち狙われるのはメールクライアントの脆弱性ではなくマイクロソフトオフィスの脆弱性ですから。
三行目はその通りですね。
Re:追加で入れる必要ないというのは同意 (スコア:2, 興味深い)
Gmail / Outlook.com 等のクラウドであれば、同種のウイルスメールが大量に
送付された事を検知してアラートが出せるので新種に対する即応性が高いっていう
ことではないでしょうか?
Re:追加で入れる必要ないというのは同意 (スコア:2)
そういったクラウドへのアクセスを禁止されている企業も多いと思います
#でも、McAfeeは滅びろと思う
#他は被害を受けていないから知らん
Re:追加で入れる必要ないというのは同意 (スコア:2)
そのようなクラウドにはアクセスが禁止されている企業もあるのではないでしょうか
#でも、とりあえずMcAfeeは滅んでくれ
Re:追加で入れる必要ないというのは同意 (スコア:1)
元コメです。
Gmail / Outlook.com 等のクラウドであれば、同種のウイルスメールが大量に
送付された事を検知してアラートが出せるので新種に対する即応性が高いっていう
ことではないでしょうか?
その通りです。言葉足らずでした。
ランサムウェアが流行りだした頃、Gmailは検出してアラートを出したけど
ローカルのセキュリティソフトは大手3社が検出できなかったため、
メール経由の感染抑制には追加導入のセキュリティソフトは意味がないと思ったのがきっかけですね。
Webブラウズ経由の感染対策の問題はあるのですが、
Windows10や最近のブラウザだと自動更新で最低限の対策もできますしね。
Re: (スコア:0)
メーラーでウェブメールを受け取れば業者のアラートを受信しつつセキュリティソフトの恩恵を受けられるのでは?
後はメールサービスとセキュリティベンダーのやる気や予算の問題か。
基本は多重防御。
知ってた (スコア:1)
サードのウイルス対策ソフト入れる理由はwindows defenderを使うと、何かあった時に偉い人が何も対策をしてなかったと判断するから。
慣習的な問題だなと思いつつ入れてるわけですよ、色々発生する不具合踏みながら。
#個人ならwindows defenderとパーソナルファイアーウォールでoutbound監視でモーマンタイ
Re:知ってた (スコア:1)
Windows以外は感染しないとでもいうような考えが一番危ういよ
去年すでにMacを対象にしたランサムウェアでてるしね
カタログの機能比較表見て製品選ぶアホがおるから悪いねん (スコア:1)
ぶっちゃけベンダーの中の人も
「○○(競合ベンダー名)は『Xという機能が最先端』って言ってる!!あんたんとこは無いんだろ!!実装しろ!!」
ってアホ共にウンザリしております。
Xは結局の所バズワードそのものやっちゅうねん。
うちの製品ではそのバスワード使ってないだけで、騒がれる前にとっくに実装済みやっちゅうねん。
おまけにお前が例に挙げてるそのベンダー、うちのエンジン入ってるのにうちより検出率低いって事は実装ミスって(以降自粛)
#Xには去年から今年だったら「AI」、ちょっと前は「クラウド」も入ったねえ。
(中の人なのでAC)
ウイルスバスターとCygwinの相性問題 (スコア:1)
トレンドマイクロのウイルスバスター コーポレートエディションがCygwinと相性悪くて、xorg-server, Emacs, Ruby等が動かなくなって困った。IT部門が管理してるので除外設定なども勝手にできず、急ぎだったのでLinuxのVM立てて代用した。
https://cygwin.com/ml/cygwin/2016-08/msg00229.html [cygwin.com]
そもそもセキュリティソフトなんてものが存在するのがおかしい (スコア:1)
Windows以外でセキュリティソフトをわざわざ入れないと危険なOSなんかどこに存在するんだよww
macでもLinuxでもセキュリティソフトなんかなくても十分安全だってのにさwwww
アンチウィルスで困ったことって・・・ (スコア:1)
それに動作も目に見えて遅くなるといったこともないし。
きっと、私の使用状態がネットで見る先が限られていることと、一太郎とかMS Officeとか決まったソフトしか使ってないから、感染リスクが低いからだろうなぁと思いつつ、ニフティのセキュリティ・オプションを使ってプロバイダー段階で検疫、さらにマシン上でも統合型のセキュリティソフトで検疫・防御(ファイアウォール)、ついでにEMETをインストールするようにはしている。
/*
セキュリティソフトはメインはノートン、それ以外はF-Secureにしている。ニフティのセキュリティ・サービスでロシア製を利用できるけど、なんかいやなので使っていない。
*/
Visual Studio の中間ファイル (スコア:1)
今入れてるウィルス対策ソフト、
VisualStudioの中間ファイル誤検知が多すぎて、対象フォルダを除外するという本末転倒な状態。
単純に誤検知だけならいいけど、プロジェクト参照が高確率で失敗する。
こっちは検出ログにも出てこない(プロセス保持でビルド失敗するのがVS側だから)
純正以外の自称「アンチウイルス」はむしろ有害ソフト (スコア:0)
これが現在の常識かと
Re: (スコア:0)
まじか。これ会社の上のほう説得するの大変そうだな。
Re:純正以外の自称「アンチウイルス」はむしろ有害ソフト (スコア:3, すばらしい洞察)
セキュリティ対策をしていますというポーズのためにOS標準以外の追加ソフトを入れさせるもんな
まだWindows7が大量に混じっているからしょうがないかもしれないが
8以降に限ったこっちゃない (スコア:0)
今までも問題を起こすことはあっても
役に立ったことは一度もなかった。
Re: (スコア:0)
使い方次第。
うちではXP時代に何人か救われた。
ブラウザはそれでよいとして (スコア:0)
メーラとか添付ファイル付けられるアプリも大丈夫なんか?
最新のOS、ソフトを使うのが一番 (スコア:0)
新しいバージョンが出たらすぐに乗り換えられるようにしろ。
いつまでも古いバージョン使ってんじゃねーぞ
バカフィーは百害あって一利なし (スコア:0)
俺の今の職場ではシンクライアント環境にMcAfee入れてるけど、オンアクセススキャンのプロセスがほぼ常時CPUの9割以上使ってて頻繁にExcelやOutlookが応答なしにされる。
毎日McAfeeのコンソールからひたすら停止ボタンを押下するのが一日の業務の始まり、というかしないと業務がまともに進まない。