Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 73
ストーリー by headless
証明 部門より
証明 部門より
先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701、
Softpediaの記事、
Techdowsの記事)。
この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。
Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。
この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。
Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。
Microsoft以外のセキュリティ製品は有害 (スコア:4, 参考になる)
この認識をもっと浸透させていきたい。
というか、法人はともかく個人でセキュリティ製品の別途導入なんて必要ない。
Re: (スコア:0)
PUA(望ましくない可能性があるアプリ)検出とか、個人にこそ必要だと思うけど。
みだりにアプリをインストールしないようにお達しが出ている会社のPCでさえ、じゃんじゃん検出&ブロック報告が上がってきます。
予備知識のない個人のPCだったら、インストールされちゃってんだろうなと心配になりますね。
「一般人はOKダイアログが出たら何も考えずに押すもの」というぐらいの視点で考えて欲しい。
Re: (スコア:0)
Microsoft製品がそれを備えれば良い
Re: (スコア:0)
望ましくないの定義やレベルによると思うけど、悪意のあるソフトウェアの削除ツールとSmartScreenの実行されるソフトウェアのチェックは、いい仕事をしていると思う。
Re: (スコア:0)
Set-MpPreference -PUAProtection Enabled [microsoft.com]
Re: (スコア:0)
OKボタンどころかUACダイアログですら何も考えずに許可しちゃう=面倒だから無効化だからなぁ。
Re: (スコア:0)
もはやウイルス。金払ってウイルス入れるのは馬鹿らしいな。
Re: (スコア:0)
「ウイルスソフト」とはよく言ったもので。
Re: (スコア:0)
反ワクチン論に似たにおいを感じる
Re: (スコア:0)
マイクロソフトのセキュリティ対策ソフトがダメダメだって吹聴することが ですかね?
#昔は兎も角、今は個人向けにはマイクロソフト謹製で十分だと思う
Re: (スコア:0)
今のWindows Defenderの検出率がいいことは知っているが、過去に何度もMicrosoft Security Essential & Windows Defenderには裏切られているからな。どの製品でも完璧はあり得ないのだから、多層防御をとるに限る。
# ESET Internet Security + FFRI yarai Home and Business Edition + Windows Defender 制限付きの定期的なスキャン
# 公式アナウンスはないが、先月よりCylance Smart Antivirusが日本から購入できるようになったらしい。現在購入検討中
Re: (スコア:0)
多層防御のつもりで装備した盾が実は爆弾でした
Re: (スコア:0)
多層防御ねぇ。
壁に穴を開けるセキュリティソフトなんていらないんですよ。
Re: (スコア:0)
Avira のワイ 高みの見物
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
こういう横着した極論レッテルが、まともな主張の足を引っ張ってんだよな
最近は標準のセキュリティ機能以外を使うことを推奨しない主張のほうが多くて
別途セキュリティソフトのインストールを勧める意見を全く聞かなくなって久しいので「まともな主張」というのを見たいのですがどこかで主張されていますか?
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
ChromeもFirefoxもブラウザが不安定になるからやめろって言ってるわけで極論でも何でもないんだよなぁ……
そもそもセキュリティソフトが肝心のセキュリティを損なう(リファラ消してCSRFリスク上げたり、
実行検知数稼ぎか知らんが利用者数が少ないだけのソフトを検知して検知警告の信用を損なったり、
自身がスパイウェア製造元だったり、国家によるスパイの片棒担いでる疑惑が出たり)事例が多すぎる。
ここに誤検知とシステム不安定化と鈍足化とデータ通信料浪費まで加わればそりゃ世論も傾くわ。
もともと脆弱性への対処と一定のリテラシーがあれば問題はそう起きないから、
行儀が良いやつを一個入れときゃそれでいい。
でChromeのレポート分析したGoogle曰くMS以外に行儀のいいやつは皆無、と。
至極当然の結論だよ。
アンチウィルス買わなきゃ駄目とかそろそろ老害呼ばわりされかねん思考だぞ。
Re: (スコア:0)
いや、可用性まで考えたらあながち間違いでもない気がする。
一昔前(Win98~XP世代)は兎も角、いまはセキュリティソフトが本当に危険な何かを検知してブロックしてくれる回数より、誤爆ブロックやセキュリティソフト起因のトラブルの回数が圧倒的に多い。
むしろ、ここ3年間は、セキュリティソフトの正常な(ブロックすべきものの)ブロックなんて0回だし。
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
誤爆で勝手に削除するし除外設定がまともに使えないような
未だ経験したことが無いので、具体的に何で発生したのか教えてください。
確かめてみたいです。
Re: (スコア:0)
システムぶっ壊すのはノートンやウイルスバスターでよく聞くけど
Re: (スコア:0)
証明書を差し替えるなんて議論の余地もなく有害でしょうに
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
暗号化されてる通信に対してセキュリティ機器による監視をするには、
途中で一度SSLを復号しなければならず、
結果、証明書はその組織のものに差し替えられます。
昨今の企業のセキュリティでは常套手段です。
証明書の差し替え(SSLの復号)を行う場所が、
ネットワークの途中か、一つのPCの中で収まっているか程度の違いに過ぎません。
普通、そのために、組織専用の証明書を各PCのOSへ信頼する証明書として
インストールしておくけど、Firefoxは、OSの証明書を信頼してくれないので、
ちょっと面倒なんですよね。
Re:Microsoft以外のセキュリティ製品は有害 (スコア:1)
大きなところだとインターネット官報 [npb.go.jp]は、
IEやWindows版ならOSが信頼している証明書を使うChromeは見られるが、Firefoxは自分でルート証明書をインストールしないと見ることができない。
MacOSXやiOSは見ることができるのかな?AndroidはMozillaが信用した証明書を使うから見られないけど。
Re: (スコア:0)
CN: ApplicationCA2 Sub
O: Japanese Government
OU: Ministry of Finance
というコンプライアンス意識がまったくない発行者の証明書だから、信用する訳ないじゃん。
Re: (スコア:0)
OとOUは別に問題ないが、CNはいい加減に変えろと思う。
認証局のCNに組織名が入ってないって何事だよw
Re: (スコア:0)
暗号化されている通信なんだから、経路で監視をしようととする発想が傲慢で、そもそもおかしい。
Re: (スコア:0)
添付ファイルのzip暗号化、パスワードの定期的な変更なども、企業のセキュリティでは常套手段ですよね。
SSLインスペクションなんてある程度のセキュリティの知識があれば誰でも知ってること。その上で悪手だと言っているのでは。
Re: (スコア:0)
ローカルのPCに細工することなく、ネットワークの途中で証明書を差し替えできるの?
それができるなら、暗号通信なんて意味ないと思うんだけど。
Re:Microsoft以外のセキュリティ製品は有害 (スコア:2)
ファイアウォールと称する偽のDNSと偽証明書を持った自動wgetマシンがあって、DNSはぜんぶ192.168.1.1が返ってきて、例えばhttps://srad.jp/index.htmlを叩くとwgetしたコピーがhttps://192.168.1.1/index.htmlに現れる……みたいなイメージですね。
結果、証明書はその組織のものに差し替えられます。
昨今の企業のセキュリティでは常套手段です。
証明書の差し替え(SSLの復号)を行う場所が、
ネットワークの途中か、一つのPCの中で収まっているか程度の違いに過ぎません。
「ということにしたいのですね」としか。この手の製品は「MITM型ファイアウォール [wikipedia.org]」と呼ばれていて、こういう製品を主軸に据えている会社があるくらい一部では人気なので、こういう意見が出てくるのは仕方がないことではありますが、公開鍵基盤の敵、というか……
Re: (スコア:0)
できるだろ。というより何故できないと思ったのか。
そして暗号通信に意味がないと言う以前に、証明書が差し替えられているのだから本来の接続先とは通信は「できない」。
結果として暗号通信の安全性は担保される。
セキュリティを考える上で逆効果なセキュリティソフト (スコア:0)
証明書を改竄される時点でDVもOVもEVも全く同じように見えてしまうので、暗号化されてる
ことより「信頼できる認証機関なのか」「通信相手の所在は確認されているのか」が
重要な位置づけにある現在は有害としか言いようがない。
有害なサイトが使うのはほぼ全てDV証明書なのでDVの時だけSSLスキャンするとか、
「信頼する認証局」「信頼性の低い認証局」を登録して挙動を変えられるようにするとか、
もう少し「セキュリティベンダー」を自称する人たちには配慮してもらいたい。
Re: (スコア:0)
ESETは、DV/OVはESET SSL Filter CAの証明書に差し替えられるが、EVは差し替えない。
完全HTTPS化 (スコア:1)
Re: (スコア:0)
サードパーティーのセキュリティ、問題ばっかりだな。
Windows Defenderとかで十分だな。トラブル多すぎ。
Re: (スコア:0)
皆勝手に復号できるなら完全HTTPS化なんてなんの役にも立たないというだけでは。
Re: (スコア:0)
というか、LenovoのPCでさんざん問題になったSuperfish [wikipedia.org]と全く同じですよねぇ。
Re: (スコア:0)
関連リンクにあるけどこいつら過去にTLS 1.3も邪魔してるからな
復号しないでhttpsの内容を調べる方法 (スコア:0)
AVG使ってるけど、とくに問題は出てないなぁ。たとえば今このサイトは「Verified by COMODO CA limited」だと、Firefoxが出してくる。
それはともかく… AVG/Avastのようにhttpsを横取りして復号する方式ではなく、httpsの内容をチェックするのってどうやってるの?
Re:復号しないでhttpsの内容を調べる方法 (スコア:1)
無理じゃ無いかな。
私はWindowsでは、httpsの内容チェックは切っているな。本来の証明書が確認できない。
Re: (スコア:0)
> 本来の証明書が確認できない
いや、AVGはこれができているのが不思議なんだよね。
Avastがオレオレ証明になってしまうのは確認済みだけど、AVGのhttpsスキャンは元のCAのまま。もちろんWebシールドのカスタマイズで「HTTPSスキャンを有効にする」にチェックが入った状態で。
もしホントにスキャンしているなら、スキャンした後にもう一度つなぎ直しているのかな。よくわからん。
srad.jpのcrtファイル (スコア:0)
AVG経由で取得したここの証明書の内容(抜粋)
Common Name:*.srad.jp
Organizational Name:
Organizational Unit:PositiveSSL Wildcard
State:
Locality:
Country:
From Date:2018-02-05 09:00:00
To Date:2019-03-08 08:59:59
Common Name:COMODO RSA Domain Validation Secure Server CA
Organizational Name:COMODO CA Limited
Organizational Unit:
Country:GB
Re: (スコア:0)
アンチウイルスソフト側では有効にしているけど、
ブラウザ側で弾かれて実は機能していないのでは?
Re: (スコア:0)
アンチウィルスのオレオレ証明書をルートに入れて、
証明書ツリーを丸ごと鍵と指紋以外同じにして再現することはできるだろうし、
コードインジェクションやDLLインジェクションでブラウザ自身をオンメモリで改造することもできる。
前者は証明書を詳しく見ればわかるだろうし、
後者はこないだFirefoxも締め出す宣言したから消えてくだろうね。
Re: (スコア:0)
ウェブブラウザのプロセス内に侵入して、Firefoxが復号した後のメモリを読み取れば良いのではなかろうか。
なお、この手法も間もなく禁じられる模様: FirefoxもサードパーティーDLLをブロックへ [it.srad.jp]。
Re: (スコア:0)
そういうソフト向けにI/F作りゃいいやんと思うけど、ぜって〜悪用する奴出るから用意できんよなぁ…
Re: (スコア:0)
DLLのロードがブロックされるだけで、コードインジェクションは封じられていないから、しばらくはそのMITBもどきの方法でいけると思われる。
Re: (スコア:0)
親切にお願いして見せてもらうとか?
サポ切れの古いOSは特にアバストでは遅くなる (スコア:0)
大抵は無料製品があるセキュリティソフトが外部から守って、
自社からは全力でスキャンし続けてるだけだから
数々の不具合原因はユーザーにアプリの優先制御権限があるか無いか (スコア:0)
ユーザー自体の選択権限すら完全に阻害したり、MSアップデートで根源問題に成ってる、
人間が知覚不能な領域でテレメトリー活動を行い、ダイアログ表示と関係無い権限操作を強制して、
正常動作を優先権限により侵害させるトロイと何ら変わらない異常性を黙認してる仕様に問題がある
Re: (スコア:0)
MSがWindows Defenderを標準装備にした理由の一つだよね
なので個人的にはセキュリティソフト各社はWindows Defenderを補助するタイプのソフトも開発するだろうと思ってたけど、そんなことはなかった
Re: (スコア:0)
Mcafeeは法人向けにはそういうタイプのソフトを出してるね。
https://www.mcafee.com/enterprise/ja-jp/products/mvision-endpoint.html [mcafee.com]