「いじくるつくーる」「すっきり!! デフラグ」連続誤検知事件から10年 40
ストーリー by nagazou
はや10年 部門より
はや10年 部門より
2012年にウイルスバスターがWindows向けのフリーソフト「いじくるつくーる」と「すっきり!! デフラグ」をマルウェア扱いする問題が連続して発生し(その1、その2)、その後の経緯については作者の矢吹拓也氏も一度まとめられている。それから10年たった現在、同氏が再び経緯と残された課題について解説をブログ上で行っている(INASOFT 管理人のひとこと)。
当時はこうしたウイルスソフトの誤検知問題は多発する傾向があったが、先の両ソフトの件ではトレンドマイクロ側で対策が取られたとした後でも継続して複数回、同じ問題が発生したのが特徴となっている。直接的な原因は、トレンドマイクロが定期的に実施しているクローラーにバグがあったためだとしている。またトレンドマイクロ側の告知上の対応なども存在していた。なお記事では近年似たようなトラブルが減った要因としてPCのフリーソフト需要の減少があったことなども上げている。
当時はこうしたウイルスソフトの誤検知問題は多発する傾向があったが、先の両ソフトの件ではトレンドマイクロ側で対策が取られたとした後でも継続して複数回、同じ問題が発生したのが特徴となっている。直接的な原因は、トレンドマイクロが定期的に実施しているクローラーにバグがあったためだとしている。またトレンドマイクロ側の告知上の対応なども存在していた。なお記事では近年似たようなトラブルが減った要因としてPCのフリーソフト需要の減少があったことなども上げている。
誤爆自体はまだ結構ある (スコア:5, 参考になる)
外資ソフトメーカーで働いてるけど、顧客環境でセキュリティソフトに誤検知されたIssueはちょくちょくあるよ。
ウイルス対策ソフトだけでなく、情報漏洩抑止ソフトとかにもやられる。
ユーザー画面に「ブロックしました」とか出してくれるところは、まだユーザーが気がつくだけマシ。
サイレントにプロセスを殺されたり、DLLの読み込みだけブロックされたり、特定のファイルへのアクセスに介入して「ファイルサイズ0byte」に見せてくるソリューションとかもあって、「御社の製品が動きません」と言われて、原因調査や検証するのに、無茶苦茶手間がかかる。
「ホワイトリストに入れろ」と言われるけど、ファイル単位でしか指定できなかったり、ホワイトリストが完全一致で子フォルダを見てくれない製品なんかもある。
NuGetとかで適宜、バージョンアップもする、マイクロサービスアーキテクチャのソフトとは致命的に相性が悪いけど、先方は全然、改善とかしてくれないのな……。
Re:誤爆自体はまだ結構ある (スコア:2, 参考になる)
つい先日、Microsoft Edgeを誤検知して削除する [trendmicro.com]ようなのも有りますしねぇ。
Re:誤爆自体はまだ結構ある (スコア:1)
最近はヒューリスティック+クラウドでの使用数集計による類推重視なので、
いくらまっとうな動きをしていても、セキュリティベンダー側で事前承認されていない限り、
セキュリティベンダー側で検知可能なそのソフトが使用されているPC数が少ないと、しきい値設定によっては止める動きをする。
これについてはヒューリスティックから除外するようにユーザー側にホワイトリストに入れてもらうか、
自分で先にセキュリティベンダーのクラウド検知に対してコード証明書などで事前承認してもらうよう動くしかない。
Re:誤爆自体はまだ結構ある (スコア:1)
初手でセキュリティソフトを聞いてDefender以外を入れてると分かったら、問題解決まで無効化するかアンインストールしてDefenderに戻すまでサポート優先度を激下げする
それくらいサードパーティ製は問題を起こしている
Re:誤爆自体はまだ結構ある (スコア:1)
趣味で Cylance Smart Antivirus 入れてるけど、まさにそういう感じの使いにくい NGAV で(法人向けの CylancePROTECT はマシなんだろうけど)、気づいたら新規販売を終了 [blackberry.com]してた。
ダッシュボードから Subscription & Billing 見ると
SUBSCRIPTION LENGTH
32 Years
EXPIRES ON
2053年11月9日
なんだけど絶対に EoL は近いなw
Re: (スコア:0)
先方は全然、改善とかしてくれないのな……。
本腰入れて訴えなければ改善なんてするわけないじゃない
# 企業に善意の労力を期待してはいけない
Re:誤爆自体はまだ結構ある (スコア:2, 興味深い)
元コメAC(#4246720 [srad.jp])です。
顧客や、顧客のシステム保守を担当してる会社、あるいは自製品のリセラーなんかを仲介して、セキュリティソフト側ベンダーとミーティングしたことは、何度かあるんですよ。
でもセキュリティソフト界隈には、なんか「俺様が客のセキュリティを守ってるんだ、一般のソフトウェア開発者はトラブルに巻き込まれたり不便でも我慢しろ」みたいな対応されることが、結構あった。
「サブフォルダも含む形でホワイトリスト設定できるようにならないか」とか「ホワイトリストのファイル名にワイルドカード使えるようにならないか」みたいな話をしても、「知らん、使用するソフト側で何とかしろ」の一点張りだったりで、ね。
その辺の空気感は、このストーリーの元になった、フリーソフト開発者の受難も、なんとなく理解できる感じです。
特に日本法人のエンジニアというか、技術営業あたりに、そういうのが多い印象。
SophosやCrowdStrikeはGlobal Teamの人と直接話だけど、そっちは感じ良かったし、前向きに進められた。
かわりに英語での打ち合わせになるから、顧客が置いてきぼりになりがちだけどね。
Re: (スコア:0)
でも、正味な話、サブフォルダやワイルドカードが使えるホワイトリスト指定ってめっちゃ怖いけどね。
標的型攻撃に移った現代においては、望ましくないファイルやスクリプトの保存に最適な環境を提供しているのと同じなんで単純にヤバい。
攻撃側は本気でターゲットとしたら2-3か月ぐらい"安全なソフトで"普通に泳がせて調査するから、たまったもんじゃない。
そもそもフルパスであってもファイル名で指定すること自体が筋が悪いので、ファイルハッシュや証明書で指定するのが最近だとわりと普通な気がする。
Re:誤爆自体はまだ結構ある (スコア:1)
SteamLibrary 以下はワイルドカードでホワイトリスト入れとかないとゲームは誤検出多すぎてめんどくさい。
Re: (スコア:0)
ゲームとかの場合なら、アップデート直後にすぐやりたいとかなければ、まともなクラウド検知型製品なら使用数が数日もしないうちに安全だと思われるレベルまで上がるので、ちょっと待つだけでいいと思う。
クラウド検知型じゃなかったり、アップデート当初からやりたいのであれば、検出しきい値自体は弱めて、ネットワーク上は他の機器と隔離した環境作るのが一番簡単だと思うけどね。
最近のちょっとよさげなWi-Fiルーターなら所謂ゲストネットワーク作成機能あるみたいなので、ゲストネットワーク側にゲーム用機は繋ぐってのがベターかと。
#個人的には家庭でも3つ以上のVLAN/SSIDが設定出来てそれぞれにACLが設定できる環境がベストだとは思いますが、民生機器向けのSoC自体には機能が搭載あってもEnableにしてくれる会社がない。
Re: (スコア:0)
商店で細々とやってきた所にイオンがのさばる感じ?
Re: (スコア:0)
ぜんぜん違うと思います
PCのフリーソフト需要の減少 (スコア:1, 興味深い)
まあ半年毎のWin10(11)モデファイで、OS(Win10・11)を改造するフリーソフトは、作る側も使う側も追従し切れなくなった感じはする。
Re:PCのフリーソフト需要の減少 (スコア:1, すばらしい洞察)
ExplorerPatcherは作者がWin11の糞UIにキレちらかしているのかガッツリ追従してくれて助かってる
20年以上タスクバーを上部にしてきたのに今更下部に戻せない
Re: (スコア:0, 荒らし)
改造ツールでなくとも、OSの更新で動作がおかしくなったりするから
作るのも公開するのももう面倒って感じかも。
Re: (スコア:0)
懐かしい
Windows10 から OS 自身が自動デフラグするようになって不要になったけど、その前はお世話になった
Re: (スコア:0)
単にアンドロイドやiOS向けのほうが儲かるからみんなそっちに行っちゃったんだと思うよ。
パソコンだと広告が表示されるので消しましたがスマホだと広告が表示されなければ最高ですになる。
Re:PCのフリーソフト需要の減少 (スコア:2, すばらしい洞察)
いじくるつくーるのような広告なども一切なしで好きに使ってくれなスタンスのフリーソフトの話題で「儲かるから」か…
AndoroidやiOSでもこういうユーティリティ的なソフトだと同じような「俺には何の見返りもないけど好きに使ってくれ」なソフトがけっこうあるんですよ。
それでも「需要」はモチベーションの源泉になるから、需要がある方に移ったりする。
Re: (スコア:0)
むしろ有償ソフトの方が減少している気も。
今使っているPCにはあれこれフリーソフト入れてるけど、有償ソフトは Becky! しか入ってない。
人によっては Office とか adbe のなにかとか入れてるかもしれないけど。
いろいろとあるが最終的には「ユーザー側」の判断 (スコア:0)
トレンドマイクロの件とは別に一般論として、またブログに書かれては件の氏の意見は書かれてはいるのだが、敢えて書く
2022年のこのご時世では、この手のソフトのサイトURLは、
セキュリティ機器及びソフトのWeb監査では(ある程度のしきい値以上の設定では)引っかかるべきものであるので、
引っかかったとしたら、作者でもなくセキュリティベンダーでもなく「ユーザー側」で対処するのが正しいと考える。
セキュリティベンダーが信じられると思えばそのまま、作者側が信じられるとしたらホワイトリストに追加すればよい。
ホワイトリストに追加される数か増えると徐々にヒューリスティックが上がるので、そのうち自動的に引っかからなくなるし。
#ちなみに、うちのUTMの設定ではソフトウェアダウンロード系はファーストパーティ以外ほぼつながりません。
Re:いろいろとあるが最終的には「ユーザー側」の判断 (スコア:1)
セキュリティソフトを使っている意味は?
# フィッシングサイトに引っかかりまくる未来が見える
Re: (スコア:0)
単純な話でセキュリティソフトを信じるならそのままブロックで問題ないよ。
誤検知であろうが、安全側に倒すならそのままにすべき。
それでも作者が信じられるなら個別判断しようぜって話よ。
Re:いろいろとあるが最終的には「ユーザー側」の判断 (スコア:1)
セキュリティソフトを信じるならOSのコンポーネントを削除されてもそのままにするってことだね
Re: (スコア:0)
セキュリティソフトを信じるのなら、そういうことじゃね?
Re: (スコア:0)
トピ外なんだけど、ファーストパーティってどこまでなんだろう?
ハード的なPCのメーカーとWindowsならMicrosoftだけがファーストパーティで
それ以外はサードパーティってイメージなんだが。
Re: (スコア:0)
その認識で合ってる。
windows updateとappleのソフトウェアアップデートぐらいかなと。
作者スラド読んでんのかよw (スコア:0)
どっちが1でどっちが9か分かんねーよって書いたらちゃんと直しててワロタ
Re: (スコア:0)
自意識過剰すぎ。
筆者が自分であとから気づいて直しただけかもしれないだろうに
Re:作者スラド読んでんのかよw (スコア:1)
作者に直接言う勇気もないのでここにたらしとこう
【補足5】当サイトで配布しているソフトウェアは違うと前置きはありつつも、「この頃にフリーウェアがマルウェアの温床になってしまっていた」ということを書いている方がいましたが、そうでしょうか?その認識はありませんでした。もしかして、誤検知だったのではないでしょうか?
2020年より前だったと思いますが、ある企業のシステム部門が突然、サクラエディタがマルウェアに感染してるから全社的に利用禁止!と通達を出したが、その後しばらくしたら突然解除になった、という騒動があったと聞いたことがありました。多分、誤検知だったんだろうな、と。
そういうのを真に受けてしまったということはないでしょうか?
これっていわゆるJwordやらなんたらツールバー等がフリーウェアのセットアッププログラムについてきていた時があって
それを当人としてマルウェア扱いしてたというだけなのではないでしょうか?
Re: (スコア:0)
まあ、それ以前にセキュリティ保護する側に立つなら誤検知は一旦は真に受けるべきなんだけどね。
今のご時世、時限爆弾的ゼロデイ脆弱性使い捨て攻撃なんて普通なんで、
誤検知であろうがヒューリスティックやふるまい等で検知したものは、せめて一旦切り離してしばらく様子見るぐらいはしないと危ない。
少なくとも2010年代後半のランサムウェア認知後はどんなソフト・サイトでも「今までは安全だった」は原則通用しない。
リスクとメリットをリアルタイムに天秤にかけて運用する時代に入った。
源氏名 (スコア:0)
Apex One「ウィルスバスターなんて酷いソフトがあったんですね。あ、初めまして、Apex Oneと申します」
市販アンチウィルスソフトの需要も減った (スコア:0)
Windows標準でアンチウィルスソフトが付き、他社製品のアンチウィルスソフトが誤検知その他で信用を落としていく中でセキュリティ専門家が「アンチウィルスソフトはMS標準で十分」って言い出すまでになったことも大きいと思う。
Re: (スコア:0)
高精度と低負荷の両立を最高レベルのバランスで求められる技術的難易度の高い領域で、
ビジネスの論理に胡坐をかいた製品はさすがに駆逐されてきているってところですかね。
ウイルス対策ソフトは何が良い? (スコア:0)
トレンドマイクロは論外として、何が良いのかしら?
defenderって、ウイルスパターンファイルの更新頻度が少ないのが気になるかな?(今はESET使用中なのでそれと比べて)
次はEmsisoftがいいかな?とか思っています。WannaCryを当時パターンファイルに依存しないで駆除できたそうで、ヒューリスティックが優秀そう。
ウイルスバスターとは (スコア:0)
名前の通り、バスター型ウイルスであり
OSを破壊するウイルスソフトです。
2012年位から有名でしたが、未だに使ってる人がいること自体が驚愕。
いじくって、すっきりするのか (スコア:0)
エチチッ
Re: (スコア:0)
ネトゲ界隈でも定義ファイル更新したらゲームクライアントが削除されたとかよくある話だし、なんだろうね