パスワードを忘れた? アカウント作成
15647888 story
ソフトウェア

「いじくるつくーる」「すっきり!! デフラグ」連続誤検知事件から10年 40

ストーリー by nagazou
はや10年 部門より
2012年にウイルスバスターがWindows向けのフリーソフト「いじくるつくーる」と「すっきり!! デフラグ」をマルウェア扱いする問題が連続して発生し(その1その2)、その後の経緯については作者の矢吹拓也氏も一度まとめられている。それから10年たった現在、同氏が再び経緯と残された課題について解説をブログ上で行っている(INASOFT 管理人のひとこと)。

当時はこうしたウイルスソフトの誤検知問題は多発する傾向があったが、先の両ソフトの件ではトレンドマイクロ側で対策が取られたとした後でも継続して複数回、同じ問題が発生したのが特徴となっている。直接的な原因は、トレンドマイクロが定期的に実施しているクローラーにバグがあったためだとしている。またトレンドマイクロ側の告知上の対応なども存在していた。なお記事では近年似たようなトラブルが減った要因としてPCのフリーソフト需要の減少があったことなども上げている。
  • by Anonymous Coward on 2022年05月10日 17時35分 (#4246720)

    外資ソフトメーカーで働いてるけど、顧客環境でセキュリティソフトに誤検知されたIssueはちょくちょくあるよ。
    ウイルス対策ソフトだけでなく、情報漏洩抑止ソフトとかにもやられる。

    ユーザー画面に「ブロックしました」とか出してくれるところは、まだユーザーが気がつくだけマシ。
    サイレントにプロセスを殺されたり、DLLの読み込みだけブロックされたり、特定のファイルへのアクセスに介入して「ファイルサイズ0byte」に見せてくるソリューションとかもあって、「御社の製品が動きません」と言われて、原因調査や検証するのに、無茶苦茶手間がかかる。

    「ホワイトリストに入れろ」と言われるけど、ファイル単位でしか指定できなかったり、ホワイトリストが完全一致で子フォルダを見てくれない製品なんかもある。
    NuGetとかで適宜、バージョンアップもする、マイクロサービスアーキテクチャのソフトとは致命的に相性が悪いけど、先方は全然、改善とかしてくれないのな……。

    ここに返信
    • by Anonymous Coward on 2022年05月10日 20時31分 (#4246845)

      つい先日、Microsoft Edgeを誤検知して削除する [trendmicro.com]ようなのも有りますしねぇ。

    • by Anonymous Coward on 2022年05月10日 18時00分 (#4246741)

      最近はヒューリスティック+クラウドでの使用数集計による類推重視なので、
      いくらまっとうな動きをしていても、セキュリティベンダー側で事前承認されていない限り、
      セキュリティベンダー側で検知可能なそのソフトが使用されているPC数が少ないと、しきい値設定によっては止める動きをする。
      これについてはヒューリスティックから除外するようにユーザー側にホワイトリストに入れてもらうか、
      自分で先にセキュリティベンダーのクラウド検知に対してコード証明書などで事前承認してもらうよう動くしかない。

    • by Anonymous Coward on 2022年05月11日 2時19分 (#4246954)

      初手でセキュリティソフトを聞いてDefender以外を入れてると分かったら、問題解決まで無効化するかアンインストールしてDefenderに戻すまでサポート優先度を激下げする
      それくらいサードパーティ製は問題を起こしている

    • 趣味で Cylance Smart Antivirus 入れてるけど、まさにそういう感じの使いにくい NGAV で(法人向けの CylancePROTECT はマシなんだろうけど)、気づいたら新規販売を終了 [blackberry.com]してた。
      ダッシュボードから Subscription & Billing 見ると

      SUBSCRIPTION LENGTH
      32 Years
      EXPIRES ON
      2053年11月9日

      なんだけど絶対に EoL は近いなw

    • by Anonymous Coward

      先方は全然、改善とかしてくれないのな……。

      本腰入れて訴えなければ改善なんてするわけないじゃない

      # 企業に善意の労力を期待してはいけない

      • by Anonymous Coward on 2022年05月11日 18時27分 (#4247422)

        元コメAC(#4246720 [srad.jp])です。

        顧客や、顧客のシステム保守を担当してる会社、あるいは自製品のリセラーなんかを仲介して、セキュリティソフト側ベンダーとミーティングしたことは、何度かあるんですよ。

        でもセキュリティソフト界隈には、なんか「俺様が客のセキュリティを守ってるんだ、一般のソフトウェア開発者はトラブルに巻き込まれたり不便でも我慢しろ」みたいな対応されることが、結構あった。
        「サブフォルダも含む形でホワイトリスト設定できるようにならないか」とか「ホワイトリストのファイル名にワイルドカード使えるようにならないか」みたいな話をしても、「知らん、使用するソフト側で何とかしろ」の一点張りだったりで、ね。

        その辺の空気感は、このストーリーの元になった、フリーソフト開発者の受難も、なんとなく理解できる感じです。

        特に日本法人のエンジニアというか、技術営業あたりに、そういうのが多い印象。
        SophosやCrowdStrikeはGlobal Teamの人と直接話だけど、そっちは感じ良かったし、前向きに進められた。
        かわりに英語での打ち合わせになるから、顧客が置いてきぼりになりがちだけどね。

        • by Anonymous Coward

          でも、正味な話、サブフォルダやワイルドカードが使えるホワイトリスト指定ってめっちゃ怖いけどね。
          標的型攻撃に移った現代においては、望ましくないファイルやスクリプトの保存に最適な環境を提供しているのと同じなんで単純にヤバい。
          攻撃側は本気でターゲットとしたら2-3か月ぐらい"安全なソフトで"普通に泳がせて調査するから、たまったもんじゃない。

          そもそもフルパスであってもファイル名で指定すること自体が筋が悪いので、ファイルハッシュや証明書で指定するのが最近だとわりと普通な気がする。

          • SteamLibrary 以下はワイルドカードでホワイトリスト入れとかないとゲームは誤検出多すぎてめんどくさい。

            • by Anonymous Coward

              ゲームとかの場合なら、アップデート直後にすぐやりたいとかなければ、まともなクラウド検知型製品なら使用数が数日もしないうちに安全だと思われるレベルまで上がるので、ちょっと待つだけでいいと思う。

              クラウド検知型じゃなかったり、アップデート当初からやりたいのであれば、検出しきい値自体は弱めて、ネットワーク上は他の機器と隔離した環境作るのが一番簡単だと思うけどね。
              最近のちょっとよさげなWi-Fiルーターなら所謂ゲストネットワーク作成機能あるみたいなので、ゲストネットワーク側にゲーム用機は繋ぐってのがベターかと。

              #個人的には家庭でも3つ以上のVLAN/SSIDが設定出来てそれぞれにACLが設定できる環境がベストだとは思いますが、民生機器向けのSoC自体には機能が搭載あってもEnableにしてくれる会社がない。

      • by Anonymous Coward

        商店で細々とやってきた所にイオンがのさばる感じ?

        • by Anonymous Coward

          ぜんぜん違うと思います

  • by Anonymous Coward on 2022年05月10日 17時23分 (#4246715)

    まあ半年毎のWin10(11)モデファイで、OS(Win10・11)を改造するフリーソフトは、作る側も使う側も追従し切れなくなった感じはする。

    ここに返信
    • by Anonymous Coward on 2022年05月10日 17時50分 (#4246732)

      ExplorerPatcherは作者がWin11の糞UIにキレちらかしているのかガッツリ追従してくれて助かってる
      20年以上タスクバーを上部にしてきたのに今更下部に戻せない

    • Re: (スコア:0, 荒らし)

      by Anonymous Coward

      改造ツールでなくとも、OSの更新で動作がおかしくなったりするから
      作るのも公開するのももう面倒って感じかも。

    • by Anonymous Coward

      懐かしい
      Windows10 から OS 自身が自動デフラグするようになって不要になったけど、その前はお世話になった

    • by Anonymous Coward

      単にアンドロイドやiOS向けのほうが儲かるからみんなそっちに行っちゃったんだと思うよ。
      パソコンだと広告が表示されるので消しましたがスマホだと広告が表示されなければ最高ですになる。

      • by Anonymous Coward on 2022年05月10日 17時58分 (#4246739)

        いじくるつくーるのような広告なども一切なしで好きに使ってくれなスタンスのフリーソフトの話題で「儲かるから」か…
        AndoroidやiOSでもこういうユーティリティ的なソフトだと同じような「俺には何の見返りもないけど好きに使ってくれ」なソフトがけっこうあるんですよ。
        それでも「需要」はモチベーションの源泉になるから、需要がある方に移ったりする。

    • by Anonymous Coward

      むしろ有償ソフトの方が減少している気も。
      今使っているPCにはあれこれフリーソフト入れてるけど、有償ソフトは Becky! しか入ってない。
      人によっては Office とか adbe のなにかとか入れてるかもしれないけど。

  • by Anonymous Coward on 2022年05月10日 17時48分 (#4246730)

    トレンドマイクロの件とは別に一般論として、またブログに書かれては件の氏の意見は書かれてはいるのだが、敢えて書く

    2022年のこのご時世では、この手のソフトのサイトURLは、
    セキュリティ機器及びソフトのWeb監査では(ある程度のしきい値以上の設定では)引っかかるべきものであるので、
    引っかかったとしたら、作者でもなくセキュリティベンダーでもなく「ユーザー側」で対処するのが正しいと考える。
    セキュリティベンダーが信じられると思えばそのまま、作者側が信じられるとしたらホワイトリストに追加すればよい。
    ホワイトリストに追加される数か増えると徐々にヒューリスティックが上がるので、そのうち自動的に引っかからなくなるし。

    #ちなみに、うちのUTMの設定ではソフトウェアダウンロード系はファーストパーティ以外ほぼつながりません。

    ここに返信
    • セキュリティソフトを使っている意味は?
      # フィッシングサイトに引っかかりまくる未来が見える

      • by Anonymous Coward

        単純な話でセキュリティソフトを信じるならそのままブロックで問題ないよ。
        誤検知であろうが、安全側に倒すならそのままにすべき。
        それでも作者が信じられるなら個別判断しようぜって話よ。

    • by Anonymous Coward

      トピ外なんだけど、ファーストパーティってどこまでなんだろう?
      ハード的なPCのメーカーとWindowsならMicrosoftだけがファーストパーティで
      それ以外はサードパーティってイメージなんだが。

      • by Anonymous Coward

        その認識で合ってる。
        windows updateとappleのソフトウェアアップデートぐらいかなと。

  • by Anonymous Coward on 2022年05月10日 20時06分 (#4246823)

    レジストリをいじるソフトを公開している作者側も10%くらいは悪かったに違いない。トレンドマイクロ側の悪さは90%くらいだったに違いない

    どっちが1でどっちが9か分かんねーよって書いたらちゃんと直しててワロタ

    ここに返信
    • by Anonymous Coward

      自意識過剰すぎ。
      筆者が自分であとから気づいて直しただけかもしれないだろうに

      • by Anonymous Coward on 2022年05月11日 12時47分 (#4247186)

        作者に直接言う勇気もないのでここにたらしとこう

        【補足5】当サイトで配布しているソフトウェアは違うと前置きはありつつも、「この頃にフリーウェアがマルウェアの温床になってしまっていた」ということを書いている方がいましたが、そうでしょうか?その認識はありませんでした。もしかして、誤検知だったのではないでしょうか?
        2020年より前だったと思いますが、ある企業のシステム部門が突然、サクラエディタがマルウェアに感染してるから全社的に利用禁止!と通達を出したが、その後しばらくしたら突然解除になった、という騒動があったと聞いたことがありました。多分、誤検知だったんだろうな、と。
        そういうのを真に受けてしまったということはないでしょうか?

        これっていわゆるJwordやらなんたらツールバー等がフリーウェアのセットアッププログラムについてきていた時があって
        それを当人としてマルウェア扱いしてたというだけなのではないでしょうか?

        • by Anonymous Coward

          まあ、それ以前にセキュリティ保護する側に立つなら誤検知は一旦は真に受けるべきなんだけどね。
          今のご時世、時限爆弾的ゼロデイ脆弱性使い捨て攻撃なんて普通なんで、
          誤検知であろうがヒューリスティックやふるまい等で検知したものは、せめて一旦切り離してしばらく様子見るぐらいはしないと危ない。

          少なくとも2010年代後半のランサムウェア認知後はどんなソフト・サイトでも「今までは安全だった」は原則通用しない。
          リスクとメリットをリアルタイムに天秤にかけて運用する時代に入った。

  • by Anonymous Coward on 2022年05月10日 20時11分 (#4246828)

    Apex One「ウィルスバスターなんて酷いソフトがあったんですね。あ、初めまして、Apex Oneと申します」

    ここに返信
  • by Anonymous Coward on 2022年05月10日 20時29分 (#4246843)

    Windows標準でアンチウィルスソフトが付き、他社製品のアンチウィルスソフトが誤検知その他で信用を落としていく中でセキュリティ専門家が「アンチウィルスソフトはMS標準で十分」って言い出すまでになったことも大きいと思う。

    ここに返信
    • by Anonymous Coward

      高精度と低負荷の両立を最高レベルのバランスで求められる技術的難易度の高い領域で、
      ビジネスの論理に胡坐をかいた製品はさすがに駆逐されてきているってところですかね。

  • by Anonymous Coward on 2022年05月11日 14時24分 (#4247259)

    トレンドマイクロは論外として、何が良いのかしら?
    defenderって、ウイルスパターンファイルの更新頻度が少ないのが気になるかな?(今はESET使用中なのでそれと比べて)
    次はEmsisoftがいいかな?とか思っています。WannaCryを当時パターンファイルに依存しないで駆除できたそうで、ヒューリスティックが優秀そう。

    ここに返信
  • by Anonymous Coward on 2022年05月11日 17時17分 (#4247374)

    名前の通り、バスター型ウイルスであり
    OSを破壊するウイルスソフトです。
    2012年位から有名でしたが、未だに使ってる人がいること自体が驚愕。

    ここに返信
  • by Anonymous Coward on 2022年05月13日 10時17分 (#4248347)

    エチチッ

    ここに返信
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...