アカウント名:
パスワード:
何度もブロックを繰り返すとか、何が起きてるんでしょうか。よくわかりませんが、ブロックされたくないなら金払えってのはすごいです。感心しました。いたるところをブロックして金を取る商売ができるな。
セキュリティツール恐るべし
トレンドマイクロから提示された内容の詳細が書かれていないので推測ですが、実行ファイルに署名すれば発行者をホワイトリストに登録してやるってことじゃないですかね。
今回のこれ、サイトがブロックされる話だそうですし、また窓の杜の記事 [impress.co.jp]によると
ダウンロードしたファイル自体は、「ウイルスバスター」で検査してもウイルスが検知されないことを編集部にて確認している。
とのことなので、コードサイニング証明書ではなく、サイトを実在認証付きSSL証明書でもつけろ等と言っている可能性もあると思います。
どちらにせよデジタル署名すりゃ安全とみなしてやるってそんなのウイルス対策ソフトがなくたってできるわけですが、自己否定のようなこんな間の抜けた事を言っていると言うのは流石に無いと思いたいところです。
俺は過剰だと思わないからお前もそう思えと言う人が、俺は過剰だと思わないという価値観を過剰に他者へ強制する問題。
ましてやそれによって問題が何ら緩和されることは無いと言うのに…。この論法でトレンドマイクロが自体を放置しているのだとすれば、痴漢しといて「良いだろ減るもんじゃ無し」と言い放つ輩と同じなので流石にそうは思ってないとは思いますが。
表現の問題はあると思うが、主題は誤検知すること及び、誤検知に対する対応の問題なのに、表現の問題にこだわるコメントが多い。なんか、ここまで多いと、意図的に目をそらそうとしているのではないかと穿ってしまう。
IPAとかJPCERTとか、なんかやってくれないかなぁ~
IPAの岡ちゃんなんかはまずはウイルス対策ソフトの更新から覚える必要があるよね
誤検知を直すのはバグだから当たり前。そんなの当たり前すぎて議論にすらならないって人も多いのでは?
故に、誤検知を0にするのは技術的に困難なので、その先の誤検知した際にも現れるこの画面の表現が妥当であるか?という議論かと。このような例が続くとオオカミと少年」状態になり、無視されるとなったらこの機能の意味がなくなってしまいます。何より同一製品内で結果が一致しないというのはかなりダメな挙動でしょう。
大手電機メーカーで採用されてるコーポレート版も不定期にやらかしてトレンドからのお詫び文書がイントラに載ってます。フリーソフトやフリーウェアを自由に導入できない環境でこのザマ、誤検知のトレンドマイクロってイメージは私の中で確定しつつあります。
作者がまとめている経緯を読んだ?http://www.inasoft.org/talk/h201205c.html [inasoft.org]
この作者も最初は「間違いだから修正して」って言って後は対応待ちにしていたのだけれど、あまりに頻発するから根本的な対策をお願いしてるって話ですよ。これを「ちょっと神経質なレベル」「ここまで神経質で攻撃性のある」と言われるのは、作者が気の毒だわ。
# 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
> # 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
果たしてそれは本当に「外野」かな?トレンドマイクロから何らかの業務を請け負って、業として人格攻撃をしているのかも知れんぞ。作者が精神的に追い詰められて醜態を晒すようになれば「社会的抹殺完了」と言うわけだ。
杞憂・妄想であってくれればいいけどね。「冷静さを欠くほど熱心なトレンドマイクロ信者」なんてのが居るとは思えないので、人格攻撃にまで至る背景って何だろう?と穿った見方をしちゃうよね。
だれも無条件にホワイトリストに入れろなんぞ言って無いと思いますよ。んなアホでタコいアルゴリズムさっさと修正しろ迷惑だろって話だと思いますが。
変更も改編も行う物を自動で判別し、尚且つ「誤検出は許さない」となると、他に手は無いと思いますよ。
2重の意味で間違い。まず、証明書に頼ったようなホワイトリストは、少なくとも一般向けマルウエア対策では使ったら駄目でしょう。今時署名されたマルウエアなんぞいくらでも出回ってるし、正規の証明書で保護されたフィッシングサイトなんぞもいくらでもあるから。また一度まともなソフトを公開した後、ホワイトリストに登録させ、同じ証明書を使ってマルウエアを仕込んだ物を入れたらスルーできてしまう。あるいは、特定のマクロファイルに自分をコピーするウイルス(かつてExcelで流行った)などが紛れ込んだまま署名される、といった事故も防止できない。とにかくファイルが安全かどうかは署名なんぞで判断してはならないはず。(ユーザが自分で作るホワイトリストに「○○さんは信用しているから、○○さんが署名した物は無条件に信頼する」といった形で使われるなら個人認証ができているわけで話は別)もしこの考え方を適用しようとしているのならば、それこそセキュリティ屋の看板を下ろすべき。署名されてようがされてまいが、きちんと識別できてこそセキュリティソフトウエアだろうが。
次に、他に手段が無い事は無い。単純に検出アルゴリズムをさらに強化して、区別できる様にすれば良いだけの話。少なくとも、ウイルスバスターで検査をしてもウイルスとして関知されないことがわかっているなら、そちらの手法を取れば良いだけの話だ。またソフトウエアのファイルは更新されていないのに、解除されてもまたブロックされると言う状況が続いているのだから、単純に考えても一度誤検出としてホワイトリストに登録されたファイルは、同一性を確認して同一ならば改ざんされていない間はブロックしないと言った措置は可能なはず。
Microsoftとか自分の所とか、いくつか証明書を見てる気がするけど違うのかな?ユーザとしては、理想を目指してもらうのは構わないけど、当面は次善の策をとってもらったほうが嬉しいけど。というか、セキュリティ的にも、理想論より現実的な策のほうが良いと思うのだけど。#ユーザがセキュリティ回避したら終わりですよ?
たしかにMicorosoftの証明書で署名されたマルウエアなんてありませんし、Micorosoft所有のEV証明書の配下でフィッシングサイトなんて事もありませんが、これは証明書うんぬんではなくMicorosftが持ってる信頼性の問題でしょう。誤検出されたくなくば、Microsoft並の体制を築けと言う要求が次善の策で現実的だと言うのはなかなか斬新な意見ですね。
誤検出のないアルゴリズムってのはすでにあるのでしょうか?ならいいのですが、Microsoft並の体制を築いているところはほかにもあるでしょうし、そこまでレベル上げなくてもよいだろうし、誤検出のないアルゴリズムよりは現実的と思ったのですが。
お前は一体何を言ってるんだ。あるのでしょうかってさ。根本的に今回問題になってるのはトレンドマイクロだけだろうが。そもそも、同じトレンドマイクロのウイルスバスターでスキャンしても検出されないんだぞ?また似たような機能を持ってる他のウイルス対策ソフトで似たような問題になってないだろ?
>たしかにMicorosoftの証明書で署名されたマルウエアなんてありませんし
このストーリーとは関係ない話ですが、"Micorosoftの証明書で署名されたマルウエア"は存在していたようです。先月のWindows Updateで対策されています。
MS、マルウェア「Flame」で悪用された証明書を失効させる修正パッチを公開 -INTERNET Watch [impress.co.jp]
セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 - 日本のセキュリティチーム - Site Home - TechNet Blogs [technet.com]
>誤検出されたくなくば、Microsoft並の体制を築けと言う要求が次善の策で現実的だと言うのはなかなか斬新な意見ですね。ある程度は仕方ないぞ。実際にレジストリなんかを弄るツールなのだから、バグ一個で実際にシステムを壊すソフトになる。
ウイルスバスターがそれを検出出来ないとなるとそれは問題になるのだから、最低限、同様に安全と思われるだけの信用の提示は必要だろう。それがMicrosoftと同等の体制となるかどうかは知らんが。
なんというか、必死ですね。
>ユーザーの100%がウイルスバスターって訳でも無く。でもウィルスバスターって日本では一番売れているウィルス対策ソフトなんですよね。
フレッツウィルスクリアの中身がウィルスバスターなので、光回線導入したときに一緒に導入する方が多いんですよね。また、導入させる代理店の方も、とにかくウィルスバスターじゃなきゃダメとか、お金払ってるんだから間違いないとか、根拠が薄いまま使わせている事も多く、妙なブランド志向がシェアを維持してる要因なんじゃないかな、と思ってます。
> 「間違いだから修正して」> って言って後は対応待ちにしているだけの話だと思うんですよね。
で、「直しました」って言われた後、またおかしくなって「間違いだから修正して」っていってそのあと「直しました」って言われた後、またおかしくなった。
って話なんですけど。いくら温厚な人でも、おまえなに直してるんだ?ってブチ切れても仕方ないですね。
> これだってここまで神経質で攻撃性のある当人がキレて、実際にマルウェアでも仕込んでしまう事とか想像したら、
ウィルスバスター側がちゃんと対処してれば切れることもなかったんですけどね。
と言っても自分のソフト側も変更してますから、単純にウイルスバスターのデグレートって訳でも無いでしょう。危険行動するソフトとなるがホワイトリスト的に対応して見たら相手を変更されて適応しなくなったってだけっぽい。その場合対象としてはもう別物だからある意味仕方ない。「このソフトは安全だよ」と言われていたもので詳細が異なる物を良しとしたらセキュリティソフトは成り立たないから。
更新前にトレンドマイクロに送ってチェックして貰ってから公開、とかで対応出来ないもんですかね。
アプリケーションの挙動だけ見れば、誤検知されても仕方ないところはある。それがための公的な署名なんでしょうね。今回話題になっているアプリケーションは、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなわけで、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているわけです。仕方ない面もあるだろう。
前にも書きましたが、以前ウィルスチェッカの誤検出に悩まされた時には、オレオレ証明の署名を埋め込むことで黙らせることに成功したことがあります。
黙ったのがトレンドマイクロがどうだったかは記憶にないのですが、この方もそれを試してみるのもいいかな、とは思います。
もっとも、正しいやり方ではないし、高木先生から怒られそうではあるし積極的なオススメはできませんですねえ。
個人使用ならともかく、第三者が見たら、余計に怪しいソフトになっちゃうな。
悪意あるソフトの抜け道になりそうな・・・
だからといって「オンライン詐欺に関係していることが確認されています」という表現はどうかと。誰が何をどうやって確認したんだろう?
このスクリーンショットを見たとき、心底びっくりしたのですが。>>確認されていますヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
トレンドマイクロには、一応法務部があるわけなんですが。法務がOKを出した結果の文面であるなら、法務はそこらの法学生未満だろ?としか思えないし。法務に相談することなく、こんなクリティカルな画面で断定口調を使うことが許されているなら、セキュリティ企業の開発体制としてマズすぎだろ、としか思えないし。
どっちにせよ、この文面一つからしても「トレンドマイクロという会社のマズさ」が見えると感じます。
このスクリーンショットを見たとき、心底びっくりしたのですが。
確認されています
ヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
この問題の一番まずいところは、このメッセージを見る人が、ほぼ素人さんだってことなんですよね。で、往々にして二つの事柄が並んでいるときはインパクトのある方に目が行ってしまうことが多い、と。
しかし、ヒューリスティックで検知した結果から「オンライン詐欺に~確認されています」って文章を消すだけでいいと思うんだけど何でそうしないんだろう?そもそも何でウェブサイトへヒューリスティックを用いているんだろう?ダウンロードされたファイルへならともかく。トレンドマイクロの開発ポリシーに謎が多い現象です。
SQLインジェクションの改竄クエリーみたいなものです。条件式を二つ「or」で繋ぎ、その片方を必ずTrueになる条件式にする事で、もう片方は何が書かれていようが「間違いではない。お前らが誤読しただけだ」と主張できます。荒唐無稽で全く事実と異なる文言であっても、何の問題も無いのです。
こんなの意思疎通するための言葉の使い方ではなく、相手を騙して自己正当化するためだけの言葉の使い方ですから、まともに相手をするだけ損で、「黙ってくたばれ」としか返しようがないのですが…
http://security.srad.jp/story/12/06/13/0040201/ [srad.jp]
前ストーリーでは、言葉としては間違ってないじゃないか!と言う主張がチラホラ。中には、「詐欺に関係していること」も人間が介在せずにシステムがヒューリスティックに判定・確認できる、なんて主張まで飛び出します。裁判官がコンピュータに置き換わる日も近そうです。
http://security.srad.jp/comments.pl?sid=570889&cid=2173529 [srad.jp]
…と言う事なのかな?だとしたら、今回もネット風評対策会社の活躍にご期待下さい。
http://security.srad.jp/comments.pl?sid=573384&cid=2191242 [srad.jp]
あぁ、湧いてる湧いてる。作者の下にもこんな感じの中傷メールが届いてるんでしょうかね?企業から睨まれるって怖いですね。おちおちIDで書いたら何をされるか…
>条件式を二つ「or」で繋ぎ、その片方を必ずTrueになる条件式にする事で
今回のは違うんだから、それは言いがかりだろさすがに。
今回の例は「A or Bが確認されてる」って出してるけど、実際には「Aだと確認したつもりだったけど誤検出だった」って話なんだから。
誤検出の可能性があるところで「確認した」とかの言い回しはどうよ?って点は駄目だと思うが、「二択にしといて片っぽに何でも書いて良いようになってる」みたいなもんは言いがかりだぞ。
元々の警告文は、「このWebサイトは、有害なプログラムを転送するか、オンライン詐欺に関係していることが確認されています。」です。
条件式1「有害なプログラムを転送する」ですが、「有害」は主観なので、アプリケーション利用者にとって無害であっても、セキュリティベンダーのヒューリスティックな基準に引っかかれば、有害と断定する事が出来ます。ユーザが認識している実態と異なるだけで、ベンダにとっては間違いではありません。
条件式2「オンライン詐欺に関係している」ですが、「詐欺的なほにゃらら」ならば主観が入り込めるのに対し、ただ「詐欺」と断定する場合、
有害かどうかにもユーザの思惑が絡んでいるのはOKで、詐欺への疑いがセキュリティベンダーの基準だとNGなん?有害かどうかも詐欺かどうかも似たようなものだと思うけれど。
仮に、「ベンダが決定しても間違いではない」としたとして。だとするなら、ベンダーが「有害であると確認」したのだから、その結果を出力できるはずなんですよね。「○○を書き換える恐れがある」とか「××を送信する恐れがある」とか。それを行なえば、見た人の判断で良いかもしれない。「いじくるつーる」なんてその点際どいソフトではあるんだから、「システム設定を更新するコードが埋め込まれたソフト」との認定ならあながち間違ってない。それを、検出した条件も明示せずに「有害」と書くことがベンダーに認められるのかどうか?さらに併記して「詐欺に関係」とまで書くのは、まぁ間抜けとしか言えない。
ローカル検索でも、何を検出したかは表示されるのにね。
>だからといって「オンライン詐欺に関係していることが確認されています」という表現はどうかと。表現は替えるのは悪くないと思うが、今回はそういう話じゃないよな。
そもそもそれだって前半を削ったから確実に悪意が有る様に見せかけられているだけで、全文出せば「句読点位はちゃんとすべきだろ」となっても不思議じゃ無い話だし。
悪質なアプリ・・・ユーザに確認せずに勝手に行う。このアプリ・・・ユーザが自ら設定の変更を行う。
そういえば何かのソフトをインストールしたときにAVGツールバーもインストールされたけどこれいらないから削除したら削除は出来たけど設定はそのままで逃亡したアプリだった。FireFoxの設定を変更されたから戻すのに少し苦労した。(検索結果が強制的にAVGセキュアサーチになってしまった)AVGセキュリティーソフトだけど悪質なセキュリティーソフトに俺の中で認定された。
そこまでわかってるのに原因不明だの予期しないだのとはぐらかすとはずいぶん舐めきった対応ですな。「お前のソフトが変な動作をしてるのが悪いのに言いがかりをつけるなよクレーマーが。金払って署名をつければ検知対象から外すというところまで譲歩してやっただけでもありがたく思え」とか言ってやればいいじゃん。
トレンドマイクロ自身は「わからない」と言ってるのにトレンドマイクロの広報でも担当者でもない奴が自信満々に「こんなソフトは誤検知されて当然」とドヤ顔してるのを見ると「だったら黙ってろクソが」と言いたくなる気持ちがよく分かる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
継続的な出費 (スコア:2)
何度もブロックを繰り返すとか、何が起きてるんでしょうか。
よくわかりませんが、ブロックされたくないなら金払えってのはすごいです。
感心しました。
いたるところをブロックして金を取る商売ができるな。
セキュリティツール恐るべし
Re:継続的な出費 (スコア:4, 参考になる)
トレンドマイクロから提示された内容の詳細が書かれていないので推測ですが、実行ファイルに署名すれば発行者をホワイトリストに登録してやるってことじゃないですかね。
Re:継続的な出費 (スコア:2, 参考になる)
今回のこれ、サイトがブロックされる話だそうですし、また窓の杜の記事 [impress.co.jp]によると
ダウンロードしたファイル自体は、「ウイルスバスター」で検査してもウイルスが検知されないことを編集部にて確認している。
とのことなので、コードサイニング証明書ではなく、サイトを実在認証付きSSL証明書でもつけろ等と言っている可能性もあると思います。
どちらにせよデジタル署名すりゃ安全とみなしてやるってそんなのウイルス対策ソフトがなくたってできるわけですが、自己否定のようなこんな間の抜けた事を言っていると言うのは流石に無いと思いたいところです。
Re:継続的な出費 (スコア:2, 興味深い)
Re: (スコア:0)
俺は過剰だと思わないからお前もそう思えと言う人が、俺は過剰だと思わないという価値観を過剰に他者へ強制する問題。
ましてやそれによって問題が何ら緩和されることは無いと言うのに…。
この論法でトレンドマイクロが自体を放置しているのだとすれば、痴漢しといて「良いだろ減るもんじゃ無し」と言い放つ輩と同じなので流石にそうは思ってないとは思いますが。
Re: (スコア:0)
表現の問題はあると思うが、主題は誤検知すること及び、誤検知に対する対応の問題なのに、表現の問題にこだわるコメントが多い。
なんか、ここまで多いと、意図的に目をそらそうとしているのではないかと穿ってしまう。
IPAとかJPCERTとか、なんかやってくれないかなぁ~
Re: (スコア:0)
IPAの岡ちゃんなんかは
まずはウイルス対策ソフトの更新から覚える必要があるよね
Re:継続的な出費 (スコア:1)
誤検知を直すのはバグだから当たり前。
そんなの当たり前すぎて議論にすらならないって人も多いのでは?
故に、誤検知を0にするのは技術的に困難なので、その先の誤検知した際にも現れるこの画面の表現が妥当であるか?という議論かと。
このような例が続くとオオカミと少年」状態になり、無視されるとなったらこの機能の意味がなくなってしまいます。
何より同一製品内で結果が一致しないというのはかなりダメな挙動でしょう。
大手電機メーカーで採用されてるコーポレート版も不定期にやらかしてトレンドからのお詫び文書がイントラに載ってます。
フリーソフトやフリーウェアを自由に導入できない環境でこのザマ、誤検知のトレンドマイクロってイメージは私の中で確定しつつあります。
Re:継続的な出費 (スコア:2, 参考になる)
作者がまとめている経緯を読んだ?
http://www.inasoft.org/talk/h201205c.html [inasoft.org]
この作者も最初は「間違いだから修正して」って言って後は対応待ちにしていたのだけれど、
あまりに頻発するから根本的な対策をお願いしてるって話ですよ。
これを「ちょっと神経質なレベル」「ここまで神経質で攻撃性のある」と言われるのは、作者が気の毒だわ。
# 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
Re:継続的な出費 (スコア:1)
> # 外野からこんな風に人格を非難されたらそりゃ作者のモチベーションも落ちるよなあ
果たしてそれは本当に「外野」かな?
トレンドマイクロから何らかの業務を請け負って、業として人格攻撃をしているのかも知れんぞ。
作者が精神的に追い詰められて醜態を晒すようになれば「社会的抹殺完了」と言うわけだ。
杞憂・妄想であってくれればいいけどね。
「冷静さを欠くほど熱心なトレンドマイクロ信者」なんてのが居るとは思えないので、
人格攻撃にまで至る背景って何だろう?と穿った見方をしちゃうよね。
Re:継続的な出費 (スコア:1)
だれも無条件にホワイトリストに入れろなんぞ言って無いと思いますよ。
んなアホでタコいアルゴリズムさっさと修正しろ迷惑だろって話だと思いますが。
変更も改編も行う物を自動で判別し、尚且つ「誤検出は許さない」となると、他に手は無いと思いますよ。
2重の意味で間違い。
まず、証明書に頼ったようなホワイトリストは、少なくとも一般向けマルウエア対策では使ったら駄目でしょう。
今時署名されたマルウエアなんぞいくらでも出回ってるし、正規の証明書で保護されたフィッシングサイトなんぞもいくらでもあるから。
また一度まともなソフトを公開した後、ホワイトリストに登録させ、同じ証明書を使ってマルウエアを仕込んだ物を入れたらスルーできてしまう。
あるいは、特定のマクロファイルに自分をコピーするウイルス(かつてExcelで流行った)などが紛れ込んだまま署名される、といった事故も防止できない。とにかくファイルが安全かどうかは署名なんぞで判断してはならないはず。
(ユーザが自分で作るホワイトリストに「○○さんは信用しているから、○○さんが署名した物は無条件に信頼する」といった形で使われるなら個人認証ができているわけで話は別)
もしこの考え方を適用しようとしているのならば、それこそセキュリティ屋の看板を下ろすべき。署名されてようがされてまいが、きちんと識別できてこそセキュリティソフトウエアだろうが。
次に、他に手段が無い事は無い。
単純に検出アルゴリズムをさらに強化して、区別できる様にすれば良いだけの話。少なくとも、ウイルスバスターで検査をしてもウイルスとして関知されないことがわかっているなら、そちらの手法を取れば良いだけの話だ。
またソフトウエアのファイルは更新されていないのに、解除されてもまたブロックされると言う状況が続いているのだから、単純に考えても一度誤検出としてホワイトリストに登録されたファイルは、同一性を確認して同一ならば改ざんされていない間はブロックしないと言った措置は可能なはず。
Re: (スコア:0)
Microsoftとか自分の所とか、いくつか証明書を見てる気がするけど違うのかな?
ユーザとしては、理想を目指してもらうのは構わないけど、当面は次善の策をとってもらったほうが嬉しいけど。
というか、セキュリティ的にも、理想論より現実的な策のほうが良いと思うのだけど。
#ユーザがセキュリティ回避したら終わりですよ?
Re: (スコア:0)
たしかにMicorosoftの証明書で署名されたマルウエアなんてありませんし、Micorosoft所有のEV証明書の配下でフィッシングサイトなんて事もありませんが、これは証明書うんぬんではなくMicorosftが持ってる信頼性の問題でしょう。
誤検出されたくなくば、Microsoft並の体制を築けと言う要求が次善の策で現実的だと言うのはなかなか斬新な意見ですね。
Re: (スコア:0)
誤検出のないアルゴリズムってのはすでにあるのでしょうか?
ならいいのですが、Microsoft並の体制を築いているところはほかにもあるでしょうし、そこまでレベル上げなくてもよいだろうし、誤検出のないアルゴリズムよりは現実的と思ったのですが。
Re: (スコア:0)
お前は一体何を言ってるんだ。
あるのでしょうかってさ。根本的に今回問題になってるのはトレンドマイクロだけだろうが。
そもそも、同じトレンドマイクロのウイルスバスターでスキャンしても検出されないんだぞ?
また似たような機能を持ってる他のウイルス対策ソフトで似たような問題になってないだろ?
Re:継続的な出費 (スコア:1)
>たしかにMicorosoftの証明書で署名されたマルウエアなんてありませんし
このストーリーとは関係ない話ですが、"Micorosoftの証明書で署名されたマルウエア"は存在していたようです。先月のWindows Updateで対策されています。
MS、マルウェア「Flame」で悪用された証明書を失効させる修正パッチを公開 -INTERNET Watch [impress.co.jp]
セキュリティ アドバイザリ 2718704: Flame の攻撃と WU の強化 - 日本のセキュリティチーム - Site Home - TechNet Blogs [technet.com]
Re: (スコア:0)
>誤検出されたくなくば、Microsoft並の体制を築けと言う要求が次善の策で現実的だと言うのはなかなか斬新な意見ですね。
ある程度は仕方ないぞ。
実際にレジストリなんかを弄るツールなのだから、バグ一個で実際にシステムを壊すソフトになる。
ウイルスバスターがそれを検出出来ないとなるとそれは問題になるのだから、最低限、同様に安全と思われるだけの信用の提示は必要だろう。
それがMicrosoftと同等の体制となるかどうかは知らんが。
Re: (スコア:0)
なんというか、必死ですね。
Re: (スコア:0)
Re: (スコア:0)
>ユーザーの100%がウイルスバスターって訳でも無く。
でもウィルスバスターって日本では一番売れているウィルス対策ソフトなんですよね。
Re:継続的な出費 (スコア:1)
フレッツウィルスクリアの中身がウィルスバスターなので、光回線導入したときに一緒に導入する方が多いんですよね。
また、導入させる代理店の方も、とにかくウィルスバスターじゃなきゃダメとか、
お金払ってるんだから間違いないとか、根拠が薄いまま使わせている事も多く、
妙なブランド志向がシェアを維持してる要因なんじゃないかな、と思ってます。
Re: (スコア:0)
> 「間違いだから修正して」
> って言って後は対応待ちにしているだけの話だと思うんですよね。
で、「直しました」って言われた後、
またおかしくなって「間違いだから修正して」っていって
そのあと「直しました」って言われた後、
またおかしくなった。
って話なんですけど。
いくら温厚な人でも、おまえなに直してるんだ?ってブチ切れても仕方ないですね。
> これだってここまで神経質で攻撃性のある当人がキレて、実際にマルウェアでも仕込んでしまう事とか想像したら、
ウィルスバスター側がちゃんと対処してれば切れることもなかったんですけどね。
Re: (スコア:0)
と言っても自分のソフト側も変更してますから、単純にウイルスバスターのデグレートって訳でも無いでしょう。
危険行動するソフトとなるがホワイトリスト的に対応して見たら相手を変更されて適応しなくなったってだけっぽい。
その場合対象としてはもう別物だからある意味仕方ない。
「このソフトは安全だよ」と言われていたもので詳細が異なる物を良しとしたらセキュリティソフトは成り立たないから。
更新前にトレンドマイクロに送ってチェックして貰ってから公開、とかで対応出来ないもんですかね。
Re:継続的な出費 (スコア:1)
アプリケーションの挙動だけ見れば、誤検知されても仕方ないところはある。それがための公的な署名なんでしょうね。
今回話題になっているアプリケーションは、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなわけで、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているわけです。仕方ない面もあるだろう。
Re:継続的な出費 (スコア:5, 興味深い)
前にも書きましたが、以前ウィルスチェッカの誤検出に悩まされた時には、
オレオレ証明の署名を埋め込むことで黙らせることに成功したことがあります。
黙ったのがトレンドマイクロがどうだったかは記憶にないのですが、この方もそれを
試してみるのもいいかな、とは思います。
もっとも、正しいやり方ではないし、高木先生から怒られそうではあるし
積極的なオススメはできませんですねえ。
Re:継続的な出費 (スコア:2)
個人使用ならともかく、第三者が見たら、余計に怪しいソフトになっちゃうな。
Re: (スコア:0)
悪意あるソフトの抜け道になりそうな・・・
Re:継続的な出費 (スコア:4, 興味深い)
アプリケーションの挙動だけ見れば、誤検知されても仕方ないところはある。それがための公的な署名なんでしょうね。
今回話題になっているアプリケーションは、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなわけで、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているわけです。仕方ない面もあるだろう。
だからといって「オンライン詐欺に関係していることが確認されています」という表現はどうかと。
誰が何をどうやって確認したんだろう?
Re:継続的な出費 (スコア:4, 興味深い)
このスクリーンショットを見たとき、心底びっくりしたのですが。
>>確認されています
ヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
トレンドマイクロには、一応法務部があるわけなんですが。
法務がOKを出した結果の文面であるなら、法務はそこらの法学生未満だろ?としか思えないし。
法務に相談することなく、こんなクリティカルな画面で断定口調を使うことが許されているなら、セキュリティ企業の開発体制としてマズすぎだろ、としか思えないし。
どっちにせよ、この文面一つからしても「トレンドマイクロという会社のマズさ」が見えると感じます。
Re:継続的な出費 (スコア:5, 興味深い)
このスクリーンショットを見たとき、心底びっくりしたのですが。
確認されています
ヒューリスティックに検知した結果に「確認した」と言い切ってるのって、相当にマズいですよね。
この問題の一番まずいところは、このメッセージを見る人が、ほぼ素人さんだってことなんですよね。
で、往々にして二つの事柄が並んでいるときはインパクトのある方に目が行ってしまうことが多い、と。
しかし、ヒューリスティックで検知した結果から「オンライン詐欺に~確認されています」って文章を消すだけでいいと思うんだけど何でそうしないんだろう?
そもそも何でウェブサイトへヒューリスティックを用いているんだろう?ダウンロードされたファイルへならともかく。
トレンドマイクロの開発ポリシーに謎が多い現象です。
一ヶ月前のあれ、再び (スコア:1)
SQLインジェクションの改竄クエリーみたいなものです。
条件式を二つ「or」で繋ぎ、その片方を必ずTrueになる条件式にする事で、
もう片方は何が書かれていようが「間違いではない。お前らが誤読しただけだ」と主張できます。
荒唐無稽で全く事実と異なる文言であっても、何の問題も無いのです。
こんなの意思疎通するための言葉の使い方ではなく、
相手を騙して自己正当化するためだけの言葉の使い方ですから、
まともに相手をするだけ損で、「黙ってくたばれ」としか返しようがないのですが…
http://security.srad.jp/story/12/06/13/0040201/ [srad.jp]
前ストーリーでは、言葉としては間違ってないじゃないか!と言う主張がチラホラ。
中には、「詐欺に関係していること」も人間が介在せずにシステムがヒューリスティックに判定・確認できる、
なんて主張まで飛び出します。裁判官がコンピュータに置き換わる日も近そうです。
http://security.srad.jp/comments.pl?sid=570889&cid=2173529 [srad.jp]
…と言う事なのかな?
だとしたら、今回もネット風評対策会社の活躍にご期待下さい。
http://security.srad.jp/comments.pl?sid=573384&cid=2191242 [srad.jp]
あぁ、湧いてる湧いてる。
作者の下にもこんな感じの中傷メールが届いてるんでしょうかね?
企業から睨まれるって怖いですね。おちおちIDで書いたら何をされるか…
Re: (スコア:0)
>条件式を二つ「or」で繋ぎ、その片方を必ずTrueになる条件式にする事で
今回のは違うんだから、それは言いがかりだろさすがに。
今回の例は「A or Bが確認されてる」って出してるけど、実際には「Aだと確認したつもりだったけど誤検出だった」って話なんだから。
誤検出の可能性があるところで「確認した」とかの言い回しはどうよ?って点は駄目だと思うが、「二択にしといて片っぽに何でも書いて良いようになってる」みたいなもんは言いがかりだぞ。
状況証拠的に条件式1の方は常にtrueと思われる。 (スコア:0)
元々の警告文は、
「このWebサイトは、有害なプログラムを転送するか、オンライン詐欺に関係していることが確認されています。」
です。
条件式1「有害なプログラムを転送する」ですが、
「有害」は主観なので、アプリケーション利用者にとって無害であっても、
セキュリティベンダーのヒューリスティックな基準に引っかかれば、有害と断定する事が出来ます。
ユーザが認識している実態と異なるだけで、ベンダにとっては間違いではありません。
条件式2「オンライン詐欺に関係している」ですが、
「詐欺的なほにゃらら」ならば主観が入り込めるのに対し、ただ「詐欺」と断定する場合、
Re: (スコア:0)
有害かどうかにもユーザの思惑が絡んでいるのはOKで、
詐欺への疑いがセキュリティベンダーの基準だとNGなん?
有害かどうかも詐欺かどうかも似たようなものだと思うけれど。
Re: (スコア:0)
仮に、「ベンダが決定しても間違いではない」としたとして。
だとするなら、ベンダーが「有害であると確認」したのだから、その結果を出力できるはずなんですよね。
「○○を書き換える恐れがある」とか「××を送信する恐れがある」とか。
それを行なえば、見た人の判断で良いかもしれない。
「いじくるつーる」なんてその点際どいソフトではあるんだから、「システム設定を更新するコードが埋め込まれたソフト」との認定ならあながち間違ってない。
それを、検出した条件も明示せずに「有害」と書くことがベンダーに認められるのかどうか?
さらに併記して「詐欺に関係」とまで書くのは、まぁ間抜けとしか言えない。
ローカル検索でも、何を検出したかは表示されるのにね。
Re: (スコア:0)
>だからといって「オンライン詐欺に関係していることが確認されています」という表現はどうかと。
表現は替えるのは悪くないと思うが、今回はそういう話じゃないよな。
そもそもそれだって前半を削ったから確実に悪意が有る様に見せかけられているだけで、
全文出せば「句読点位はちゃんとすべきだろ」となっても不思議じゃ無い話だし。
Re: (スコア:0)
悪質なアプリ・・・ユーザに確認せずに勝手に行う。
このアプリ・・・ユーザが自ら設定の変更を行う。
そういえば何かのソフトをインストールしたときに
AVGツールバーもインストールされたけど
これいらないから削除したら削除は出来たけど設定はそのままで逃亡したアプリだった。
FireFoxの設定を変更されたから戻すのに少し苦労した。
(検索結果が強制的にAVGセキュアサーチになってしまった)
AVGセキュリティーソフトだけど悪質なセキュリティーソフトに俺の中で認定された。
Re: (スコア:0)
そこまでわかってるのに原因不明だの予期しないだのとはぐらかすとはずいぶん舐めきった対応ですな。
「お前のソフトが変な動作をしてるのが悪いのに言いがかりをつけるなよクレーマーが。金払って署名をつければ検知対象から外すというところまで譲歩してやっただけでもありがたく思え」とか言ってやればいいじゃん。
Re: (スコア:0)
トレンドマイクロ自身は「わからない」と言ってるのにトレンドマイクロの広報でも担当者でもない奴が自信満々に「こんなソフトは誤検知されて当然」とドヤ顔してるのを見ると「だったら黙ってろクソが」と言いたくなる気持ちがよく分かる。