パスワードを忘れた? アカウント作成

「いじくるつくーる」「すっきり!! デフラグ」連続誤検知事件から10年」記事へのコメント

  • by Anonymous Coward on 2022年05月10日 17時35分 (#4246720)

    外資ソフトメーカーで働いてるけど、顧客環境でセキュリティソフトに誤検知されたIssueはちょくちょくあるよ。
    ウイルス対策ソフトだけでなく、情報漏洩抑止ソフトとかにもやられる。

    ユーザー画面に「ブロックしました」とか出してくれるところは、まだユーザーが気がつくだけマシ。
    サイレントにプロセスを殺されたり、DLLの読み込みだけブロックされたり、特定のファイルへのアクセスに介入して「ファイルサイズ0byte」に見せてくるソリューションとかもあって、「御社の製品が動きません」と言われて、原因調査や検証するのに、無茶苦茶手間がかかる。

    「ホワイトリストに入れろ」と言われるけど、ファイル単位でしか指定できなかったり、ホワイトリストが完全一致で子フォルダを見てくれない製品なんかもある。
    NuGetとかで適宜、バージョンアップもする、マイクロサービスアーキテクチャのソフトとは致命的に相性が悪いけど、先方は全然、改善とかしてくれないのな……。

    ここに返信
    • by Anonymous Coward on 2022年05月10日 20時31分 (#4246845)

      つい先日、Microsoft Edgeを誤検知して削除する [trendmicro.com]ようなのも有りますしねぇ。

    • by Anonymous Coward on 2022年05月10日 18時00分 (#4246741)

      最近はヒューリスティック+クラウドでの使用数集計による類推重視なので、
      いくらまっとうな動きをしていても、セキュリティベンダー側で事前承認されていない限り、
      セキュリティベンダー側で検知可能なそのソフトが使用されているPC数が少ないと、しきい値設定によっては止める動きをする。
      これについてはヒューリスティックから除外するようにユーザー側にホワイトリストに入れてもらうか、
      自分で先にセキュリティベンダーのクラウド検知に対してコード証明書などで事前承認してもらうよう動くしかない。

    • by Anonymous Coward on 2022年05月11日 2時19分 (#4246954)

      初手でセキュリティソフトを聞いてDefender以外を入れてると分かったら、問題解決まで無効化するかアンインストールしてDefenderに戻すまでサポート優先度を激下げする
      それくらいサードパーティ製は問題を起こしている

    • 趣味で Cylance Smart Antivirus 入れてるけど、まさにそういう感じの使いにくい NGAV で(法人向けの CylancePROTECT はマシなんだろうけど)、気づいたら新規販売を終了 [blackberry.com]してた。
      ダッシュボードから Subscription & Billing 見ると

      SUBSCRIPTION LENGTH
      32 Years
      EXPIRES ON
      2053年11月9日

      なんだけど絶対に EoL は近いなw

    • by Anonymous Coward

      先方は全然、改善とかしてくれないのな……。

      本腰入れて訴えなければ改善なんてするわけないじゃない

      # 企業に善意の労力を期待してはいけない

      • by Anonymous Coward on 2022年05月11日 18時27分 (#4247422)

        元コメAC(#4246720 [srad.jp])です。

        顧客や、顧客のシステム保守を担当してる会社、あるいは自製品のリセラーなんかを仲介して、セキュリティソフト側ベンダーとミーティングしたことは、何度かあるんですよ。

        でもセキュリティソフト界隈には、なんか「俺様が客のセキュリティを守ってるんだ、一般のソフトウェア開発者はトラブルに巻き込まれたり不便でも我慢しろ」みたいな対応されることが、結構あった。
        「サブフォルダも含む形でホワイトリスト設定できるようにならないか」とか「ホワイトリストのファイル名にワイルドカード使えるようにならないか」みたいな話をしても、「知らん、使用するソフト側で何とかしろ」の一点張りだったりで、ね。

        その辺の空気感は、このストーリーの元になった、フリーソフト開発者の受難も、なんとなく理解できる感じです。

        特に日本法人のエンジニアというか、技術営業あたりに、そういうのが多い印象。
        SophosやCrowdStrikeはGlobal Teamの人と直接話だけど、そっちは感じ良かったし、前向きに進められた。
        かわりに英語での打ち合わせになるから、顧客が置いてきぼりになりがちだけどね。

        • by Anonymous Coward

          でも、正味な話、サブフォルダやワイルドカードが使えるホワイトリスト指定ってめっちゃ怖いけどね。
          標的型攻撃に移った現代においては、望ましくないファイルやスクリプトの保存に最適な環境を提供しているのと同じなんで単純にヤバい。
          攻撃側は本気でターゲットとしたら2-3か月ぐらい"安全なソフトで"普通に泳がせて調査するから、たまったもんじゃない。

          そもそもフルパスであってもファイル名で指定すること自体が筋が悪いので、ファイルハッシュや証明書で指定するのが最近だとわりと普通な気がする。

          • SteamLibrary 以下はワイルドカードでホワイトリスト入れとかないとゲームは誤検出多すぎてめんどくさい。

            • by Anonymous Coward

              ゲームとかの場合なら、アップデート直後にすぐやりたいとかなければ、まともなクラウド検知型製品なら使用数が数日もしないうちに安全だと思われるレベルまで上がるので、ちょっと待つだけでいいと思う。

              クラウド検知型じゃなかったり、アップデート当初からやりたいのであれば、検出しきい値自体は弱めて、ネットワーク上は他の機器と隔離した環境作るのが一番簡単だと思うけどね。
              最近のちょっとよさげなWi-Fiルーターなら所謂ゲストネットワーク作成機能あるみたいなので、ゲストネットワーク側にゲーム用機は繋ぐってのがベターかと。

              #個人的には家庭でも3つ以上のVLAN/SSIDが設定出来てそれぞれにACLが設定できる環境がベストだとは思いますが、民生機器向けのSoC自体には機能が搭載あってもEnableにしてくれる会社がない。

      • by Anonymous Coward

        商店で細々とやってきた所にイオンがのさばる感じ?

        • by Anonymous Coward

          ぜんぜん違うと思います

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...