ボム入り疑惑シェアウェアがウィルスに指定される 60
ストーリー by Oliver
私刑はいけません 部門より
私刑はいけません 部門より
gedo 曰く、 "InternetWatchの記事によると、アンチウィルスソフトベンダー各社はFirehand TechnologiesのシェアウェアFirehand Emberをウィルスリストに加えた。登録IDを「czy czy」にするとWindowsの全ファイルの文字列を書き変えて、アクセス不能にしてしまうのだ。
Symantecによると、このソフトには登録を禁止するユーザーのリストが含まれており、シリアル流出に対抗したものらしい。これに対して、Firehand Technologiesはデマであると主張している模様。日本でもWinGroove事件というよく似た事件があり、論議を巻き起こしたことが思いだされる。"
確認できないけど (スコア:3, 興味深い)
Firehandの「そのファイルはうちで配られていたものではない」という主張をMcAFEEやSymantecが崩せないでいる(ように見える)のも、話がすっきりとしない一因になっていそう。
ニセブランド事件については経験が浅いのかな?>ワクチンベンダ各社
Re:確認できないけど (スコア:2, 興味深い)
そういうことではないでしょ?いつもの通り「怖いぞ怖いぞ」と脅すためには真相は
曖昧な方がいいし,恐怖の対象は程度の差がどうであれ,多ければ多いほどいい.
Mac版のNAVなんか,警告しなくていい場面でしか警告を見たことがありませんという
か,入れると邪魔なだけですがそれに気付かずに使っている人は沢山います.必要性
が十分あるWindows版NAVはウイルス定義ファイルの更新ができなくなったので削除し
て久しいですし,NAVが使えていた時期に念のために購入した鉄壁VirusScanに至って
は1年しないうちに定義ファイルのサーバが変わってしまい,更新ができなくされて
しまったのでNAVの前に削除してしまいました.ちょっと調べれば新しいサーバなど
わかるとは思ったのですが,ユーザの利便性よりもコスト削減を優先する会社の製品
など使う気が起きないですし,製品自体がまともと思えませんでしたし.
こんな連中にMicrosoftと同じくらいの税率かけられて毎年更新料払う気もしないん
でAntiVir使ってますが,そういう良心的な会社は利益が上がらないのか日本では正
規品買えなかったりするんですよね.それでまた消費者を馬鹿にする会社がはびこる
無限ルーチン突入…….
# Apple税毎年$100に比べれば何でもマシかも試練.
Re:確認できないけど (スコア:1)
だから、かの会社群は、問題点の技術的な切り分けをまじめにやらないといつ反発を食らうか分からないことは承知していると信じているが。
Re:確認できないけど (スコア:1)
>「そのファイルはうちで配られていたものではない」という主張をMcAFEEやSymantecが崩せないでいる
この2つの事柄を見ていて思うのだが、やはり、
1:
なんでもかんでも保存しちゃうWebArchive(もちろん万人がそれに容易にアクセスできるような)は、欲しい。
なんでもというのは、Newsサイトの「記事」だろうが、バイナリファイルだろうが、という意味。
2:
元データを公開した人が、著作権とかを盾にしてそのArchiveからコピーを削除させる権利は、無いほうが良い。
と思ってしまいます。
-----
発想。
もともと、「バイナリの同一(同値)性を確認するには、チェックサムとかMD5とかのデータが有ればいいよね」
と思ったんですが、「じゃあそのデータの同一性は誰が確認できるの?」と、再帰的な問題を先延ばしにしただけ
であることに気づきました(あたりめーだ)。
で、そうなると、バイナリ本体とMD5のたった1行と(^^;を、いちいち区別しつつArchiveするのは、
それを信頼できる精度で行う仕組みを作ることの困難さから考えて、非現実的かなと。
全部まとめて取ってしまうほうが良さそう。
え?Archveの正しさの保証っすか?
うーんうーん…
----
ま、そこまで言わず、「怪しい」ものに触れないように気をつければいい、という穴熊戦法も
採れますが、それでは今度は、根拠が無くてもFUDによって特定のInternet参加者を干上がらせることが可能になるという
危険かつ非生産的な状況になるだけなんで、それを主な対策として据えるのは変。
(今回のそのソフトの作者がやった(とされてる)ことと同じ。)
Re:確認できないけど (スコア:1)
アーカイブに電子署名されているだけではまだまだ不足、っつーことですか?
これ [ring.gr.jp]とかこれ [asahi-net.or.jp]なんかは確かそういうモノだったと思いますが。
Re:確認できないけど (スコア:1)
それって、オリジナルサイトのデータが差し替えられていないことを証明できるんでしょうか?
オリジナルサイトが正しくて、周囲に悪意(たとえば)のある奴のサイトが有るとして、
そういう場合は「オリジナルと」比較すれば問題は解決しますが、
一方オリジナルサイトのほうが悪意(たとえば)が有る場合には、署名込みでの交換だって
出来てしまうのだから、問題は何も解決しない
と理解してたのですが、正しいでしょうか?
誤解だったらすみません(全部撤回します)。ですが、もし誤解ならば、
今回のような「どっちが真の悪者かがわからない」という悩みかたは、
そもそもせずに済むと理解しています。
データ差し替えをやったのがどっちなのかが判るんですから。
#これまた誤解だったら(以下同文)。
Re:確認できないけど (スコア:1)
つまりオリジナルソフトそのものが悪さするものだったら…って事でしょう?
バイナリコードからの自動判別なんてのはまずできないでしょう。
それともソース非公開のソフトは全て信用ならん!という事を主張したいの
でしょうか?その辺は信頼関係の問題でしょう。もしクローズドソースな
ソフトウェア全てを信頼しないというのであれば、自動車すら乗れませんわ。
Re:確認できないけど (スコア:1)
ごめん、完全に読み間違えた。 オリジナルサイト側でのファイル差し替えを検出する手法はあるか? という事ね。
それは第三者の認証に頼れば可能です。手元のmd5を認証機関に送り、 その登録日時と適当な鍵を折り込んだ鍵をもらう、とか何とか。
Re:確認できないけど (スコア:1, 興味深い)
>シェアウェアを利用するときにダウンロードするサイトを注意深く選ぶこと、
>ファイルサイズやタイムスタンプを正規のWebサイトで確認すること、
>不正なシリアルを使わないこと、
>など基本に立ち返ることがいかに重要かを今回の事例は示している
これらって、基本は基本だけど、今回みたいな状況による被害を防ぐための「基本」としては、
あまり役立たないというか、「オフトピ」な基本でしかないように思います。
なんせ、それらを守ったからといって、被害が無くなるとは限らないのですから。
どのシリアル値を「不正」とするか自体を、作者側が変えることだって出来るのだし。
上記の対策は、オリジナル作者側が不正をしていない、という薄氷のような前提が成り立つ時にだけ
意味のある対策であり、成り立たないときには(信じてしまうのは)却って益より害が多いんですから。
つまり、今のところどっちが「加害者(攻撃者)」なのか判らないんですよね。
なにものかが(アンチウイルス屋を使って)Firehandを攻撃してるのか、
Firehandがなにものかを攻撃してるのか(笑)、が。
あるいはその両方なのかが。つまり「交」戦状態なのかが。
そして、どっちの攻撃の「しかた(やってるとすれば)」も、それぞれ大差ない。
Net上のある存在に対して「不正」という烙印を与える、という方法なのだから。
なんか、こういう次元でやりあってるのって、何時までたってもきりが無いようにしか思えないなあ。
----
ところで、アンチウイルスって、ソフトの「やらかす事柄」を調べるわけじゃないんですね。
上記のようにあくまで、烙印(ソフトごとのBinary中の特徴)までしか調べない。
アンチウイルスソフトは、
ある特定のウイルス(有害ソフト)には、(その特定のウイルスに見られる)烙印が見つかる
という命題(だよね)に基づいた処理をしているわけですが、だからといって
(ある特定のウイルスに見られる)烙印が見つかれば、それはそのウイルスである
という逆(だっけ)は成り立つとは限らないわけで(^^;、
アンチウイルスソフトって結構いいかげんな仕事をしてるんだなあと思います。
疑わしきは罰しても「誰も」困らないという(無理がある)前提に立っていることになるので。
----
うーん。OS Userとかの権限をベースにアプリの実行権を決めるという(Unixとかの)モデルは、
Userが同時に開発者である場合にしか、有効じゃない、のではないかな。
むしろ、アプリごとに、「このアプリはhogehogeファイルにアクセスする権利があるある/ないない」
とかいう風に設定するほうが、望ましいのでわ…
何が「悪い」のか? (スコア:2, すばらしい洞察)
頒布元の正規品をダウンロードしなければ違法、なんてことは一概には言えません。「ウィルス」対策機能の実装のためにソフト(正規品と疑惑のブツ両方)をコピーするのは、リバースエンジニアリングと同じくフェアユースのうちに入るでしょう。
Firehandは、各社の「ウィルス」対策に対して「これはうちで配っていたものではない」とだけ主張すればいいはずなのです。ところが同社が、各社からEmberユーザーへの謝罪を要求する [firehand.com]ということは、各社が「悪いこと」をした、と主張しなければならないのです。しかし、実は何が「悪い」のかと考えると、根拠はかなり不鮮明であるように見えます。
# 強いて言えばウィルスの説明(ここではSymantec [symantec.com]をとりあげます)の "a particular release of the commercial product Firehand Ember v5.2.3 by Firehand Technologies Corporation" という説明が紛らわしいですが、別に「特定のリリース」が「Firehand社による」とは書いてないんですよね。
逆に、不正シリアル対策として攻撃コードをプログラムに含める(これは明らかに違法です)ことを防止する、という観点からは、Firehand社は今回のような主張をしてはいけなかったのではないでしょうか。組織犯罪で内部告発があったときに、組織側が「告発者も違法なことをしていなければ知り得なかった事情だ」と言っているようなものです(ちょっと違うか?)。
# そう考えるとやっぱり「深読み」してしまうのも致し方ないかな、と
いずれにしても、ウィルス対策ソフト各社は、今回のような妨害にめげず、(ソフトの出自を問わず)不正なコードに対する防衛力を高める努力を続けていただきたいところです。
Re:何が「悪い」のか? (スコア:1, すばらしい洞察)
これって違法なの?
自分が被害者だからと言って (スコア:2, 参考になる)
それが裁判所や法律によって許可されたものでないなら。
攻撃コードを含めるという事は、対象者に対してトロイの木馬を配布していると同じで、対象者の犯罪行為とは別に攻撃コードを加えた個人・企業の犯罪行為として成立します。
日本だと器物損壊罪や私電磁的記録毀棄罪にあたるんじゃないかな。
というかこんなの当然でしょう?
相手への直接的な加害行為が認められるのは自身の生命が脅かされているやむを得ない緊急事態または不可抗力的な行為くらいでしょ。
Re:自分が被害者だからと言って (スコア:1)
けれど、「動作について何の保証もしません。使用はすべて自己責任で」と書いてあった場合でも、攻撃コードを含めることは罪になるのでしょうか。
何も保証しないと言っているものに対して「攻撃してこない」という思い込みを持つのが悪い、と考えると、罪にならないような気がします。
// Ember というソフトウェアが何の保証もしないかどうかは知りませんが、何の保証もしないと謳っているソフトウェアはたくさんあります。
鵜呑みにしてみる?
罪になりますよ (スコア:2, 参考になる)
Re:罪になりますよ (スコア:1)
// 「後学のために」と言っても、利用者を攻撃するソフトウェアを配布しようとしているわけではありませんよ :)
鵜呑みにしてみる?
Re:罪になりますよ (スコア:1, 参考になる)
あなたは車に乗って道路を走っています。
さて、路地から子供が飛び出してきました。
このとき、
1. 止まろうと思って余裕を持ってブレーキを踏んだにもかかわらず、突然それまでは問題なかったブレーキが壊れてしまって、間に合わなかった場合、あなたは無罪です。
2. ブレーキが間に合わず、轢いてしまった場合、あなたは業務上過失致死に問われます。(ただし、無罪の可能性は残ります。)
3. 最初からブレーキを踏む気が全くなく、あまつさえそこから加速した場合、あなたは殺人に問われます。(そして、弁解の余地はほとんどありません。)
こんなものでよろしいでしょうか。
判例は探せばたくさんあると思います。(が、私はあほらしいので捜しません。)
Re:罪になりますよ (スコア:1)
問題を「故意か過失かで罪になったりならなかったり」と考えれば、クリアになりませんか? 電子計算機損壊等業務妨害罪(刑法234条の2)は過失犯規定が無いので、故意犯のみが対象になります。
Re:罪になりますよ (スコア:1)
全然詳しくないですが、
たしか「過失」という言葉があって、
それは意図的の逆の状況を意味する言葉であって、
過失であるかないかによって罪の計り方は結構違う、
ということじゃありませんでしたっけ?
まあ、それってどうだかなあ?と思う状況は多いですが、
思わない状況もまた多いです。
過失致死と殺人の違い、とかさ。
結果である害だけを計るというなら、両者は同じに扱われる「べき」なんでしょうけど、
そのほうが良い社会になるのかどうかは、俺にはよく判りません。
#むしろ、デジタルミレニアムみたいに、意図(つーか行為の内容)を問わない法律のほうが、痛い…
あ。「意図的」についての一般的な話じゃないのなら、失礼。
Re:罪になりますよ (スコア:1)
鵜呑みにしてみる?
Re:罪になりますよ (スコア:1)
明らかに意図的(故意)とわかるコードはもちろんたくさんありますが、意図的であることを隠してバグのように見せかける方法もありうるので、ベンダが破壊的なコードをバグのように見せて隠していたら、そのベンダを罪に問うのは難しそうですね。
// それを言ったら、犯罪捜査なんてみんな難しいのかもしれませんが。
鵜呑みにしてみる?
Re:何が「悪い」のか? (スコア:1)
との対比で「不正シリアル」が違法なんだと言いたいんじゃないかと思ったりして。
Re:何が「悪い」のか? (スコア:0)
Re:何が「悪い」のか? (スコア:1)
配慮といってぼくが真っ先に思いつくのは、ソフトウェアの名前や開発した会社の名前を伏せることです(伏せたら余計 Firehand にとって悪い事態になる可能性もあるので、これで配慮になっているかは議論の余地がありますが)。
実際に配慮が足りたか足りなかったかは、今後の経過を見てみないとわかりません。
鵜呑みにしてみる?
企業の名前はともかく (スコア:1)
そのシリアル番号だってどのように流出したか判らないでしょ?
そのシリアル番号の正規の入手者がシリアル番号を手帳に書いてあったとしてそれを落としたとか、家族や遊びに来た知人が盗み見て他人などに教えた可能性だってあるし。
それが正規のシリアル番号の入手者の落ち度でも、私は少なくともこのようなコードを含める企業の製品など間違っても利用したくないですし。
アンチウィルスソフトのベンダー各社が確認の方法を誤っただけでしょう。
また、OpenSource などの世界で行われているような改鼠対策とか、該当企業も含め一般企業が配布努力に比べて改鼠対策が無いに等しい状況からも両方に落ち度があったという気がしますが。
Re:企業の名前はともかく (スコア:1)
鵜呑みにしてみる?
確かに (スコア:1)
ただ私のようにそういった行為を行う個人・企業の作成したソフト全般を使用・購入するのを防止したい人にとってはそれは解決策にならないんですよね。
企業名かソフト名が公表されていれば私と同じような事を望む者はそれをキーに情報を探すことができますから。
[オフトピ] 「改竄(かいざん)」を……(was: 企業の名 (スコア:0)
たった今.... (スコア:1)
単に私の無知によるものです。
Re:何が「悪い」のか? (スコア:1)
トロイの定義? (スコア:2, 興味深い)
WinGroove事件も然り、今回のFirehand Emberも然り。
「みずいろ」インストーラ(初期版)もトロイと見なしてよい(完全なバグとはいえ症状が同じ……)と思います。
たとえバグだとしても、ユーザがそれを知るのは(どこかで)ファイルが削除された後。弁解の余地はないでしょう。もしも意図的ならばなおのこと。
トロイの定義? (スコア:1)
「ファイルを削除するためのツールとして作られ配布されている」ものではないソフトウェアで、不正IDでもないのに、C:\ 以下を全部削除しようとする場合があるっていうバグのある製品を出荷しかけたことがあります。(^_^;本当に店頭に並ぶ前に回収出来て良かったです。数千万円 + 販売店への信用がた落ち の代償はありましたけど。あ、ちなみに私のチームじゃないんで念のため。
もちろん故意じゃなかったんですが、これも出荷されていたら、トロイと同義だったのかなぁ。
ちなみにどういう条件でそんなことが起きるかってのはヒ・ミ・ツ。(笑
vyama 「バグ取れワンワン」
Re:トロイの定義? (スコア:1)
# バグはバグ以上のなにものでもなさげ -- バグ研究家
## 似たような結果を引き起こすから同じ名前で呼ぼうというのはいかがなものかと・・・
Re:トロイの定義? (スコア:1)
if=/dev/zero of=/dev/hda という「スクリプト(^^;」の部分が、問題の悪さをするプログラムですね、それ。
そういう風に問題を切り分けておかないと、OSそのものがトロイ、という変な話になっちゃう。
削除を「する(させられる)」ソフトと「させる」ソフトとは、区別されるべき、なのでしょうね。
----
ん?スクリプトは切り分けられるけど、じゃあGUIソフトの「ボタン」は切り分け可能なのか?(^^;;;
そうかそうか。それでCUIよりGUIのほうが危なっかしいわけか…
待てよ。スクリプトでボタン(とその機能)を作ることが出来る世界も有る
(卑近なところでTcl/Tkとか) んだから、「トロイのボタン」ってのもありえるわけか。
なんだろうこの*今日新たに出現した見慣れない*ボタンは?プチッとな…どかーーーん…
Re:トロイの定義? (スコア:1)
# less /etc/passwd | grep test
test:x:1000:1000::/:/bin/sh ← / がホームディレクトリ
# deluser test
(test のホームディレクトリは全消去されました……)
Re:トロイの定義? (スコア:1)
Firehand Emberという画像閲覧ソフトに、誰かしらの意図でファイルを破壊する機能が組み込まれていたのであれば、これはトロイの木馬そのものだと思います。
また、意図しないバグによる誤動作で破壊活動を行うものはトロイの木馬ではないですし、ユーザの意図通り動作するとシステムを破壊することができるものもトロイの木馬ではありません。
Re:トロイの定義? (スコア:1)
ユーザが意図していなくても、ユーザが操作したとおりにソフトは動いただけということはよくあります。
rm -rf *
定義って難しいですね。
Re:トロイの定義? (スコア:1)
> ソフトは動いただけということはよくあります。
そうですね。ちょっと表現がまずかったです。"意図"ではなく"操作"ですね。
「ユーザの操作通り動作するとシステムを破壊することができるものもトロイの木馬ではない」というのが正しいです...たぶん。
オフトピですが、意図と操作を一致させることが難しいプログラムは「ユーザインタフェースが悪いプログラム」ってことになるんでしょうか。
Re:トロイの定義? (スコア:2, おもしろおかしい)
人間は、思ってもいないことをするので、サトリの化け物でも相手にしたくないそうです:-)。
Re:トロイの定義? (スコア:1)
トロイの木馬と呼ばなくなっても、ウィルス対策ソフトウェアの検出対象から外れるとも限らないし、無罪になるとは限らないのはわかっていますが。
鵜呑みにしてみる?
Re:トロイの定義? (スコア:1)
例えば、今は改善されているようですけど個人情報を送る可能性のあるソフトで、初期起動時に個人情報を書く事を義務付けているのみならず、バックドアを仕掛けるソフトがありますが、 今回の各社の対応から行くと、このソフトが駆除対象になり、これらスパイウェア が駆除対象にはならないのは道義上おかしいと思うのですが…。
ワクチンソフト各社の基準と言うのが二重基準すぎると思ったのは、私だけでしょうか ?
Re:トロイの定義? (スコア:1)
二重基準だとは思いませんが。
まず、スパイウェアと呼ばれるものはシステムを乗っ取ったりシステムに対して破壊的な行為を行なうものではありません。
今回のソフトの場合、不正シリアルで使用しても単にそのソフトが動作しなくなるとか、その情報をどこかに送るといったものであればワクチンソフトベンダも無視していたでしょう。
そのソフトとは無関係なファイルまで削除してしまうことでトロイ扱いになったわけです。
もうひとつ、スパイウェアを広義に解釈すればデフォルト設定ではユーザーに何の警告もなしにクッキーを送るブラウザなどもすべて該当します。
ソフトウェア固有のユーザーIDやアクセス履歴を不正な情報の流出とみなすかどうかは判断の分かれるところであり、そういった判断やそれ以外の情報が送出されているかどうかという検証はワクチンソフトベンダの守備範囲ではないということだと思います。
#個人的にはユーザーIDやアクセス履歴が送られるくらいは構わないんですが、
#どんな情報を送っているかもっと詳しく公開して欲しいと思いますけどね。
人柱 (スコア:1)
.....いないよな。俺だってイヤだし。
--------------------
/* SHADOWFIRE */
Re:人柱 (スコア:1)
もっとも、いま作者のサイトから落としてもこっそり対処済版に差し換えられてる可能性が高いから、疑惑が本当かどうかは結局すっきりしないってオチが待っていそう。
他サイトに転載されてたものについては、やっぱり「勝手に改変された」って強弁が有効だし。
やっちまえ (スコア:0)
Re:やっちまえ (スコア:2, 興味深い)
WindowsXPの不正シリアルのように、
期間が過ぎたら変なエラーメッセージだしてインストールできなくしたり、
ゲームだとクリアに必要なアイテムが手に入らないようにしてあげるとか、
計算アプリとかは数十回に一度計算結果に誤差を注入するとか(w
一見動いているように見せて、途中でつまらせる、これ最強。
ただしこれをやると「がんばれゲイツ君」で中傷されてしまうという危険が付きまとう諸刃の剣。
んで、サポートにうごかねーよゴラァと、
文句言ってきたやつらをACCSにチクる。
by rti.
Re:やっちまえ (スコア:1)
ソレって、既に Windows には実装済みだったのでは?
いやぁ、30分以上かけて MS-Word で入力していた文書を一瞬にして失った事のある経験者としては。苦い経験がフィードバックしました。
ちなみに、正規の MS-Word だったんですけどね。
やっちまえやっちまえ (スコア:1, すばらしい洞察)
低脳さがムカつきません?
Re:やっちまえやっちまえ (スコア:1, 参考になる)
やるな (スコア:2, おもしろおかしい)
それと似たような権利を認めようという法案が、こないだ米国では出されたんでしたよね。
あと一歩でギリシャや中国と同じレベルになるところだったのを、喜ぶべきか悲しむべきか…
#ああ、それ以前に、既に有るデジタルミレニアムが、十分にDQNか…
どっちにせよ、WG事件とかのようなやり方は、人として(=人道的に(笑))どうかと思います。
違法コピーのデータ削除は・・・ (スコア:1)
#年代的にはもうシャドウランなんかの時代に入ってるから・・・