パスワードを忘れた? アカウント作成
803874 story
Chrome

Microsoftのセキュリティ製品、Google Chromeをマルウェアと誤認識 45

ストーリー by headless
誤認 部門より
9月30日、Microsoftのセキュリティ製品「Microsoft Security Essentials」および「Forefront Client Security」がGoogle Chromeをマルウェア「PWS:W32/Zbot」として誤検出し、指示に従って操作した場合はGoogle Chromeが削除される状態になっていたとのこと(Microsoft Malware Protection Centerのマルウェア情報本家/.)。

PWS:W32/Zbotはトロイの木馬に分類されるマルウェアで、特定のWebサイトへのアクセスを監視してパスワードを盗みとろうとするものだという。Microsoftは同日中に修正済みのウイルス定義ファイルを公開しており、バージョン1.113.672.0以降では同様の問題は発生しない。影響を受けたユーザーはウイルス定義ファイルを更新した後で、Google Chromeを再インストールする必要がある。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
    • 自分の存在の否定なんてこれは考えようによってはかなり哲学かも

      親コメント
      • 色即是空ですね、わかりません (>)

        親コメント
      • by Anonymous Coward

        raison d'etre [weblio.jp]ね

        これが一発目

        カテゴリ: パスワード盗聴

        説明: このプログラムは危険であり、ユーザーのパスワードをキャプチャします。

        推奨される操作: このソフトウェアをすぐに削除します。

        プライバシーを侵害する、またはコンピューターに損害を与えるおそれのあるプログラムが Security Essentials によって検出されました。これらのプログラムが使用するファイルを削除せずに引き続きアクセスすることができます (推奨されません)。これらのファイルにアクセスするには、[許可] 操作を選択して [操作の適用] をクリックします。このオプションを使用できない場合は、管理者としてログオンするか、セキュリテ

        • by Anonymous Coward

          利用規約等でユーザーの同意も取らずに勝手にやってれば仕方ないよね
          むしろ検出されて当然の振る舞い

          だって、Chromeに保存したつもりの無いIDとパスワードのデータが漏れる=意図しない機密情報流出ですから

          Chromeのバグやサイト側のXSS攻撃等で意図せずIDとパスワードが漏れたらどう落とし前つけるんでしょうね

    • by Anonymous Coward
      MSEもたまにmrt.exe(悪意のあるソフトウェアの削除ツール)を怪しいソフトと認識してmicrosoftに送信するかどうか聞いてきますね。
      • まじめな話ヒューリスティック検索ではどうしても誤検出は防げなさそうですよねえ。
        起動すると裏で別の実行ファイルを起動してそのプログラムがどっかからさらに実行プログラムをダウンロードしようとするとか(Chrome+GoogleUpdate)、ローカルディスクを総ざらえして特定のEXEファイルを削除しようとするとか(malware remove tool)、バイナリのそのへんだけ見たらトロイやシステム破壊プログラムの動作そっくりですから。

        親コメント
    • by Anonymous Coward

      この手の誤検出の話題みると毎度思うんだけど、アンチウィルスベンダのパターン定義の管理って一体どうなってるんだろう?
      ・UPXなどのパッカーやHSPなどのインタプリタの「データ部」ではなく「ランタイム側」をパターン登録しちゃう
      ・それどころか、Microsoft Visual C++のCRTライブラリ部分であっても、オフセット値などが含まれて衝突率が低ければ平気で登録
      ・OSのシステムファイルや自社製品に対しても、誤検出が無いかどうかの試験をしない
      ・ハッキングツールをトロイとして登録して平気な顔をする

      ホワイトリストに入ってるプログラムに対しては誤検出しないことの試験くらいやってもらいたいし、パターンもせめてオフセット値を除いた部分で作ってくれって感じだし・・・こんなの自動化してて当然じゃないのかと。

      それと、ハッキングツールをトロイとして登録するのは危険極まりないので本気で勘弁してもらいたい。
      ホントに感染してるのか判らないままに警告解除するしか手がないって、オレオレ証明書並の悪手を推奨でもする気なのかと。

      • by Anonymous Coward

        > ・ハッキングツールをトロイとして登録して平気な顔をする
        むしろハッキングツールと称される物をウィルス検索有効のままに使っちゃうのがどうかと思うんですが。
        ウィルスってそのハッキングツールで実現する事を自動でやってのける種類のものもあるでしょうし。

        • by Anonymous Coward

          >ウィルスってそのハッキングツールで実現する事を自動でやってのける種類のものもあるでしょうし。
          自動で「やられる」か、自分で「やる」かは天と地ほどに違いますよ。

          そもそもハッキングツールとして使える=Winny並みの扱いって考え方はよくないよ。
          真っ当な作業でハッキングツールが必要とされる事も多々あるんだから。

          ■ローカルプログラム間でのTCP通信をモニタリング・デバッグ目的での一時的な書き換えをしたい
          →パケットキャプチャはローカル通信では使えないので、WPE Proなどのアプリケーションレベルでのフックプログラムが必要だが、WPE Proは判定対象
          ■怪しげなプログラム

    • by Anonymous Coward

      avastたん「あれ、もしかして私ってウイルスなのかな……」
      とか妄想させると、萌えます。
      #ドジっこ

  • そこじゃね~よ (スコア:4, すばらしい洞察)

    by iwakuralain (33086) on 2011年10月02日 20時24分 (#2028242)

    IE6をウィルス扱いしてくれよっ!

  • by Sukoya (33993) on 2011年10月02日 18時00分 (#2028180) 日記

    いままで、グーグルクロームがマルウェアでは無いと誤認していたんですね!?
    わかります

    • 下記の問題から、MSはChromeをマルウェアと判断したのか?と一瞬思った。

      お使いのGoogle Chromeには、1つまたは複数の固有のアプリケーション番号が割り当てられている。

      アドレスバーにURLまたはクエリを入力すると、入力した文字がGoogleに送信され、ユーザーが探しているであろう用語またはURLをGoogle Suggest機能が自動的に推奨するようになっている

      以上は、Chromeのプライバシーポリシーより。
      以下は、それを読んだeWEEK記者の感想。

      Googleも固有の番号でユーザーのブラウザを特定しようとしている。この番号が、Gmailなど同社の関連サービスに用いられるGoogle IDと関連付けられないようにするためには、どうすればいいのだろう?

      http://www.itmedia.co.jp/anchordesk/articles/0809/04/news071.html [itmedia.co.jp]

      親コメント
      • by Anonymous Coward

        それ、IEにもついてるやん。

  • こないだ(検出履歴日付では9/27)MacとのVNCためしてみようとUltraVNC1.0.9.6.1 x64 ダウンロードされたら警告でましたね。
    1.0.9.6だと出ないので焦ってFSecureのオンラインスキャンしてみたら何も検出されませんでした。

    ぐぐったら一応他の人も「検出された」ってブログあったんで許可してそのまま使ってますが特に問題は起きてません(というほど大して使っちゃいないんですけど)

    カテゴリも「カテゴリ: リモート制御ソフトウェア」なので、問題ないと思いますけど検出されるとドキッとしますよね。
    # 反面、「今回はご認識だったけど仕事はしてるんだな。」と感心もしてみたり。
    --
    # yes, fly. no, fry.
  • by Anonymous Coward on 2011年10月02日 18時08分 (#2028184)

    実際にアクセスを監視してパスワードを盗みとろうとしているんだから。
    IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
    昔はFirefoxにも対応してたな(最近はFirefox側のセキュリティが強化されたのかなんなのか知らないけどフィルされない)。

    • by Anonymous Coward

      自分の考えが正しいと思って疑う事を知らない人はっけーん
      #迷惑だなんて思わないですよ、たまにしか。

    • by Anonymous Coward

      普通はMSのセキュリティなんか入れないし
      入れるほどMS好きだったらIE使っててchromeなんか入れないから
      影響はそんなになさそう

      • by Anonymous Coward on 2011年10月03日 9時12分 (#2028388)

        ま、他のプログラム関連のデータを抜き出すソフトがセキュリティソフトに弾かれるってのは特に珍しい事じゃない。
        でも、それに対する根本的な対応ってまともな方法って有るのだろうか?

        例えば今回の場合。
        これってユーザーが自身の意思をもってインストールした時は、ちゃんとしたプログラムの便利機能。
        しかし何かのバンドルを誤ってインストール(この頃Chromeじゃ珍しくない)した時は、マルウェアそのものとも言える。
        そこをプログラムの動作からのみ判断する事って、そう簡単に出来ない様な気がする。
        ユーザーよりの許諾確認を以て、て程度じゃ自身でインストールしているマルウェアのチェックは全然出来ない訳だし。

        ソフト提供者自身が更新時毎にセキュリティ関連の会社全てに通知をするという手もGoogleなんかは可能だろうが、
        弱小や個人では負担が大きい大きい。

        となると、短期的には「出来るだけ同じベンダの製品でそろえる」とか「不要な物は入れない」とか程度しか手は無い。
        中期的にはベンダなりなんなりの保証するマーケットなりが出るだろうが、最終的には何らかの横断的な判断基準が必要だろう。
        けど、もっと境目のはっきりしているウィルスですら、そういう判断は出来ていない上、統一判断基準自体がセキュリティの穴ともなる訳で、単純にも行かないだろう。

        親コメント
      • >普通はMSのセキュリティなんか入れないし

        「MSのセキュリティ」ってなんだろうとおもってぐぐってしまった。

        一番上に来た「Microsoft セーフティとセキュリティ センター」ひらくとMS essentialのリンクがあった。
        なるほど、一般では「MSのセキュリティ」って呼ばれてたのか。

        #なんにもひねってない・・・ orz.

        親コメント
    • by Anonymous Coward

      そんな事言いながら、実は自分で言ってることを全く信じてないだろ?
      人の嫌そうな面が見たけりゃ鏡でも見てろよ。

      • by Anonymous Coward

        >人の嫌そうな面が見たけりゃ鏡でも見てろよ。

        毎朝見て嫌な思いしてるんですね。
        心中お察しします。

    • by Anonymous Coward

      >Eにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
      インポート機能があって、お気に入りなどと一緒にコピーされる。
      パスワードをインポートしたくないときはチェックを外すことが可能。

      • by Anonymous Coward on 2011年10月02日 19時29分 (#2028220)

        うんにゃ、アクセスしてるURLをもとにリアルタイムにチェックしてるんだよ(IEのパスワードはURLをキーに暗号化されているのでそうしないと解読できない)。
        つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?

        親コメント
        • うーん、つまり、クロームがマルウェアみたいにパスワードをぶっこぬいている
          でもって、それに対して簡単にぶっこぬかれる...それって、そういう機構であって、
          前者を認定する以上、後者についても対策とらないとまずいのと違うか?
          そういうプラットフォームを提供しているとかも、問題になるかもね。
          逆に、それが問題でない(プラットフォームとして正しい実装している)の
          であれば、クロームの行動は問題ないってことにならんか?

          親コメント
          • ブラウザがどっかに保存してる内容は、オートフィル用のパスワードであれなんであれ、どれだけ暗号化されていようとも、そのブラウザの利用者が実行した別のプログラムからなら簡単に読み取れますな。

            OSとかハードウェアのレベルで出来なくするような仕組みを持たせることは可能でしょうけど、IEがそうなってるという話は聞いたことが無いですから、IEが覚えてくれてるパスワードも同様でしょう。

            簡単のため、対象をオープンソースのブラウザを例にすれば、ブラウザのソースコードを拾ってきて、パスワードオートフィルの部分の動作を書き換えればOK。素朴なやり方としては、例えば表示に際して「********」と「*」で見えないようにしている部分が有るはずですが、そこを元々のパスワードが表示されるように書き換えるとか。で、コンパイルして元々の実行ファイルと置き換えれば良いだけ。

            IEのようなソースが公開されてないブラウザが保存しているデータを抜き出すのはもうちょっと大変ですが、原理的に難しくなってるわけでも無し。起動時にパスワード入力を要求されるブラウザかパスワードマネージャとかでない限り、コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
            親コメント
            • >ブラウザがどっかに保存してる内容は、オートフィル用のパスワードであれなんであれ、どれだけ暗号化されていようとも、そのブラウザの利用者が実行した別のプログラムからなら簡単に読み取れますな。

              そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。別の会社だと、多少は意味が通るが、完全な自己撞着をやらかしてしまったわけで、これはつまるところ、マルウェアではなくて、マルウェアとし(かつ、その環境を提供し)たモノの瑕疵でしかないわけなんだよな。

              >コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。

              というか、普通、コンピュータにおいて、パスワードであろうがなかろうが、実行を許諾した(実行を指示した)ものについてに言えることだよね。
              気を付けないといけないことが結構パソコンとかには多い。
              そういった不完全ってか出来が悪いモノを使っているという自覚は必要なんだな。
              それは何も、クロームとかIEとかMS製品とかいったモノに限らないってこと。

              親コメント
              • by Anonymous Coward

                >そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。
                無茶言うなよ。
                自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
                ユーザーのアクセスと同様に要求されれば同様に応答するしかないよ。
                これは逆であっても同じはず。

              • >自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。

                うん、ユーザ動作に見える当然を、なぜかクロームをbanした理由としているのが、笑えるわけなんだよね。

                >これは逆であっても同じはず。

                そう、お詫びにIEアンインストールしちゃう設定で流すと釣合いがとれると思いますよ。

                親コメント
        • by Anonymous Coward on 2011年10月02日 23時53分 (#2028331)

          googleは個人情報の扱いに無頓着だと思っているので、クロームは使ってないし、知りませんでした。
          使ってる人はクレーム入れなきゃ

          親コメント
        • >つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?

          みんなマジで知っているですか、私は知らなかったです(いつものこと)

          ブラウザ(や他のアプリ)を使うのにイチイチソースから確認なんてしたことも無いし、そんなことはできないし。
          それもみんなマジでしてますか。
          #アレゲな人達は流石です。

          たまにIE使うけど、IEにパスワードなんて設定してないのでその辺も全く知らなかった。
          WEBサイトで毎での認証PINコードとはまた違うんですよね。
          それらについてはIEで入力したモノが自動的にChromeで使えるようになったことも無いので、イマイチ話がよくわからない。
          #これもいつものことだし。

          親コメント
        • by Anonymous Coward

          マジで?と思って試したけど、明示的にインポートしないとダメだった。
          ちなみに、インポートしてもオプションにある保存したパスワードの管理画面には表示されないけど、実際にパスワード入力画面に行くとオートコンプリートされる。そして実際にパスワードを送信すると管理画面に出てくるようになる。
          「IEのパスワードはURLをキーに暗号化されている」という事なら、暗号化されたままのデータをコピーしておいて、パスワード入力フォームがあると、URLを元に保存されたパスワードがないかチェックしてる(から事前には一覧に出ない)のでしょう。

    • by Anonymous Coward

      むしろ間違ってないでしょ。正しい判断。

    • by Anonymous Coward

      >IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?

      インストール時に確認求められて許可したからでしょ。

  • by Anonymous Coward on 2011年10月02日 18時55分 (#2028209)

    こっちが消えてほしいと思ったときは
    素直に消えておくれ

  • by Anonymous Coward on 2011年10月02日 19時33分 (#2028223)

    ググール、おまえもか。

  • by Anonymous Coward on 2011年10月02日 22時39分 (#2028298)
    Microsoft Security Essentials も Google Chrome も入れてるのに、マルウェアとして認識してくれなかったぞ・・・
    今回はたまたま誤認識だったかもしれないけど、ホントのマルウェアまでスルーしてくれそうで怖い。
    • by Anonymous Coward on 2011年10月03日 0時31分 (#2028345)

      Canaryは誤認識されなかったのでチャンネル(バージョン)によるんじゃないですか

      親コメント
    • by nomnom (26419) on 2011年10月03日 13時35分 (#2028538) 日記

      ストーリーの Microsoft サイトからたどれる Antimalware definition change log [microsoft.com] で検索すると、9月30日に問題の PWS:Win32/Zbot の定義更新があったバージョンは

      Summary
      Definition version

      Antivirus: 1.113.631.0
      Antispyware: 1.113.631.0

      Definition available date (?)
      Sep 30, 2011 05:36 AM UTC

      Engine version
      N/A

      で、差し替えられたバージョン 1.113.672.0 は

      Summary

      Definition version

      Antivirus: 1.113.672.0
      Antispyware: 1.113.672.0

      Definition available date (?)
      Sep 30, 2011 05:00 PM UTC

      とあって、ほぼ半日、誤った定義がダウンロード可能になっていたみたいです。
      日本時間だと 9月30日の14:36~10月1日の2:00でしょうか。

      親コメント
typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...