Microsoftのセキュリティ製品、Google Chromeをマルウェアと誤認識 45
ストーリー by headless
誤認 部門より
誤認 部門より
9月30日、Microsoftのセキュリティ製品「Microsoft Security Essentials」および「Forefront Client Security」がGoogle Chromeをマルウェア「PWS:W32/Zbot」として誤検出し、指示に従って操作した場合はGoogle Chromeが削除される状態になっていたとのこと(Microsoft Malware Protection Centerのマルウェア情報、
本家/.)。
PWS:W32/Zbotはトロイの木馬に分類されるマルウェアで、特定のWebサイトへのアクセスを監視してパスワードを盗みとろうとするものだという。Microsoftは同日中に修正済みのウイルス定義ファイルを公開しており、バージョン1.113.672.0以降では同様の問題は発生しない。影響を受けたユーザーはウイルス定義ファイルを更新した後で、Google Chromeを再インストールする必要がある。
PWS:W32/Zbotはトロイの木馬に分類されるマルウェアで、特定のWebサイトへのアクセスを監視してパスワードを盗みとろうとするものだという。Microsoftは同日中に修正済みのウイルス定義ファイルを公開しており、バージョン1.113.672.0以降では同様の問題は発生しない。影響を受けたユーザーはウイルス定義ファイルを更新した後で、Google Chromeを再インストールする必要がある。
一方、「avast!」は自分自身をウイルスと判定した (スコア:5, おもしろおかしい)
http://ceron.jp/url/blog.livedoor.jp/dqnplus/archives/1667669.html [ceron.jp]
やだカッコいい!
Re:一方、「avast!」は自分自身をウイルスと判定した (スコア:2)
自分の存在の否定なんてこれは考えようによってはかなり哲学かも
Re:一方、「avast!」は自分自身をウイルスと判定した (スコア:1)
色即是空ですね、わかりません (>)
Re: (スコア:0)
raison d'etre [weblio.jp]ね
これが一発目
カテゴリ: パスワード盗聴
説明: このプログラムは危険であり、ユーザーのパスワードをキャプチャします。
推奨される操作: このソフトウェアをすぐに削除します。
プライバシーを侵害する、またはコンピューターに損害を与えるおそれのあるプログラムが Security Essentials によって検出されました。これらのプログラムが使用するファイルを削除せずに引き続きアクセスすることができます (推奨されません)。これらのファイルにアクセスするには、[許可] 操作を選択して [操作の適用] をクリックします。このオプションを使用できない場合は、管理者としてログオンするか、セキュリテ
Re: (スコア:0)
利用規約等でユーザーの同意も取らずに勝手にやってれば仕方ないよね
むしろ検出されて当然の振る舞い
だって、Chromeに保存したつもりの無いIDとパスワードのデータが漏れる=意図しない機密情報流出ですから
Chromeのバグやサイト側のXSS攻撃等で意図せずIDとパスワードが漏れたらどう落とし前つけるんでしょうね
Re: (スコア:0)
Re:一方、「avast!」は自分自身をウイルスと判定した (スコア:3)
まじめな話ヒューリスティック検索ではどうしても誤検出は防げなさそうですよねえ。
起動すると裏で別の実行ファイルを起動してそのプログラムがどっかからさらに実行プログラムをダウンロードしようとするとか(Chrome+GoogleUpdate)、ローカルディスクを総ざらえして特定のEXEファイルを削除しようとするとか(malware remove tool)、バイナリのそのへんだけ見たらトロイやシステム破壊プログラムの動作そっくりですから。
Re: (スコア:0)
この手の誤検出の話題みると毎度思うんだけど、アンチウィルスベンダのパターン定義の管理って一体どうなってるんだろう?
・UPXなどのパッカーやHSPなどのインタプリタの「データ部」ではなく「ランタイム側」をパターン登録しちゃう
・それどころか、Microsoft Visual C++のCRTライブラリ部分であっても、オフセット値などが含まれて衝突率が低ければ平気で登録
・OSのシステムファイルや自社製品に対しても、誤検出が無いかどうかの試験をしない
・ハッキングツールをトロイとして登録して平気な顔をする
ホワイトリストに入ってるプログラムに対しては誤検出しないことの試験くらいやってもらいたいし、パターンもせめてオフセット値を除いた部分で作ってくれって感じだし・・・こんなの自動化してて当然じゃないのかと。
それと、ハッキングツールをトロイとして登録するのは危険極まりないので本気で勘弁してもらいたい。
ホントに感染してるのか判らないままに警告解除するしか手がないって、オレオレ証明書並の悪手を推奨でもする気なのかと。
Re: (スコア:0)
> ・ハッキングツールをトロイとして登録して平気な顔をする
むしろハッキングツールと称される物をウィルス検索有効のままに使っちゃうのがどうかと思うんですが。
ウィルスってそのハッキングツールで実現する事を自動でやってのける種類のものもあるでしょうし。
Re: (スコア:0)
>ウィルスってそのハッキングツールで実現する事を自動でやってのける種類のものもあるでしょうし。
自動で「やられる」か、自分で「やる」かは天と地ほどに違いますよ。
そもそもハッキングツールとして使える=Winny並みの扱いって考え方はよくないよ。
真っ当な作業でハッキングツールが必要とされる事も多々あるんだから。
■ローカルプログラム間でのTCP通信をモニタリング・デバッグ目的での一時的な書き換えをしたい
→パケットキャプチャはローカル通信では使えないので、WPE Proなどのアプリケーションレベルでのフックプログラムが必要だが、WPE Proは判定対象
■怪しげなプログラム
Re: (スコア:0)
avastたん「あれ、もしかして私ってウイルスなのかな……」
とか妄想させると、萌えます。
#ドジっこ
そこじゃね~よ (スコア:4, すばらしい洞察)
IE6をウィルス扱いしてくれよっ!
Re:そこじゃね~よ (スコア:2)
Re:そこじゃね~よ (スコア:2)
何か色々と醸しそう・・・特に物議を
水を飲むと屁(CH4)をこきます
Re:そこじゃね~よ (スコア:2)
腐った牛乳 [twitter.com]ですから、
そりゃ何かしら醸しているでしょうね…
一人以外は全員敗者
それでもあきらめるより熱くなれ
さすがマイクロソフトの仕事はアテにならない! (スコア:3, おもしろおかしい)
いままで、グーグルクロームがマルウェアでは無いと誤認していたんですね!?
わかります
Re:さすがマイクロソフトの仕事はアテにならない! (スコア:2)
下記の問題から、MSはChromeをマルウェアと判断したのか?と一瞬思った。
以上は、Chromeのプライバシーポリシーより。
以下は、それを読んだeWEEK記者の感想。
http://www.itmedia.co.jp/anchordesk/articles/0809/04/news071.html [itmedia.co.jp]
Re: (スコア:0)
それ、IEにもついてるやん。
UltraVNC 1.0.9.6.1もマルウェアとして認識されました。 (スコア:2)
1.0.9.6だと出ないので焦ってFSecureのオンラインスキャンしてみたら何も検出されませんでした。
ぐぐったら一応他の人も「検出された」ってブログあったんで許可してそのまま使ってますが特に問題は起きてません(というほど大して使っちゃいないんですけど)
カテゴリも「カテゴリ: リモート制御ソフトウェア」なので、問題ないと思いますけど検出されるとドキッとしますよね。
# 反面、「今回はご認識だったけど仕事はしてるんだな。」と感心もしてみたり。
# yes, fly. no, fry.
間違われても仕方なかろう (スコア:0)
実際にアクセスを監視してパスワードを盗みとろうとしているんだから。
IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
昔はFirefoxにも対応してたな(最近はFirefox側のセキュリティが強化されたのかなんなのか知らないけどフィルされない)。
Re: (スコア:0)
自分の考えが正しいと思って疑う事を知らない人はっけーん
#迷惑だなんて思わないですよ、たまにしか。
Re: (スコア:0)
普通はMSのセキュリティなんか入れないし
入れるほどMS好きだったらIE使っててchromeなんか入れないから
影響はそんなになさそう
Re:間違われても仕方なかろう (スコア:2, すばらしい洞察)
ま、他のプログラム関連のデータを抜き出すソフトがセキュリティソフトに弾かれるってのは特に珍しい事じゃない。
でも、それに対する根本的な対応ってまともな方法って有るのだろうか?
例えば今回の場合。
これってユーザーが自身の意思をもってインストールした時は、ちゃんとしたプログラムの便利機能。
しかし何かのバンドルを誤ってインストール(この頃Chromeじゃ珍しくない)した時は、マルウェアそのものとも言える。
そこをプログラムの動作からのみ判断する事って、そう簡単に出来ない様な気がする。
ユーザーよりの許諾確認を以て、て程度じゃ自身でインストールしているマルウェアのチェックは全然出来ない訳だし。
ソフト提供者自身が更新時毎にセキュリティ関連の会社全てに通知をするという手もGoogleなんかは可能だろうが、
弱小や個人では負担が大きい大きい。
となると、短期的には「出来るだけ同じベンダの製品でそろえる」とか「不要な物は入れない」とか程度しか手は無い。
中期的にはベンダなりなんなりの保証するマーケットなりが出るだろうが、最終的には何らかの横断的な判断基準が必要だろう。
けど、もっと境目のはっきりしているウィルスですら、そういう判断は出来ていない上、統一判断基準自体がセキュリティの穴ともなる訳で、単純にも行かないだろう。
Re:間違われても仕方なかろう (スコア:1)
>普通はMSのセキュリティなんか入れないし
「MSのセキュリティ」ってなんだろうとおもってぐぐってしまった。
一番上に来た「Microsoft セーフティとセキュリティ センター」ひらくとMS essentialのリンクがあった。
なるほど、一般では「MSのセキュリティ」って呼ばれてたのか。
#なんにもひねってない・・・ orz.
Re: (スコア:0)
そんな事言いながら、実は自分で言ってることを全く信じてないだろ?
人の嫌そうな面が見たけりゃ鏡でも見てろよ。
Re: (スコア:0)
>人の嫌そうな面が見たけりゃ鏡でも見てろよ。
毎朝見て嫌な思いしてるんですね。
心中お察しします。
Re: (スコア:0)
>Eにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
インポート機能があって、お気に入りなどと一緒にコピーされる。
パスワードをインポートしたくないときはチェックを外すことが可能。
Re:間違われても仕方なかろう (スコア:1)
うんにゃ、アクセスしてるURLをもとにリアルタイムにチェックしてるんだよ(IEのパスワードはURLをキーに暗号化されているのでそうしないと解読できない)。
つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
Re:間違われても仕方なかろう (スコア:1)
うーん、つまり、クロームがマルウェアみたいにパスワードをぶっこぬいている
でもって、それに対して簡単にぶっこぬかれる...それって、そういう機構であって、
前者を認定する以上、後者についても対策とらないとまずいのと違うか?
そういうプラットフォームを提供しているとかも、問題になるかもね。
逆に、それが問題でない(プラットフォームとして正しい実装している)の
であれば、クロームの行動は問題ないってことにならんか?
Re:間違われても仕方なかろう (スコア:1)
OSとかハードウェアのレベルで出来なくするような仕組みを持たせることは可能でしょうけど、IEがそうなってるという話は聞いたことが無いですから、IEが覚えてくれてるパスワードも同様でしょう。
簡単のため、対象をオープンソースのブラウザを例にすれば、ブラウザのソースコードを拾ってきて、パスワードオートフィルの部分の動作を書き換えればOK。素朴なやり方としては、例えば表示に際して「********」と「*」で見えないようにしている部分が有るはずですが、そこを元々のパスワードが表示されるように書き換えるとか。で、コンパイルして元々の実行ファイルと置き換えれば良いだけ。
IEのようなソースが公開されてないブラウザが保存しているデータを抜き出すのはもうちょっと大変ですが、原理的に難しくなってるわけでも無し。起動時にパスワード入力を要求されるブラウザかパスワードマネージャとかでない限り、コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
Re:間違われても仕方なかろう (スコア:1)
>ブラウザがどっかに保存してる内容は、オートフィル用のパスワードであれなんであれ、どれだけ暗号化されていようとも、そのブラウザの利用者が実行した別のプログラムからなら簡単に読み取れますな。
そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。別の会社だと、多少は意味が通るが、完全な自己撞着をやらかしてしまったわけで、これはつまるところ、マルウェアではなくて、マルウェアとし(かつ、その環境を提供し)たモノの瑕疵でしかないわけなんだよな。
>コンピュータが覚えたパスワードは、ログインした状態の自分のアカウントを操作できる人にとっては読み放題、というのは、まあ、気をつけておいた方が良い事実でしょうね。
というか、普通、コンピュータにおいて、パスワードであろうがなかろうが、実行を許諾した(実行を指示した)ものについてに言えることだよね。
気を付けないといけないことが結構パソコンとかには多い。
そういった不完全ってか出来が悪いモノを使っているという自覚は必要なんだな。
それは何も、クロームとかIEとかMS製品とかいったモノに限らないってこと。
Re: (スコア:0)
>そう、簡単に読み取れる環境を自社で提供していて、簡単に読み取るとアウトとするというのは、無理があるだろうね。
無茶言うなよ。
自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
ユーザーのアクセスと同様に要求されれば同様に応答するしかないよ。
これは逆であっても同じはず。
Re:間違われても仕方なかろう (スコア:1)
>自身が権限を与えて動かしている以上、この場合のChromeはIEから見ればユーザー動作そのものだろうに。
うん、ユーザ動作に見える当然を、なぜかクロームをbanした理由としているのが、笑えるわけなんだよね。
>これは逆であっても同じはず。
そう、お詫びにIEアンインストールしちゃう設定で流すと釣合いがとれると思いますよ。
Re:間違われても仕方なかろう (スコア:1)
googleは個人情報の扱いに無頓着だと思っているので、クロームは使ってないし、知りませんでした。
使ってる人はクレーム入れなきゃ
Re:間違われても仕方なかろう (スコア:1)
>つーかソース見れば自明だし結構有名な話だと思ってたんだけど反応見る限りみんなマジで知らなかったの?
みんなマジで知っているですか、私は知らなかったです(いつものこと)
ブラウザ(や他のアプリ)を使うのにイチイチソースから確認なんてしたことも無いし、そんなことはできないし。
それもみんなマジでしてますか。
#アレゲな人達は流石です。
たまにIE使うけど、IEにパスワードなんて設定してないのでその辺も全く知らなかった。
WEBサイトで毎での認証PINコードとはまた違うんですよね。
それらについてはIEで入力したモノが自動的にChromeで使えるようになったことも無いので、イマイチ話がよくわからない。
#これもいつものことだし。
Re: (スコア:0)
マジで?と思って試したけど、明示的にインポートしないとダメだった。
ちなみに、インポートしてもオプションにある保存したパスワードの管理画面には表示されないけど、実際にパスワード入力画面に行くとオートコンプリートされる。そして実際にパスワードを送信すると管理画面に出てくるようになる。
「IEのパスワードはURLをキーに暗号化されている」という事なら、暗号化されたままのデータをコピーしておいて、パスワード入力フォームがあると、URLを元に保存されたパスワードがないかチェックしてる(から事前には一覧に出ない)のでしょう。
Re: (スコア:0)
むしろ間違ってないでしょ。正しい判断。
Re: (スコア:0)
>IEにしか入力していないはずのパスワードがなぜかChromeでアクセスしたときにもフィルされたことない?
インストール時に確認求められて許可したからでしょ。
googleupdate.exeがついにウイルス認定かと思った (スコア:0)
こっちが消えてほしいと思ったときは
素直に消えておくれ
Re:googleupdate.exeがついにウイルス認定かと思った (スコア:2, 興味深い)
起動時のアップデートで、OSが極端に遅くなった!
ウィルス感染だ!
会社や友人に蔓延し、解決した案件だよ。
あれ、マジウィルスだよ。
Re: (スコア:0)
GoogleUpdate.exeのUpdateフォルダと同じ階層にあるChromeは
いつの間にか2~300MBになってるから注意な
ビッグ・ブラザー (スコア:0)
ググール、おまえもか。
ちゃんと仕事しろ (スコア:0)
今回はたまたま誤認識だったかもしれないけど、ホントのマルウェアまでスルーしてくれそうで怖い。
Re:ちゃんと仕事しろ (スコア:1)
Canaryは誤認識されなかったのでチャンネル(バージョン)によるんじゃないですか
Re:ちゃんと仕事しろ (スコア:1)
ストーリーの Microsoft サイトからたどれる Antimalware definition change log [microsoft.com] で検索すると、9月30日に問題の PWS:Win32/Zbot の定義更新があったバージョンは
で、差し替えられたバージョン 1.113.672.0 は
とあって、ほぼ半日、誤った定義がダウンロード可能になっていたみたいです。
日本時間だと 9月30日の14:36~10月1日の2:00でしょうか。