INASOFT 管理人のひとこと
フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
2022年7月下旬より再び本業多忙化してきているため、更新頻度は落ちます。 [2022/7/24 19:32]
Tweet
■あれから1日経過しましたが…ウイルスバスターによる誤検知問題、未だに一部解決せず
2012年 7月11日(水) 0:18:27 [はてなダイアリーから転記]
RSS配信中
今回のウイルスバスターによる再々誤検知発生から4日目に突入しました。
昨日は、大手メディアに本件を取り上げていただけました。これにより、トレンドマイクロ社が正しい方向へ導かれることを祈っています。
- 窓の杜NEWS INASOFT矢吹氏、度重なるウイルス誤検知の影響により一部ソフトの更新停止を宣言
- GIGAZINE 「いじくるつくーる」作者がウイルスバスターのブロックに激怒、トレンドマイクロが対応するまで更新停止を決定
本件を掲載しているページの閲覧回数も、通常時平均の68倍という値を叩きだしておりまして、本件が多くの方に知っていただけたことは大変うれしく思います。
さて、問題のトレンドマイクロ社からは、昨日13時頃に第一報が入り「調査中」との連絡を頂きました。その後、18時頃に「ブロックの発生していた3つのURLは解除した」という連絡がありました。
その他の連絡事項については、下記ページをご覧ください。
https://www.inasoft.org/talk/h201205c.html#20
さて、ブロックの発生していた3つのURLが解除されたのはいいのですが、残念ながら、さらに別の3つのURLへのブロックが発生しておりました。
しかも、そのうち2つは、窓の杜とVectorです。
ちょっと前に、投稿で「ダウンロードのURLは、(信頼性の高い)窓の杜だけに一本化してはどうか」という投稿があったのですが、そういうわけなので、窓の杜だからOK、というわけではないようです。
(それ以前に、窓の杜はその規則により、一次ダウンロードサイトとなることはできません)
指摘したところは解除して、他のところはブロックして…なんてやっていたら、イタチごっこです。もう勘弁して欲しいです。
トレンドマイクロ社にはもう一度、徹底した再発防止をお願いしたいです。
【7/11朝 追記】その後ユーザー報告があり、昨夜には無事だったzipファイルにも誤検知が拡大しているとの連絡がありました。これで「3つは解除されたものの、4つの誤検知が新たに発生」というわけで、むしろ状況は悪化。
3歩進んで4歩下がってます。困ってしまいます…。
Posted by 匿名 at 2012/07/11 01:50:50
必要ないかもしれませんが、一応ご報告
2012/7/11 01:45頃に確認した所
●x86専用 通常圧縮版(ZIP形式) のメイン (jcom.home.ne.jp)
で誤検知が発生しています。
前日17時頃に確認した時点では誤検知はされていませんでした。
新たに誤検知として追加されたようです。
Posted by ayacy at 2012/07/11 06:46:51
ありがとうございます。確認しました。
トレンドマイクロに苦情を申し立てます。
Posted by noch at 2012/07/11 16:17:47
http://www.applitech.co.jp/norton.html ここも戦ってます。
すでに見切りをつけたノートンとバスターなので被害はなかったのですが作者様の苦労を思うと余計なことさせやがってーと代わりに叫びたいですね 周りの人には使うのをやめるように奨めて20人がやめました 少ないですがこれしか最終的には動かせないのではと思ったからです 陰ながら応援しております。
Posted by H.R. at 2012/07/11 21:25:58
こんばんは。いじくるつくーるを愛用している者です。
ウイルスバスターは友人が使用しているのを見ていて良くないと思ったので使っていませんが、OSにかかわる領域のレジストリをカスタムするソフトを詐欺ソフトと見なすアルゴリズムにでもなっているんでしょうか。
過去にコンパイラーがウイルス感染して、そのコンパイラーがウイルスソフトを生み出すツールにさせられてしまうという、コンパイラーに感染するウイルスがあり、信頼しているソフトがウイルス感染していたということがありました。
つまりはいじくるつくーるがウイルス感染する可能性はゼロではないということです。
あまりに誤検知が多いと、いじくるつくーるが本当にウイルス感染してしまったときにわからなくなりますよね。
Posted by ayacy at 2012/07/11 21:37:38
ありがとうございます。ちなみに今回、誤検知対象となったのは、いじくるつくーるではなく、すっきり!! デフラグの方になります。
同時期にビルドしている2つのソフトについて、それぞれ、誤検知される・されないが分かれましたので、コンパイラ感染の類いは否定できます。また、トレンドマイクロ自身が、後に詳細を調べ、マルウェアではないとしてブロックを解除したので、実際にウイルス感染していた、という可能性もないでしょう。
もう一点の、アルゴリズムに対する検知というのは、あり得る話ですが、トレンドマイクロ社が検知の仕組みを非公開としているため、真実は闇の中ですね。
そして、怖いのは、この騒動を受けて、本当にウイルス感染したいじくるつくーるをバラまく悪者が現れないか、ですね。
ウイルスバスターがオオカミ少年的になってしまうと、何を信じたらよいか、わからなくなります。
Posted by 匿名希望 at 2012/07/11 21:44:00
トレンドマイクロに限らず、ウイルス判定のチェックはvirustotalが無償で便利です。
一部お馬鹿なエンジンもあるので、あまり0件にはなりにくいのですが…
sdfr4.78.15_setup.exeのURL:7/29でマルウェアサイト判定
https://www.virustotal.com/url/6ce431291b1cb48fed383a65f916c774f17df78add040a6d7219b508deb9537f/analysis/1342010032/
sdfr4.78.15_setup.exeの実行ファイル:3/42でウイルス判定(TrendMicro-HouseCallが該当)
https://www.virustotal.com/file/4009a6624f5dbcdc559bf469cfb15beb18d8fec4e37dd38088ce89ce21cd390c/analysis/1342010039/
ZIPファイルの方は、マルウェアサイト判定:1/29・ウイルス判定:4/42 でした。
(昨日は実行ファイルがF-Secureでも黒判定でしたが、直ってます。対応スピードって大事ですよね。)
Posted by ayacy at 2012/07/12 06:56:39
現在、トレンドマイクロ社を含めた3つのおエンジンのみによる誤検知ってところみたいですね。誤検知をなくしていくって大変なことですね。
昔みたいに、もっと気軽にフリーソフト公開ができる日が、また来るといいんですが…。今は、こんな事まで気を張らないといけない世の中になっちゃいまして。
Posted by 匿名 at 2012/07/12 13:49:01
VirusTotalは私も良く使いますが、たまに判定結果において実機と齟齬が生じることがあります。
はやり正確を期すには実機での確認が必要になると思いますが、世の中に存在する多くのAVを個人レベルで導入・確かめるのは無理です。
ここは各AVソフトユーザーに協力してもらい、地道に反応を確かめるしかないでしょう。
Posted by ayacy at 2012/07/14 23:23:02
フリーソフトを作って公開したいだけなのに、ビクビクしながら、地道に反応を確かめ、数多くのセキュリティベンダーに(時によっては英語で?)説明して対応してもらって……って繰り返さなければならないのは、非常におっくうですね…。
目次の表示:
ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメール、フィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。