INASOFT 管理人のひとこと


フリーソフトダウンロードサイト「INASOFT」の管理人 矢吹拓也 が日々の「ひとこと」を語るページです。
2021年1月1日より、旧ブログ(blog.inasoft.org)からお引越ししました。
・INASOFT Webサイト: https://www.inasoft.org/
・管理人のふたこと(長文記事/寄稿文): https://www.inasoft.org/talk/
2022年7月下旬より再び本業多忙化してきているため、更新頻度は落ちます。 [2022/7/24 19:32]

目次 | ←前へ / 2022-05-01 00:00 / 次へ→ / 最新へ⇒

■あれから10年。解決まで1年半かかった連続誤検知事件の振り返りと、現状のご報告、残された課題

2022年 5月 1日(日) 0:00:00



RSSRSS配信中
https://www.inasoft.org/



昨日も触れました通り、今日は解決に足掛け3年を要した連続誤検知事件発生から10年の節目ですので、振り返りというか、現状についてお話をさせていただくことにします。明日以降は、少し抑えめの更新ペース(というか本来あるべき更新ペース)にしたいと思います。



■2012年5月に発生した連続誤検知事件とは何か?

連続誤検知事件は、2012年5月に、トレンドマイクロ社のウイルスバスターが「いじくるつくーる」「すっきり!! デフラグ」を配布しているサイトを誤検知したことで、発生が確認された事件でした。

発生当時、直ちに作者よりトレンドマイクロ社の窓口へ連絡を行いました。トレンドマイクロ社の担当者から作者に対しては、URLに対する誤検知であったこと、ホワイトリスト登録により直ちに解決することが伝えられ、当初はすぐに解決するものと思われておりました。

しかしながら、詳細な流れは当時の報告ページに載っておりますが、作者は足掛け3年にわたりこの問題に苦しめられ続けることになりました。



■一般の誤検知と何が違ったのか?

近年、SNSを見ていますと、トレンドマイクロ社のウイルスバスターや、その他のセキュリティソフトが誤検知を起こした際、「INASOFT事件みたいなことが起きた」と比喩されることが観測されます。ただ、厳密にいえば、そういった「一般的に発生する誤検知」と、この「連続誤検知事件」との間には違いがあります。それは、「連続」で発生し続けたかどうかです。

連続誤検知事件の時は、トレンドマイクロ社の担当者から解決が伝えられた後、程なくして同じ問題が再発し続けました。3日で再発したこともありましたし、1か月の間をおいて再発したこともありました。

前記の通りURLに対する誤検知ですので、「いじくるつくーる」「すっきり!! デフラグ」がバージョンアップするなどしてURLに変更が加わった時に発生するかと思われがちですが、それとは関係なく再発はしておりました。

そのため、一般の誤検知との違いとしては、「トレンドマイクロ社の担当者が誤検知だったと認めて、事態の解決を行い、(担当者の中では)解決したと思ったのちに再発し続けたこと」となります。



■結局、何がマズかったか?

直接的な原因は、トレンドマイクロ社のプログラムのバグでした。

一般的な誤検知の場合だと、マルウェアと見なすかどうかの閾値が高いか低いかとか、「いじくるつくーる」「すっきり!! デフラグ」が怪しげな行動をするレベルが高いか低いかとかを考えがちですが、そもそもこのトレンドマイクロ社のプログラムのバグが起きた時、URLで示されるファイルは1バイトもスキャンされることなく、誤検知に倒れていました
(なので、よく言われる「電子署名を入れれば解決したか?」という問いへの答えはNoとなります)

これはトレンドマイクロが定期的に実施しているクローラーのバグだったわけですが、この原因が突き止められるまで1年以上の歳月を要し、さらにバグの修正が行われるまで追加で半年の歳月を要したことが、この混乱の直接的な原因だったと言えるかと思います。

また、混乱に拍車をかけた間接的な原因の一つとして、作者へは誤検知である旨の報告と謝罪が行われたが、作者以外へは一切の周知を行っていただけなかったことがありました。

もちろん、作者からはユーザーへ連絡はしていましたし、報告ページを公開していました。

でも、一介のフリーソフト作者が発表していても、大手セキュリティ企業が相手だと、(何も発信していなくても)大手セキュリティ企業側を妄信してしまう人が出てきてしまいます。最終報告のページにも書いた通り、「トレンドマイクロからアナウンスがないのはなぜか」「作者の一方的な意見ばかりが掲載されていて信憑性が薄い」などという意見を頂戴しておりました。よく「争いごとは両者の意見を聞いてから判断するべき」ということが言われますが、今回のように、事実関係で両者が争っていなくても、力関係に圧倒的に有利な一方がダンマリを決め込めば、妄信者は大企業側を無条件で信頼してしまうということがよく分かりました。

トレンドマイクロ社へは何度か、広くアナウンスをしてほしい旨の連絡をしておりましたが「作者のプライバシーが侵害されるから」という、理解不能な理由により拒否をされていました。

問題が解決しない間、作者の下には、上記の様な「お前の言うことは信憑性が薄い」という意見が来ていたり、事態の説明と再発防止策をメールで寄越せと言ってくる人がいたり、「あなたのところのソフトは、今後、念のため使わない」というメールが届いたり、プロバイダから真夜中に「プロバイダのファイルスペースにウイルスを置くな」という電話がかかってきたり、作者の心を削る連絡が多く寄せられる状態が続きました。

こんなことが続いていましたので、作者の心は次第にすり減っていきました。当時のトレンドマイクロ社の対応が悪く、事態に進展が見られず、メール等への反応も「まさしく大企業病」といったもので、心がすり減りました。上記の通り、ユーザー対応でも心がすり減りました。事件発生から半年経ったとき、作者は疲れ切ってしまい、全ての対応の打ち切りを宣言を出すに至りました。トレンドマイクロ社には、もう二度と連絡は寄越すなとメールを送りました。もうガッカリする反応しかないのであれば、もう、何も連絡しないほうが、心の平穏が保てるからです。

その後のソフトウェアの更新については、「セキュリティソフト関連のトラブルについては一切の連絡を寄越さないようドキュメントに記載」であるとか「トレンドマイクロ社の製品と共に使用している場合は警告を出す」など、基本的には、これ以上心をすり減らさないための更新に留めることになりました。

今でこそ「セキュリティソフトメーカーのいうことなど無視すればよい」「誤検知連絡など無視すればよい」が常識として成立していますが、2012年当時は、やはり規模も信頼度も高かったセキュリティソフトメーカーのいうことは無視できないという風潮は強かったですし、誤検知連絡についても「ユーザー複数人が連絡をするより、作者1人が連絡をする方が総合的な労力は低いのだから、作者一人ががんばるべき」という風潮が強かったです。実際そういうメールももらっていました。



■2014年に一応の解決を見た後、残った問題は何だったか?

この件は、窓の杜などのネット系メディアの他、読売新聞に取り上げられる等、大きな反響を呼びました。その過程で、私以外にも連続誤検知の被害にあっている人が複数いたこともわかりました。

また、「トレンドマイクロ社の製品と共に使用している場合は警告を出す」という作者の行動も、比較的バズっておりました。

このようなことが積み重なり、最終報告のページにある通り、事件発生から1年後、この事態が当時のトレンドマイクロ社の執行役員の目に留まり、トレンドマイクロ社の役員レベルが認識したことで動き出しました。それまで、こういった事例は、サポート部門がホワイトリスト登録すれば完了するものだったため、上位層へのエスカレーションはおろか、他部署への連携などが行われることがなかったようですが、役員の手により体制が再構築され、部署を跨いで原因の調査が行われ、根本原因が突き止められ、1年半の時を経てトレンドマイクロ社のプログラムの修正が行われるに至りました。また、トレンドマイクロ社自身により経緯の報告が広くアナウンスされ、私にも副社長(日本における実質的なトップ)名義での謝罪と経緯説明が行われました。

連続誤検知は止まりましたが、誤検知の発生により離れていってしまったユーザーは、戻ってきてくれたのでしょうか。ウイルス検知警告を見て、それ以上の興味を失ってしまった人は、誤検知であることも知らないだろうし、連続誤検知事件の解決も知らないだろうし、というか興味ないだろうし、ずっと機会損失したままになっていたことでしょう。

また、2015年ごろに、トレンドマイクロ社の熱烈なファンと思われる方が、作者が公表している文章やトレンドマイクロ社が公表している文章を無視あるいは自説に都合の良い部分だけを抜き出して、Twitter上で作者の中傷をし続ける行為が発生しました。本人にすれば正義の鉄槌感覚だったのでしょうが、作者からすればただの中傷行為です。また、新しくトレンドマイクロ社が発していた情報とも矛盾します。これに対しては、トレンドマイクロ社と共同で対応にあたり、ファンの方の質問に真摯に答え続けました。そして、以後そのファンの方の動きは止まったようでした。

このように、事態解決を知らない人、トレンドマイクロ社の熱狂的なファンの人などを中心に、事件は燻り続けることになりました。

また、「どうせ誤検知とは、感度(悪さレベル閾値)の問題により発生するのだろう。感度ということならば、レジストリをいじるソフトを公開している作者側も10%くらいは悪かったに違いない。トレンドマイクロ側の悪さは90%くらいだったに違いない」と思う人もいるようなのですが、この誤検知は感度・閾値が原因ではなく、トレンドマイクロ社のプログラムのバグで発生したものです。あくまでトレンドマイクロ社側のプログラムのバグが原因なのですから、トレンドマイクロ側のミスが100%だったということになります。

2015年時点で、様々な誤解が解けていないことが分かったため、トレンドマイクロ社とは、定期的に事態を鎮静化するための活動(SNSやブログ等での情報発信など)を繰り返していくしかない、という認識で一致しました。今日の文章公開も、その一環(トレンドマイクロ社との過去の合意で行われる作業)となります。



■現状はどうなっていくか?

さて、事態は思いもよらぬ方向で「寛解」していくことになります。

そもそも、Windowsのフリーソフトの利用者数自体が減少していったのです。世の中のIT活動は、スマートフォンやタブレット端末を中心に行われるようになり、ある程度ITリテラシーの高い方しかPC(Windows)を使わなくなったため、事件が燻り続けるような土壌が、そもそも存在しなくなりました。

事態の寛解は喜ばしいことではありますが、それは自分を含むコミュニティ全体がそもそも相手にされなくなったからだ、というのは、極めて寂しいことであります。また、別の見方をすれば、Windowsのフリーソフトが最後に活躍できる期間を、この事件で逃してしまったとも言えるわけで、大変寂しいことになりました。



■今後について

今現在、Twitter上で作者の中傷をし続ける行為が見られることはありません。また、「いじくるつくーる」「すっきり!! デフラグ」は、実質的に更新が止まっていますので、ITリテラシーの低いユーザーが不当にこれらのソフトの利用控えを続けているという事態も、考えなくてよくなりました。

しかしながら、まだまだWindowsのソフトウェアで頑張っている方は多くいますし、お仕事ではまだまだPCの活躍する機会は多くあります。残念ながら今後も誤検知は発生し続けます。

本事件の解決時に勝ち取った、「セキュリティソフトメーカーのいうことなど無視すればよい」「誤検知連絡など無視すればよい」が言える世の中であり続けるよう、定期的に発信をしていく必要はあるかと思います。

また、別の原因ではありますが、2020年に発生した誤検知事件というものがありました。

この時は、「トレンドマイクロ社よりも作者側の方が信頼される状態になっていたこと」「トレンドマイクロ社がすばやく対応を開始したこと/すばやく事態の公表に踏み切ったこと」など、2012年の連続誤検知事件を教訓にした行動が取れたと言えます。

一方で、トレンドマイクロ社に、「原因の究明を急ぐあまり、ホワイトリストへの登録(暫定対応)が遅れた」という、本番(実社会)で被害が出続けていることへの対応(止血対応)に遅れが見られたという課題が生まれました。エンジニアであるが故に根本原因の究明に一刻も早く取り掛かりたい気持ちは分からなくもないですが、本番(実社会)を相手にしていること、被害者が出続ける事態であることへの認識不足があったのだと思います。

誤検知との(広い意味での)戦いということでは、セキュリティプログラムの品質改善と併せて、運用者の心のありようの改善についても、進めていってもらえるよう、私も事あるごとに活動していきたいと考えます。



【5/5追記】コメント返し

他サイトでしたが、コメントを見かけたため、補足を追記しておきたいと思います。

【補足1】「Vectorに登録しておけば安心感を提供できたのではないか」というコメントを見かけたので補足しておきますと、当時はVectorに登録していたし、そもそもVectorに登録していたvectorドメインのURLも誤検知されていました。

【補足2】ホワイトリストに登録しても再発するバグというのは、クローラーが勝手にホワイトリストから消してしまう(サポート部門の認識では、本来は人間しか消せないと思われていたのだが、クローラーのバグによりホワイトリストから勝手に除去されていた)というものでした。

【補足3】似たようなことが起きたら、今ならどうすべきか?……SNS上で企業のアカウントに対して公開質問するのがよいか、という御意見もあるようですが、やはり2022年上半期現在としては、暴露系YouTuberに垂れ込むってところでしょうかね。

➡続きはこちらで


【参考記事】

  • 2022年5月6日 この件に関していえば、自分はクレーマー側だったわけだが、どうすれば早期「鎮火」したんだろうか
  • 2022年5月7日 「うちのプログラムがすいません」と謝るのは誰になるか/安物自動運転車と被害者の関係はどうなるか
  • 2022年5月8日 「安物のセキュリティソフトのやることだから、誤検知は仕方ない」論は通じるのかどうか



目次 | ←前へ / 2022-05-01 00:00 / 次へ→ / 最新へ⇒


目次の表示:


ブログではないので、コメント機能とトラックバック機能は提供していません。ご質問・ご意見等はメールフィードバックまたはTwitter等からお願いします。いただいたご質問・ご意見などは、この「管理人のひとこと」の記事に追加、あるいは新規の記事にする形で一部または全文をそのまま、あるいは加工させていただいた上で、ご紹介させていただく場合があります。
当サイトでは掲載内容による不具合等に関する責任を持ちません。また、内容の正確性についての保証もありませんので、情報をご利用の際は、利用者の自己責任で確認をお願いします。本ページは公開から1年半後の任意のタイミングで削除される予定です。


- 最近の更新 -



2853919 (+0000)[+0591]

Copyright© 2010-2022 INASOFT