INASOFT 管理人のひとこと

■誤検知に関するスラドの2012～13年当時の予測・考察や、当時の自身の予測・考察の正否判断をしてみたら

スラドの2012～2013年当時の予測・考察や、当時の私自身の予測・考察の正否判断するのも興味深そうということで、実際にいくつかのコメントをピックアップして、正否判定をしてみることにしました。

ただし、上の記事にも書いた通り、これは、未来視点かつ当事者視点だからこそできることであり、「否」という判断だったとしても、それぞれの時点、それぞれ得ている情報の範囲から、仕方のないものであったと思います。なので、批判したり嘲笑ったりすることが趣旨ではありません。

とはいえ……というか、だからこそ、正しい情報を伝えるための重要な論点として扱うことが可能と考えました。この時に得ていた不正確な情報から、誤解が始まっているとも言えるので。

参考にしたページは下記のとおりです。

• フリーウェアの Windows カスタマイズツール、マルウェアと認識され作者サイトがブロックされる - スラド(2012/6)
• トレンドマイクロの誤検知、フリーソフトの開発を停止に追い込む - スラド(2012/7)
• 「すっきり!! デフラグ」開発者、ソフトの利用規約にウイルスバスターとの併用を禁止する条項を追加 - スラド(2013/4)
• ウイルスバスターにマルウェア認定されたフリーウェアに「トレンドマイクロ製品」への警告機能が実装される - スラド(2013/7)
• フリーウェアに対するウイルスバスターの誤検知問題、解決へ - スラド(2014/1)
• トレンドマイクロにマルウェアと誤検知されたフリーソフトウェア開発者、問題はすでに解決済みとして経緯を再説明 - スラド(2015/9)
• 「いじくるつくーる」「すっきり!! デフラグ」連続誤検知事件から10年 - スラド(2022/5)

(すべてのコメントについて書いているわけではありません。また、文章は適宜要約しています)

• # 現実的な対応方法として、下記のサービスへの登録を行うことになるのではないか。
  1. コードサイニング証明書を買う　（年間6万）
  2. Vectorや窓の杜　（Vectorは登録時に個人情報が必要、窓の杜は審査制）
  3. sourceforge　（ライセンスが合致すれば）
  4. rubyforgeとかmozdevとか、本家の周辺サイト　（アドオン系なら）

  未来視点だから言えることではありますが、結局ファイルの内容を1バイトも見ていなかったわけなので、1.コードサイニング証明書を買う（年間6万）は効果なしでした。2.Vectorや窓の杜は当時すでに行われていましたが、効果なしでした（Vectorも窓の杜も誤検知被害を受けていました）。sourceforge・rubyforge・mozdevについては、分かりません。

• # オレオレ証明書を突っ込む

  未来視点だから言えることではありますが、結局ファイルの内容を1バイトも見ていなかったわけなので、オレオレ証明書も効果なしでした。

• # 騒ぐのではなく「ホワイトリスト管理してくれ！」と要望すべきではないか？　そんな単純な話ではないのか？

  結果的に言えば、そんな単純な話ではありませんでした。ホワイトリストには入れてもらいましたが、その後、トレンドマイクロ社のクローラーにおいて、ホワイトリストから勝手に解除されるバグが発生し続けました。

• # 「有害なプログラムを転送するか、オンライン詐欺に関係していること」が「確認」されたのだから、単に配布してるツールが有害プログラム認定されただけではないか？

  当時から、ウイルスバスターを使って「いじくるつくーる」や「すっきり!! デフラグ」をローカル環境で検査しても、不正なプログラムであるという判定は出ませんでした。トレンドマイクロ社のウイルスバスターが不正なプログラムではないと認めているということで、残るはオンライン詐欺だと言っている、というのが、当時の判断でした。

  なお、この後、当時のサポート担当者より、これは誤検知である旨の連絡をいただき、ホワイトリスト登録をしていただいたため、有害なプログラムでもないし、オンライン詐欺に関係していることが確認されたわけでもないことが明らかになっています。

  しかし、この後ホワイトリスト登録から勝手に解除される現象が起き続けたことや、これらのことがトレンドマイクロ社自身から長らく発表されなかったことが、問題を大きくしました。

• # 作者は「いじくるつくーるはどのように使っても害を与えることはありません」と言えばよいのではないか。

  これはウイルスバスターでも、いじくるつくーるでも、すっきり!! デフラグでもそうですが、どのようなソフトウェアであっても、ある程度の規模以上ならば、人間が「100％バグを起こさない（バグによる害が起きえない）」と断言することはできません。また、OSのカスタマイズという性質上、使い方次第でOSは起動しなくなります。なので、「どのように使っても害を与えることはない」などといったら、逆に不誠実かと思います。

• # 窓の杜やフリーソフト開発者側で「トレンドマイクロのソフト使用者はサポート対象外です」と記載するのが良いのではないか。他社の不具合にコストかけるとか意味わからないので。「ブロックされた場合はトレンドマイクロにお問い合わせください」で良いのではないか。大騒ぎする必要はないのではないか。

  当時としては、実際におかしなクレームが寄せられたり、真夜中に電話がかかってきたりなど実害が出ていたので、事を大きくせざるを得ない状況がありました。

  しかしながら、結果的に、ここに書かれたような作戦は実行されることになりました。また、この頃に、窓の杜はライブラリのウイルスチェック目的でウイルスバスターを使用することを一時的にやめて、そのことを発表しました。

  これらの動きが、本件が執行役員の目に留まることに繋がり、一年半の時を経て事態解決に至るきっかけになりました。

• # 誰かが「このツールを使っていたら、ソフトが立ち上がらなくなった！有害なプログラムだ！」と通報したのではないか。

  トレンドマイクロ社の社員の方に、当時誤検知が発生した経緯を確認してもらいましたが、そのようなことはなかったとお聞きしております。そもそも、トレンドマイクロ社のクローラーのバグで、URLがブロックされたことが原因であり、人間による判定は行われていません。

• # 一般的なWindowsカスタマイズツールでは触らないようなレジストリを編集するプログラムだから、機械的に有害なプログラムのダウンロードサイトだと判定されただけではないのか？

  クローラーのバグにより、プログラムのコードを1バイトも見ずに判定していたことが明らかになっていますので、そのようなことはありません。

• # (作者は)わざと事を荒立てて騒ぐタイプだと思う

  普通に解決するならば、事を荒立てたりはしなかったかと思います。当初はスクリーンショットを添付しないと対応してくれなかったり、他人宛ての回答が返ってきたり、さらにその後、現に、様々な屈辱を受けて、解決まで1年以上半放置状態があったことを踏まえると、全く大げさではなかったと思います。

• # ブロックされたくないなら金払えってのはすごい(ひどい)。いたるところをブロックして金を取る商売ができてしまう。

  「ブロックされたくなければ継続して出費が必要」としていた箇所に対するコメントかと思います。詳細は非公開としておりますが、この出費は、トレンドマイクロ社へ支払うものではないものでした。

• # コードサイニング証明書ではなく、サイトを実在認証付きSSL証明書でもつけろ等と言っているのではないか。どちらにせよデジタル署名すれば安全とみなしてやるってならばウイルス対策ソフトでなくてもできることであり、トレンドマイクロ社は自己否定をしているに等しい。

  こちらも、詳細は非公開としておりますが、コードサイニング証明書・実在認証付きSSL証明書の取得を依頼されたわけではありません。

• # アプリケーションの挙動だけを見れば、誤検知されても仕方がない。極論すればシステムが起動しなくなるレジストリの書き換えも可能であり、目的はともかく、誤検知は仕方がないのではないか。

  未来視点となりますが、プログラムの内容は1バイトも見ていなかったため、これは違います。また、仮にそうであったとしても、連続誤検知（ホワイトリスト登録したものを再び解除して誤検知をし続け）してよい理由にはなりません。

• # この作者はトレンドマイクロの白判定をもらうことを目的にソフトを作ってるのか？異常に見える拘りの理由がわからない。

  執拗な誤検知の継続、ユーザーからのクレーム、誤検知被害者なのに再発防止策を求める人、真夜中にプロバイダからの電話など、趣味の継続はおろか、日常生活に支障をきたすレベルのトラブルへの対応のためです。飛んでくる火の粉は振り払わなければなりません。日々いろんな人から「念のため」として報告が来る状況もありましたし、大きく世に知らしめる必要もありました。
  今になってわかることとしては、このメッセージを見て、いじくるつくーる等を使用するのをやめて、それっきり関心を持たずにいた人も結構いたということです。

• # (ソフトの利用規約にウイルスバスターとの併用を禁止する条項を追加したことについて)なぜ社員の家族を含めたのか？家族は何親等までか？犬は家族に含まれるか？

  当時、有志の方が本件についてトレンドマイクロ社に問合せた際「そういったことが発生しているということは認識していない」という旨の回答を得たという情報をいただいたことがありました。このため、本件がサポート担当者の中だけで閉じていて、全然解決に向かって動き出していない状況を認識しました。社員や社員の家族を含めたのは、（他の方のコメントでもツッコミを入れられているとおり）トレンドマイクロ社内部からの解決を促すために、担当者へ情報が届くようにするための工夫の一環でした。なお、そもそもこの規定は紳士協定なので、家族が何親等までか？とか、犬が家族に含まれるか？とか、バナナがおやつに含まれるかなどは、わざわざ書きませんでした。

  同様に、こんな規定が書いてあったしても、無視して使用することができるのではないか？ということも当時聞かれていました。まぁ、それも技術的には可能です。せいぜい罪悪感を感じながら使えばいいと、当時は思いました。

• # (ソフトの利用規約にウイルスバスターとの併用を禁止する条項を追加したことについて)話題作りの一手としては賛成。でも、代償（自分が笑われる）が大きすぎる。

  これは覚悟の上でした(諸刃の剣の一例)。しかし、このことは様々なネットニュースで話題になりました。さらに、2013年7月に実装に移したことで執行役員の目に留まる状況が生まれたため、この策は、問題解決に向けての非常に有効な手立てとなりました。（他の様々な策の中で、最も有効な一手になりました）

• # トレンドマイクロではジョークソフトを悪質なソフトとして排除する方針で、そのように検出アルゴリズムを実装していたのでINASOFTを悪質サイトと判定していた、と読み取れた。

  違います。そもそもこの問題はトレンドマイクロ社のクローラーのバグにより発生したものです。よって「ジョークソフトがあるから」のような、明確な理由があって検知されたわけではありません。ただのバグです。また、（そういった正当な理由を持つ検知ではなく）誤検知であることは当初よりトレンドマイクロ社が認めており（社外発表を当初行っていなかっただけ。ただし当初は原因は不明と説明された）、別のバグ（当時は原因不明）によりその誤検知が再発し続けていた問題となります。

  なお、私は、この現象がトレンドマイクロ社のクローラーのバグによるものと最初に聞いていましたので、誤検知の発生原因に何かしら明確なモノ（INASOFT側に非のある何か or INASOFT側で対策可能な何か）を求めても仕方がない（バグは設計されたものではなく偶発的なモノ。INASOFTのサイトが選ばれたのは運が悪かったことによるモノ）ことを理解していたのですが、その理解をされていない方々が「何かしら明確な原因があって誤検知されたに違いない」と思い込みたいがために、原因としてジョークソフトの存在を挙げることがあるようでした。残念ながらそれは誤りです。

  スラドのコメントを見ることで、誤りの思考に基づいてジョークソフトの存在を関連に挙げている方の存在に気づけましたので、ここで明確に否定しておきます。

• # ジョークソフトを悪質なソフトウェアと判定することの是非はともかく、色々騒いだ結果ジョークソフトを許可するオプションをごり押しで実装させたように見えます。

  トレンドマイクロ社にジョークソフトの検出をなくすオプションを追加するように依頼したことはありません（2012年時点では、いったんマルウェア判定しなかったジョークソフトについて、判定に変化はないと言われていたのに、後日何の断りもなく突然マルウェア判定したことについて抗議をしたことはあります）。1年半経過後の2014年時点としては、トレンドマイクロ社にオプションの追加を要求したことはありません。これは2014年初にトレンドマイクロ社の意思で勝手に追加したもので(そのことは担当者にも念入りに確認しています)、その仕様もトレンドマイクロ社が勝手に決めたものであり、私は仕様の検討過程に加わっていません。

  2014年初において、なぜ検討過程に加わらなかったかというと、私は「オプションを追加するとかではなく、ジョークソフトの検知を一切やめるべきだ」と主張し、トレンドマイクロ側は「オプションにより検知の可否を決めるべきだ」と主張し、物別れになったためです。そのため、ジョークソフトを許可するオプション云々について、私は一切関わっていません。求めたこともないし、許可したこともないし、忖度されたこともありません。むしろ私の主張を全拒否されて、物別れしました。なので、関わりたくもないというのが正直なところ。関わっていると思われるのは、正直なところ、心外です。

  これは「ビックリ箱は人をびっくりさせるので、おもちゃ屋から全て除去／ゾーニングすべきだ」とか「お化け屋敷は人をびっくりさせるので、テーマパークから除去／ゾーニングすべきだ」と主張するのと同じです。

  特定の表現について、当該ソフトウェアがある１ジャンルに所属しているからという理由だけで潰されるのは、表現の自由にも関わる問題であり、自作品／自ジャンルの萎縮に繋がります。これについて、私は妥協できるものではありません。また、私はこのジャンルを代表する立場でもありません。私以外の方が作成しているジョークソフトをマルウェア判定することを勧めることにもなり、私の判断でその方々の製作物がマルウェア判定されたのでは、その方々に申し訳が立ちません。

  「ジョークソフトを許可するオプションをごり押しで実装させた」と疑われるのは違います。逆です。実装をゴリ押しされたのです。最終的には、強引に押し切られる形で実装されたと認識しています。これを認めることは、表現の幅を自ら委縮させるようなものであり、私は認めていません。

  なお、同人ソフトと同サイトで…の件と同じく、連続誤検知問題は単にクローラーのバグとして、内容の吟味の前に発生したものです。よって、連続誤検知の原因とジョークソフト云々とは無関係であることを書き添えておきます。

• # INASOFT側がジョークソフトを別サイトに隔離すれば、もっと早期に解決できていたのではないか？

  違います。上にも書いた通り、何かしらの基準や判断があって正当に検知されたのではなく、クローラーのバグによって、誤検知（トレンドマイクロ社の社員の意図とは違う）に倒れたものであるため、ジョークソフトの有無は無関係です。

• # 「ジョークソフトはスパイウェア」という定義のもと、「Webレピュテーション技術」を適用した結果、www.inasoft.org を悪質サイトと判定したと読み取れた。

  違います。上にも書いた通り、何かしらの基準や判断があって正当に検知されたのではなく、クローラーのバグによって、誤検知（トレンドマイクロ社の社員の意図とは違う）に倒れたものであるため、無関係です。

• # トレンドマイクロ社も初動でジョークソフトの存在とその隔離を「お願い」すれば良かったのに、「原因はつかめている」としながら対応が「誤検知」「ジョークソフト」対応と二転三転としてことでINASOFT側と泥沼の争いに陥ったのではないか

  違います。2012年6月時点において、この誤検知の原因は不明でした（トレンドマイクロ社のスタッフからは、誤検知である旨だけは告げられていた。ただしこの時点で対外発表なし）。なので、トレンドマイクロ社は、作者に対して、何かしらの「お願い」をできるだけの情報を持っていませんでした。特に、ジョークソフトに対するマルウェア判定はもっと後に発生したものなので（当初、渡した検体の中にジョークソフトが含まれていたが、それらは問題なしと判断された）、初動の時点でジョークソフトに関することが影響することはあり得ませんでした。

  また、上にも書いた通り、何かしらの基準や判断があって正当に検知されたのではなく、クローラーのバグによって、誤検知（トレンドマイクロ社の社員の意図とは違う）に倒れたものであるため、ジョークソフトの有無は無関係です。

• # 途中でドメイン変更してる。これではせっかくのホワイトリストも台無しなのではないか。

  これについては、メールでいただいていたクレーム「同人ソフトのサイト(yoshibaworks.com)内で配布している」「同人ソフトとは、すなわちエロである」「よって、誤検知が発生したのではないか」を受け、それならばドメイン変更すれば連続誤検知が発生しなくなるのではないか？ということに期待を込めて実施したものになります。結果として誤検知は再発しましたが、その後、URLの変更とは関係なく連続誤検知は発生していました。また、ドメイン名の変更が原因か？については、トレンドマイクロ社の担当の方が明確に否定されました。

• # (トレンドマイクロ社による解決を示す文章を見ても)どう修正されたのか、他のサイトでも起きる問題なのかなどがわからない。原因が単なるバグなのか、アルゴリズム自体が問題だったのかわからない。

  副社長からの顛末報告にある通り、他のサイトでも発生していました（これは、2012年12月に読売新聞も報じていました）。また、原因は「単なるバグ」となります。(バグなので、間違った／予期しないアルゴリズムが動いていたとも言えます)

• # (この対策で)今後この問題が発生しないと本当に言えるのか？

  2014年1月時点としては、明確な根拠はなく、ただただ信じることしかできない、という状況でした。
  ただ、これは未来視点から言えることですが、2014年以降現在(2022年)までは、この問題は再発しなかったので、おそらく対策は正しかったのでしょう。(単発の誤検知は多く発生していたかもしれないが、本件のようなしつこい連続誤検知は発生しなかった)

• # 具体的にどういう評価で引っかかったのか、全くわからない

  具体的な評価はありません。ただのバグにより発生した誤検知です。そもそも正しい評価基準があって、それに基づいて評価されて、マルウェアであると判定されたのではありません。トレンドマイクロ社のクローラーのバグにより、クローラーが誤動作して、誤検知に倒れてしまったのです。具体的で明確に設計された評価が行われたわけではありません。あえて言うなら、評価を行う前に、バグにより誤検知に倒れたものとなります。

• # みんな色々やった経験から予想して語るから、中身チェック前なんてしょぼいバグは想定しないよ。

  前記のコメントへの回答は、これに尽きるかと思います。

• # 誤検知であるかはユーザーは判断できないので、ユーザーとしてはいったん受け入れて、作者を信じるなら（(誤)検知された）ソフトウェアを使うし、セキュリティ企業を信じるなら（(誤)検知された）ソフトウェアを使わないとするしかないのではないか。

  話を一般論にしてしまうと、こういった「誤検知は永遠になくらないのだからうまく付き合っていくしかない」のような議論の迷宮入りパターンになってしまいます。そうではなく、本件の場合、トレンドマイクロ社のスタッフが誤検知であると認めてホワイトリスト登録したにも関わらず、連続誤検知により誤検知が発生し続けたとか、そのことの公表を長期間拒み続けたこというのが本質的な問題になります。なので、一般論に拡張しないほうが良いです。⇒当時の具体的な例

  例えば「人類が生きている以上、イジメはなくならない」からといって、目の前で発生しているイジメを止めない理由にはなりません。「車を運転する以上、交通事故はなくならない」からと言って、目の前で起きた交通事故を見て救急車を呼ばなくていいわけではありません。話を一般論化して迷宮入りさせるのではなく、目の前で問題が起き続けているのならば、まずはその問題を止めるべきという話です。

  また、それを知らない一般人にどう知らせるか？も、トレンドマイクロ社がきちんと早期に事態を公表すれば解決できた問題なのに、それを怠ったというのが、問題の本質です。ちゃんと早期に公表していてくれれば、セキュリティ企業を信じる方のユーザーだって、（(誤)検知された）ソフトを使ってくれます。

• # （誤検知かどうかの判断は）ユーザーの個別判断に任せるべき。

  そうだとは思いますが、正しい判断をするための情報をセキュリティメーカーが持っているのならば、それを秘匿するのではなく、公開すべきです。トレンドマイクロ社はそれ拒んだため、間違った判断をするユーザーを多発させてしまいました。それが本件における重大な問題です。

  また、誤検知を見て、「個別判断により、ユーザーは使わないことを選択した」場合、作者はその分の機会損失をすることになります。正しい情報が正しく周知されていれば、これを防ぐこともできたはずです。

  やはり、前にも書いた通り、トレンドマイクロ社がきちんと事態を公表すれば解決できた問題だったと考えます。きちんと公表していれば、ユーザーはそれを見て判断するので、誤検知であるという情報を正しく入手できたことになります。

ここに書かれていない件のいくつかについては、すでに回答を書いている記事がありますので、そちらを参照してください。

• 2013年に公開した文書その1(お前はマルウェアを作っているのではないか？と聞く人、お勧めのウイルスバスター(?)を聞く人、他)
• 2013年に公開した文書その2(ゴネ得呼ばわりする人、他)
• トレンドマイクロ社の公表している文書
• 誤解が続いていたため、トレンドマイクロ社と共同で2015年に公開した文書
• つい先日のコメント返(追加)

初期の頃（作者のことを疑う人の数が多い時期）は、けっこう辛辣なことを聞いている人もいたので、閲覧においてはご注意ください。

振り返ってみますと、ほぼすべての予想・考察は裏切られています。誰も（私も含めて）、まさか内容を吟味する前にバグで誤検知されていたなんて、ショボイ原因だったなんて、思いもよらなかったので。

唯一正解だったのは紳士協定でウイルスバスターとの同時利用を禁止する規定を設けたこと(ねらい)／インストーラに警告ダイアログを入れたことだったかなと思います。これにより、トレンドマイクロ社の執行役員の目に留まり、事態が大きく動くことになりました。