管理人のふたこと Tweet
ウイルスバスター関連で良くない話を聞きまして
公開日:2015/09/05
更新日:2015/09/09 リンク一覧に窓の杜ニュース等を追加/「その他の誤解」追加
更新日:2015/09/12 「新たな質問」追加
更新日:2015/09/13 「新たな質問」追加
更新日:2015/09/16,17 「新たな質問」Q2を差替え
更新日:2022/05/20 スラドに誤った想像がそれっぽく書かれていることに危機感を覚えて
■はじめに
2015年3月~4月にかけて、ちょっと困った話を小耳に挟みました。
それを受けて、トレンドマイクロ社と相談しまして、同社のQ&Aの記事に一部、詳細な内容を追記していただくことになりました。
これについて、詳細を述べたいと思います。
■解決から1年以上経過しても解けていなかった誤解
2015年3月~4月は、Google Chromeの誤検知が話題になった時期です。
これに関連し、2012年4月~2014年1月にかけて発生していた、トレンドマイクロ社のウイルスバスターによる、「いじくるつくーる」「すっきり!! デフラグ」に対する連続誤検知&冤罪被害救済拒絶問題についても、ネット上で話題になっていました。
この件は、2014年1月には、ウイルスバスターのバックエンドプログラムの不具合修正が完了したことで、一応収束しています。
が、2015年3月~4月に聞いた話で、どうやら、真実はうまく伝わっていなかったんだということを思うに至りました。
■誤解の内容
具体的には、
(1)そもそも解決したことを知らない人がいた
(2)「いじくるつくーる」「すっきり!! デフラグ」はレジストリを扱うソフトだから、誤検知が発生してしまったのは仕方のないことだったんだという思い込み
(10%くらいの割合で、「いじくるつくーる」「すっきり!! デフラグ」側も悪であったというニュアンス。本件解決に伴い、グレーゾーンのウイルス判定の敷居を下げたことにより、判定基準を甘くさせ、世間のウイルスへの耐性を下げさせて危険に晒したという誤解もある)
の2点です。
(1)については、当サイトや、トレンドマイクロ社のサイトをご覧の方なら既にご存じのはずではありますが、そもそも当サイトやトレンドマイクロ社のサイトを見ない方は、解決を知る機会がなかったのだと思われます。
2012年10月頃の問題の泥沼化が決定的になった時点では、ネット系メディアのみならず、読売新聞にも取り上げられるなど、かなり話題になっていたことから、多くの方が問題発生を知る機会は多かったのだと思います。しかし、2014年1月の事態収束に関しては、一部のネットメディアでしか取り上げられなかったこともあり、あまり多くの方が問題解決を知る機会が無かったのだと思います。基本的に、解決とは、人々の興味をそそらない事象だからかもしれません。
(2)については多少深刻で、そもそも発生の原因を誤解している方がいるようでした。
スラド等の一部の投稿サイトに書きこまれた憶測や、憶測を元に勝手に推理を深められた内容を信じている人がいたり、そもそも記事のタイトルだけを見て中身を読まない人がいたりという状況があり、「いじくるつくーる」「すっきり!! デフラグ」はレジストリを扱うソフトなんだから、シロでなくてもグレーな存在だったから検知されたんだろう…といった間違った推測が発生しやすい状況になっていたのだと思います。
トレンドマイクロ社の修正されたQ&Aの記事を見ていただければ分かるとおり、そもそも、ウイルスバスターは、「いじくるつくーる」「すっきり!! デフラグ」の動作ロジックを1バイトでも見て、ウイルスと判断したわけではありません。
そもそも、「いじくるつくーる」「すっきり!! デフラグ」の中身を見る前の段階で、ウイルスバスター自身のプログラムに不具合(バグ)が起き、ウイルスであると判断してしまったものなのです。
(よく、火の無いところに煙は立たないといいますが、今回のケースの場合は「いじくるつくーる」「すっきり!! デフラグ」に火が付いていたのではなく、ウイルスバスター側に火が付いていたことになります)
また、その後、誤検知が連続的に発生し続けてしまった原因についても、別の仕組みによる事象であるとお聞きしています。
同様に、サイトの中身や関連を見てウイルスと判断したわけでもない、ということが分かると思います。
一部の噂で、同人ソフトを配布していたサイトだったから/更新頻度が高かったから等、INASOFTのWebサイト側自身に少しは『原因』があって、ウイルス判定されたという話が出ていたかと思いますが、それは事実ではありません。
「いじくるつくーる」「すっきり!! デフラグ」も、Webサイトも、中身は全く見られていない状態で、ウイルスであると判定されてしまった………そういう不具合(バグ)がウイルスバスター側に発生していたという点につきまして、よくご理解いただきたいと思います。
(ウイルスバスターが「いじくるつくーる」「すっきり!! デフラグ」の配布サイトや周辺サイトを全く見ることなくウイルス判定を下していたことはわかったが、ならば「いじくるつくーる」「すっきり!! デフラグ」自身は実際どうだったのか?という疑問が寄せられそうです。予め答えておきますと、ローカルPC上で「いじくるつくーる」「すっきり!! デフラグ」にウイルスチェックをかけても、何も検知されない状態でした。当時トレンドマイクロ社の人にも詳細をチェックしてもらっていますが、そちらも何もありませんでした。従いまして、ウイルスバスター的には、「いじくるつくーる」「すっきり!! デフラグ」は完全にシロであったと言えます)
(配布サイトやプログラムの「中身」を見ていなかったわけですが、後にも書いてあるとおり、何らかの外見的要素で判断されたわけでもありません。例えば人間の判断で外部スペックから誤判断が起きた等ではありません。単に、ウイルスバスター側の自動判定プログラムのバグで、そのような誤った判定に倒れてしまっただけです。人間的にも機械的にも、何らかの「適切な判定」が行われた結果ではありませんでした)
■トレンドマイクロ側のQ&Aも更新していただいた理由
2012年10月以前に、「作者側からだけの訴えかけでは意味がない/信用できない」と言われる方がいらっしゃったことがありました。2014年1月の解決時点では、そういった事情を鑑み、トレンドマイクロ社からの公式発表をいただきました。
今回もトレンドマイクロ社のQ&Aページを更新していただくことにより、上記のような誤解を招きやすい事柄について、より明確に書かれるようになりましたので、「作者側からだけの訴えでは意味がない/信用できない」と主張される方にもご理解いただけると信じています。
■おわりに
この場を借りて、改めて申し上げたいこととしては、人間の作った機械による自動判定プログラムである以上、それがバグであれ、グレーな判定であれ、一定頻度で誤判定というものが起きてしまいます。これは、まだまだ防ぎようのないことです。
しかし、それならばこそ、その防ぎようのないことを、人間の力でカバーすることが重要だと思います。
トレンドマイクロ社は、人間がカバーするのに1年半以上の歳月をかけてしまいました。それには様々な会社的事情があったのだとは思います。ただ、1年半経ってからは、十分なサポートをされるようになってくれていると思います。
事後に人間がカバーする力こそ、機械による全自動化社会の、最後の砦であると思います。
残念ですが最近では、一部ブラウザ―――あえて名前を挙げるなら、Google Chrome―――について、機械の暴走を人間が止め切れていないのではないかと思われる事象が発生している状況であるようです。
こういうときこそ、人間が機械の欠点をカバーする力の重要性を、再認識してもらいたいと思います。
■その他の誤解
ネット上で見られる、いくつかの誤解について、この場で解いておきたいと思います。
●この誤検知は、まだ続いていたのか
連続誤検知は2014年1月に終結し、現在は続いていません。ただし、上記で書いたように、多くの方の誤解を受けている状態がいまだに続いており、風評被害が潰えていない状況は続いていたようです。
●「いじくるつくーる」「すっきり!! デフラグ」は、極論するとシステムの起動や設定に関する部分のレジストリを書き換えるツールなので、実際にやっている目的はともかく、積極的に検出しなければならない悪質なアプリケーションと同じような動作をしているのだから誤検出されるのは仕方がないのではないか
上にも書いたとおり、配布物の中身を見て誤検出をしたわけではなく、ウイルスバスターのバグによって配布物の中身を見ないままに誤検知が発生したことによるものなので、原因の部分の話がずれています。
また、誤検出が発生することそのものは確率論的に仕方がなかったとしても、それを同じ作者の同じソフトに対して、数日おきに、延々と繰り返し発生させ続けることや、繰り返し発生の最中も名誉回復のための行動を一切起こそうとしなかったことについては、仕方がないなどと済まされることではありません。
●いじくるつくーる/すっきり!! デフラグで誤検知が解消しなかったのは、騒動が泥沼化して、トレンドマイクロ側が誤検知であることを認めるに認められない状況が生じてしまったからではないか
本件が誤検知であることは、トレンドマイクロ側は早期に認めておりました。そして、ホワイトリスト的に誤検知が起きないようにする仕組みにも登録をしていました。ところが、その登録が定期的に(サポートスタッフも知らない間に)勝手に解除されてしまう怪現象がずっと起き続けており、その解決に1年半以上かかったということになります。
なお、トレンドマイクロ社が誤検知であることを認める意思を伝えていたのは、あくまで作者に対してだけであり、当初、対外的には発表をしていませんでした。これは単に、トレンドマイクロが、個別のトラブル事象を逐一発表しないという、世間的にもよくあるポリシーの元で動いていたからです。しかし、トレンドマイクロ社が、「事象が(結果的に)年単位で発生しているにもかかわらず本件の周知を怠ったこと」が、本件を、より一層泥沼化させた原因になっていたのかもしれません。
●INASOFTが、同人ソフトの配布サイトと早期に分離していれば、もっと早く解決したのではないか
Q&Aサイトにも書かれているとおり、ウイルスバスターはWebサイトの内容を読んでいませんでした。完全に、ウイルスバスターのバグにより、ウイルスであると誤判定したものです。そのため、サイトの内容や構成や、他の配布物・表現物に関連して解決が早くなったり遅くなったりすることはありませんでした。
●INASOFTのURLのドメインが変更になったことが、問題解決を遅らせた原因ではないか
トレンドマイクロ社のQ&Aサイトにも書かれているとおり、URLの変更と本件には関連がありません。
●「誤検出はソフトウェア側の不具合から発生したもので」と書かれていたが、これは、誤検出された側のソフトウェア(いじくるつくーる)の不具合のことを言っているのか
ウイルスバスター側の不具合のことになります。誤検知が起きていた当時、いじくるつくーるについては、その中身を見ることすらされていませんでしたので、仮にいじくるつくーるに不具合があったとしても、誤検知の有無に影響することはありませんでした。
●悪意のある第三者がいじくるつくーる/すっきり!! デフラグをウイルスであると報告したり、あるいは、悪意のあるステークホルダーがトレンドマイクロ社に圧力をかけて誤検知を発生させていたのではないか
トレンドマイクロ社の社員の方に、当時誤検知が発生した経緯を確認してもらいましたが、そのようなことはなかったとお聞きしております。
●トレンドマイクロ社はステークホルダーから本件解決の圧力を受けて、解決に動き出したのか
そのようなことはないとお聞きしております。
●【2015/9/9追加】(いじくるつくーる等の)ロジックは見ていないそうだが、「レジストリをいじるソフトを検知する」のはウイルス対策ソフトの一般的な仕組みであって、そういうのを(外部スペック的に)判断して検知したということか
トレンドマイクロ社へ当時の様子を確認しましたが、問題発生当時、URLの情報から外部スペックを推定して検知を行うような仕組みはなく、そのような事実もありません。また、人間による(外部スペック的)判断が挟まれたり、人間の解析などよって対象ソフトの外部スペックを確認し、それが問題の誤検知を発生させたということはありません。あくまで自動判定の仕組みが不正に働いたものです。いじくるつくーる等について外部スペック的にも、内部ロジック的にも、何かしらの適切な判断があって誤検知が導かれたわけではありません。
■新たな質問
Twitter上でいただいた、新たな質問について、トレンドマイクロ社へ問い合わせています。
Q.1 ウイルスバスターのユーザーでは無いため、シリアルナンバーは持っていない。しかし、トレンドマイクロ社のQ&Aサイトに対して質問を出したいが、どうしたらよいか。
Q&Aの下部にある、下記の質問
このソリューションに関して、ご意見をお聞かせください。
このソリューションは問題解決に役に立ちましたか。
はい / いいえ
で、「いいえ」を選択することで、質問できるとのことです。この質問方法であれば、シリアルナンバーは不要であるとお聞きしております。
Q.2【2015/9/12追加・16追加】
トレンドマイクロ社からは、Webサイトには問題がないとの説明を受けたとのことだが、Webレピューテーション技術が関連しているのなら、「メインサイトの置かれているドメインとは別のドメインをミラーサーバとして運用し、そこに置いてあるセットアッププログラム(exeファイル)に直リンクする形態を取っていた」事による"正常な検知"だったのではないか。「ドメイン=プロバイダの共用Web、Webページ=なし、埋め込みリンク=なし、配布物=プログラム」であれば、ウイルスバスターが検知をする基準として抵触するはずである。
他ドメインに置かれたセットアッププログラム(exeファイル)に直リンクしていて、ウイルスバスターによりそれを誤検知されたくなければ、あなたは他ドメインが自分の所有であることや、リンク先の安全性を証明する義務があるのではないか。
(一部、いただいていた質問内容に、トレンドマイクロ社の内部機密が載っているのではないか?という質問が寄せられていたため、確認完了まで質問回答内容の一部を一時非公開としておりましたが、トレンドマイクロ社に確認したところ、トレンドマイクロ社の判定基準に当てはまるものではないことが確認されましたので、再公開しています)
Webレピュテーション技術が関連していることは確かですが、その不具合が発生した原因・きっかけは、当サイトの内容や構成、あるいはミラーサイトの内容や構成にあったわけではなく、あくまで、Webレピュテーション自身の不具合がきっかけとなっているとお聞きしていました。
そこで、トレンドマイクロ社に改めて確認したところ、今回の誤検知において、別ドメインをミラーサイトとして運用していたかどうかや、exeファイルを直リンクしていたかどうかは関わっておらず、あくまで、トレンドマイクロ社のWebレピュテーション自身の不具合により発生した問題であったとのことでした。そもそも、トレンドマイクロにしても、Webレピュテーションの基準にしても、当サイトの内容や構成、あるいはミラーサイトの内容や構成に問題があったとは判断していません。
また、この質問にあるような「ドメイン=プロバイダの共用Web、Webページ=なし、…」などの基準は、少なくともトレンドマイクロ社のWebレピュテーション技術で採用している基準ではないとのことです。
さらに、サイト運営者に対し、トレンドマイクロが「リンク先の安全性を証明する義務」であるとか、「他ドメインの自サイトが安全であることを証明する義務」を求める事はないとのことです。
Q.2-1【2015/9/16追加】 ミラーサイトには、最低限何か(読めるコンテンツ)を置けば、WebレピュテーションにおけるWebサイトの信頼性が向上するはずである。
トレンドマイクロ社に確認したところ、少なくともトレンドマイクロ社のWebレピュテーション技術では、そのような判定を行わないとのことです。
Q.2-2【2015/9/16追加】 他ドメインのミラーサイトには同一運営者である等サイトの信頼性を確認できる手段が提供されていなかったため、Webレピューテーションが疑わしきサイトであると判断したのではないか。
トレンドマイクロ社に確認しましたところ、下記のような理由で、トレンドマイクロ社のWebレピュテーションの判定基準としては採用されていません。そのため、ご質問にあるようなことを理由に、INASOFTとそのミラーサイトが「疑わしいサイト」と判断されたことはありません。
(トレンドマイクロ社のWebレピュテーションの一般的な話として)概要的な話ではありますが、仮にあるサイトから別のサイトの実行可能形式のファイルに直接リンクが行われ、そのリンク先の運用者などの情報が不明確・不一致であったからといって、それだけでWebレピュテーションの検知の対象になるようなことはありません。
確かに実在の脅威において、攻撃者によって改ざんされる等によって、全く関連のない不審な別サイト(の実行ファイル)にリンクやリダイレクトが行われるようなケースがありますので、別のサイトへのリンクは注意を要するようなポイントとなり得ます。
しかし一方で、攻撃者によって改ざんされた正規サイト同士がリンクされるようなケースがあり、リンクされたサイトそのものは信頼できるが、その配下に不正なプログラムが配置されるようなケースも多くあります。
よって、リンク先のサイトの情報だけで評価をしていると、これらはいずれも誤検知を発生させる恐れがあります。
・前者は False Positive(検知すべきでないものを検知する誤検出)の恐れがある
・後者は False Negative(検知すべきものを見逃す = このケースも検出しない意味で誤検出)の恐れがある
(トレンドマイクロ社の)Webレピュテーション一般の話として、脅威と照らして考えても、ご指摘のあったようなポイントで評価をしていると、(誤検知発生の)リスクが高くなると言えると考えます。
Q.2-3【2015/9/17追加】これは、作者側からの一方的な訴えではないのか。また、作者側では何か、Webレピュテーションのスコアが向上するための対策を打ったのか。打っていないのなら、一方的な訴えと言えるのではないか。
今回載せている記事は、そもそもトレンドマイクロ社が書いたQ&Aについての記事であり、作者の意見を書いたものではありません。また、その後の質問回答も、トレンドマイクロ社へ問い合わせを行った結果を載せたのであり、作者の意見を書いたものではありません。そのため、そもそも作者からの訴えではありません。よって、作者からの一方的な訴えでもありません。
また、これまで書いてきたとおり、Webレピュテーションの判定基準は明確にされておらず、また、上のように容易に推測できるものでもなく、さらに、誤検知発生時にトレンドマイクロ側から何からの指導が行われたわけでもありません。よって、作者側からのスコア向上ができたわけではありません。
そもそも今回は、Webレピュテーションの正常な判定で直接的、あるいは間接的に(一部の正常な判定が引き金になって)、この問題が起きたのではなく、Webレピュテーションの不具合100%が原因で誤検知が起きたとお聞きしています。そのため、作者側で有効な対策が打てる状況ではありませんでした。ネットの向こう側の他社のソフトウェアで発生しているバグに対して、その情報が公開されていない(セキュリティ上の理由[=渡した情報を悪者が悪用する]で公開できない)状態で、こちら側から対策できることはなかったと考えます。
Q.3【2015/9/13追加】具体的にどういう評価で引っかかったのかわからない。技術的詳細が分からない。これではなぜ誤検知が起きたのか、なぜその後の連続誤検知が起きたのか。現在では絶対に同じ現象が再発しないと言い切れるのか、確証が取れない。自分も過去に、トレンドマイクロの誤判定で苦い経験をしており、ハッキリして欲しい。内部情報を書くことにより情報が漏れ、悪者に有利になるかもしれないという懸念は結構だが、あまり情報を隠すことを認めすぎてしまうことは、ウイルス対策企業がますますいい加減な処理をするようになるのではないか。
2014年1月の副社長の謝罪文書公開・今回のQ&A更新に向けた考え方としては、私が情報公開を求め続け、徹底的で第三者が検証可能な求め続けたとしても、トレンドマイクロ社は「セキュリティ上の理由」「ウイルス作成者を利する情報を公開できない」というポリシーのために身動きが取れなくなります。身動きが取れないために、何もできない(情報公開も出来ないし、バグ修正をして問題解決も始めない)ならば情報公開の方は一時的に諦めてでも、作者の名誉挽回のための情報公開をし、バグ修正をして問題解決を優先させるべきという判断がありました。情報公開を求め続ける余り、作者の名誉が毀損され続けるのでは、「二兎を追う者は一兎をも得ず」になりかねないからです。
現在では、無事に問題解決し、作者の名誉回復のための文書公開も始めましたので、今後やっていくべきこととして、他のユーザの「安心」を得るという目的のため、「二兎目」として、可能な部分の情報公開や、別の形での情報提示(絶対に再発しない理由の提示等)を段階的に求める事も可能かと考えています。ただしそれには、公開した情報が悪者に利することがないよう、言葉を慎重に選んで発表する必要があり、多くの時間がかかることが考えられます。
■【2022/5/20追加】
スラドに誤った想像がそれっぽく書かれていることに危機感を覚えたため、2022/ 5/20の管理人のひとことに「誤検知に関するスラドの2012~13年当時の予測・考察や、当時の自身の予測・考察の正否判断をしてみたら」と題して記事を書きました。
これらの誤解は、当時の限られた情報の中で最大限の想像の産物であり、仕方のないものです。ただ、なんとなく説得力のある文章で書かれてしまっているため、真実だと誤解してしまう人が現れる危険性がありました。そのため、問題発生から10年が経過したことを契機に、正否判断をしてみることにしました。
本ページへは、自己責任の範囲内であれば自由にリンクしていただいて構いません。
本ページに掲載されている内容は、自由にお使いいただいて構いませんが、必ずしも筆者が内容を保証するものではありませんので、ご利用に際しては自己の責任においてお使いいただきますよう、お願いいたします。
このページのURLやアンカーは、サーバ運営・サイト運営・ページ運営・その他の都合により無告知で一時的あるいは永遠に消滅したり、変更したりする可能性がありますので、あらかじめご了承下さい。
本ページは、公開から1年半経過後の任意のタイミングで削除される予定です。本ページの内容は複製・公開していただいて構いません。