管理人のふたこと Tweet
現在発生を確認している、一部セキュリティソフトの「検知」動作について(解決)
公開日:2020年6月 8日 初公開
更新日:2020年6月 9日 今日までの経緯と解説を追加 / 新たに「コピペテキスト修飾除去」最新バージョンも検知されるようになってしまったので追加
更新日:2020年6月10日 ListView to CSVへの「検知」に対する技術的見解と技術的問題と事後対応問題(人間的問題)について追加
更新日:2020年6月11日 コピペテキスト修飾除去に対する検知・削除は「誤検知」であったことが判明したため追記。 / ListView to CSVに対する検知・削除も「誤検知」であったことが判明したため追記。
更新日:2020年6月16日 振り返ってみての感想と苦言
更新日:2020年7月 1日 トレンドマイクロ社より本事象に関するQ&Aが公開されましたので、追加。また、回答の追記を行いました。
更新日:2020年8月10日 8月6日に、NTT西日本の「セキュリティ対策ツール」についてのユーザーへの情報公開が行われました。
更新日:2020年9月 8日 ウイルスバスターの製品の修正状況を更新しました(v15,17の対応)。
更新日:2020年10月9日 ウイルスバスターの製品の修正状況を更新しました(v16の対応)。
更新日:2020年10月23日 NTT西日本 セキュリティ対策ツールの修正状況を更新しました。これで全製品対応完了となります。
2020年5月11日以降発生していた、「NTT西日本セキュリティー対策ツール」およびトレンドマイクロ社の「ウイルスバスター クラウド」で発生するトラブルを含む、INASOFTで配布しているフリーソフトを巻き込んだいくつかの問題について記載しています。本ページで公開を開始した2020年6月8日時点では原因調査中であり、検知動作が正当かどうか(誤検知なのかどうか)も問合せ中のまま回答待ちとなっております。
⇒2020年6月11日時点で、すべて「誤検知」であったことが明らかになり、修正パターンの配布、および、ホワイトリスト登録は完了しております。ただし、「NTT西日本セキュリティー対策ツール」をご利用の方の場合は注意点があります。
■目次
■現時点での状況まとめ
現在、一部セキュリティソフト利用環境において、以下のような状況が生じることを確認しておりますので、ご注意ください。
(ただし、『注意』したところで作者およびユーザーのところではどうしようもない現象であるとも言えます)
- 遅くとも2020年5月11日以降、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」を利用している環境で、ListView to CSVでCSVファイルを出力する操作について、100回以上同じ操作をすると1回程度の頻度で、「HEU_AEGISCS230」として検知され、プログラムファイルが削除されてしまう事象が確認されております。
- 上記の挙動は、トレンドマイクロ社内のテスト環境にて、100回以上同じ操作をして1回、再現したとお聞きしております。
- 「HEU_AEGISCS230」は、挙動監視機能の結果による検出であることを示しているとのことです。(2020年5月28日問合せ、2020年6月1日回答受領)
- 100回以上同じ操作をすると1回程度の頻度であった件については引き続き調査中ですが、この検出動作そのものはトレンドマイクロ社の調査により「誤検知」だったことが明らかになっており、現在では暫定対処策として、ホワイトリスト登録が完了しています。ただし、「NTT西日本セキュリティー対策ツール」をご利用の方の場合は注意点があります。(2020年5月28日問合せ、2020年6月11日回答受領)
→トレンドマイクロ社より本事象に関するQ&Aが公開され、「100回以上同じ操作をすると1回程度の頻度」で誤検知が発生していた件については、ウイルスバスター クラウドのプログラム判定処理の誤動作が原因であることがわかりました。現在、恒久対処策として、ウイルスバスター クラウドの各バージョンの修正に取り組んでいるとのことですので、追記いたします。(2020年7月1日一般公開)
→最新の修正・配信状況については、上記のQ&Aよりご確認ください。すでに一部のバージョンは修正・配信が始まっています。(2020年9月8日一般公開、10月8日更新)
NTT西日本 セキュリティ対策ツールについては、2020年10月22日にNTT西日本のサポート情報が公開されましたので、そちらをご覧ください。すでに修正と配信は完了しているとお聞きしています。(2020年10月23日更新)
- NTT東日本の「フレッツ・ウイルスクリア」も同様の現象が起きるか問合せ、基本的にはウイルスバスター クラウドと同じであるとお伺いしております。
- 遅くとも2020年6月6日以降、「ウイルスバスター クラウド」を利用している環境で、コピペテキスト修飾除去の過去バージョン(ver.1.56.01 x64版)が、「TROJ_GEN.R002C0WF220」として検知され、ファイルが削除されてしまう事象が確認されております。
- (6月9日追記) 同じく、コピペテキスト修飾除去の最新バージョン(ver.1.56.04 x86版)の実行ファイル(exe)も、「TROJ_GEN.R011C0WF720」として検知され、ファイルが削除されてしまう事象が新たに確認されております。
- 上記の挙動は、トレンドマイクロ社内のテスト環境にて再現したとお聞きしております。
- 「TROJ_GEN.R002C0WF220」「TROJ_GEN.R011C0WF720」とは、ファイルの特徴やプログラム中のコードが、既知の不正プログラムのコードと似通っていることを示しているだけであり、「コピペテキスト修飾除去」が不正を行うことを示すものではありません。(2020年6月6日問合せ、2020年6月11日回答受領)
- トレンドマイクロ社より、この検出は「誤検知」であったことが判明したため、6月10日に修正版パターンファイルを配信したとご連絡をいただいています。(2020年6月6日問合せ、2020年6月11日回答)
- 遅くとも2020年5月18日以降、ListView to CSVのインストーラ[lvcs2.26.03_setup.exe]を実行、または、通常圧縮版(x64)[lvcs2.26.03_x64.zip]を展開しようとすると、止められてしまい、ファイルを削除されてしまう事象が発生するとお聞きしています。
- 上記の挙動は、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」とは無関係に発生する(左記ソフトを停止しても発生する)らしいことが分かってきています。
- この現象の原因および対処法は、現時点では不明です。
- この現象が発生したユーザー(1名)の環境では、止められたり削除されたりといった事象は、エラーダイアログや警告ダイアログなどのいかなるポップアップも表示されずに行われているとのことです。
- もし、この現象が再現される方がいらっしゃいましたら、あるいは、再現された際にポップアップが出たり、どこかにログが残ったりして原因がわかるという方がいらっしゃいましたら、メールまたはフィードバックよりご連絡いただければ幸いです。
一般的に、ユーザーからのウイルス対策ソフト関連のトラブルについては受け付けておりませんが、もともとこの現象を認知した際に、ウイルス対策ソフトの問題かどうかが分からないまま調査を開始し、後に、ウイルス対策ソフト関連のトラブルであるとわかったため、やむなく調査を継続しているものとなります。
■今日までの経緯と解説
まず、一般的にINASOFTでは、ユーザーからのウイルス対策ソフト関連のトラブルについては受け付けておりません。過去の足掛け3年にも及ぶ連続誤検知事件で疲れ切った経験があることや、セキュリティソフトメーカーの方との会話が非常に疲れることを知っているためです。ウイルス対策ソフト関連のトラブルであると問合せ当初から分かれば、対応をお断りする(ウイルス対策ソフトメーカーに直接問い合わせていただく)か、あるいは、ブラウザ(Google Chromeなど)が誤検知事象を起こすような状況であれば、公開しているzipファイルにパスワードを掛けるなどしてトラブルを避けるようにしています。ですが今回は、発生当初においてウイルス対策ソフト関連のトラブルであることが分からないまま調査を開始し、後に、ウイルス対策ソフト関連のトラブルであるとわかったため、やむなく調査を継続しているものとなります。よって、本ページの公開が、ウイルス対策ソフト関連のトラブルについては受け付けを開始することを示すものではありません。たとえ、同ファイルを別のウイルス対策ソフト等が「検知」をしていたことが確認できたとしても、それに対して新たに調査を開始することもありません。
本件は、先月末にブログの方で少し触れた件(カテゴリSをセキュリティソフト、Bをウイルスバスター クラウドと読み替え)となります。当時はあいまいな部分も多かったため、実名を書くことは避けていましたが、今回はユーザーからも情報公開による公開調査を望まれたということもあることや、発生からもうすぐ一か月経つにもかかわらず問題が解決するどころか他ソフトに問題が波及していっている感があることから、ユーザーへの注意喚起の意味も込めて、こちらのページでまとめることになりました。ただ、ユーザーや作者が『注意』したところで、根本解決に向けた望ましいアクションが取れるかというと、実際は難しいです。
もともとは、2020年5月11日に、あるユーザーのところで発生した、ListView to CSVの動作がなくなる現象(結果的にexeファイルが消える現象)に端を発します。
この後、5月18日にユーザーのところで、ListView to CSVがインストールできない(インストーラーが無言で動作を停止する上にexeファイルが消える現象)が発生したところで、ユーザーから作者へ問合せをいただきました。
普段は、ユーザーからウイルス対策ソフト関連のトラブル報告があっても門前払いするようにしておりますが、今回はこのように、当初、何が原因か分からない状態で問合せを受付けてしまい、途中からウイルス対策ソフト関連のトラブルであることがわかったというパターンのため、たまたま対応している状況となります。
(なので、今回たまたま対応に当たったものが再びトレンドマイクロ関連だったというだけで、他メーカーのウイルス対策ソフトにトラブルがないかというと、必ずしもそういうわけでもありません。トレンドマイクロ社の製品が飛びぬけて品質が悪いかというと、それはわかりません。ただ、今回は結果的にトレンドマイクロ社への対応となりました)
5月31日までの流れは、ブログの方で触れましたが、当初は何が原因か分かりませんでした。セキュリティソフトが動作を停止させる際、ポップアップメッセージ等を何も出してくれないためです。おそらく、ユーザーがそのように設定をしたのを忘れたのか、あるいはセキュリティソフトのバグかと想定されますが、わかりません。少なくともユーザーはそんな覚えはないとのこと。
5月20日ごろに、「NTT西日本セキュリティー対策ツール」のログに、「HEU_AEGISCS230」を検出したことを根拠にexeファイルを削除した旨の痕跡が残っていることが分かりました。「NTT西日本セキュリティー対策ツール」は「ウイルスバスター クラウド」のOEM製品であることから、トレンドマイクロ社へ問合せを出すに至りました。
5月22日に、トレンドマイクロ社に集まっている過去のログから、「ウイルスバスター クラウド」が過去にListView to CSVを複数回「検出」していることが判明しました。トレンドマイクロ社のテスト環境にて、どういった時に、どういった原因でListView to CSVを「検出」してしまうのかを確認していただいています。
なお、「検出」の原因が分かっていないことから、これが「誤検知」なのかもわかっていません。
5月27日にユーザーから連絡があり、「NTT西日本セキュリティー対策ツール」を停止していても、ListView to CSVの動作がなくなる現象(結果的にexeファイルが消える現象)が発生することが報告されました。このことから、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」は無関係である可能性が出てきましたが、ファイルを消されてしまうという事象は、別のなんらかのセキュリティソフトが影響しているのではないかと考えられます。ただし、警告ポップアップが出ないために、何が原因なのかはいまいちわかりません。ユーザーへは他にセキュリティソフトを入れていないか確認していただいています。
また、5月22日に確認中とされた事象について、いまだに返事がないことから、トレンドマイクロ社へ催促の連絡をしました。
5月28日にトレンドマイクロ社から連絡があり、「ウイルスバスター クラウド」が、『ListView to CSVがCSVファイルを出力する操作』を100回以上行うと、1回程度の頻度で「HEU_AEGISCS230」で検出し削除してしまう挙動が発生することが報告されました。よって、一転して「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」は無関係ではなかったことが明らかになりました。なお、「HEU_AEGISCS230」とは、ウイルスバスター クラウドの「挙動検知機能」の結果検出されたことを示すものであるとのことですが、その挙動が正当な動きなのかどうかについては確認中とのこと。
6月6日に、「ウイルスバスター クラウド」が、「コピペテキスト修飾除去」の過去のバージョン(ver.1.56.01 x64版)を「TROJ_GEN.R002C0WF220」として検知し、削除してしまう現象を確認。トレンドマイクロ社へ追加の問合せをしました。
また、5月28日に問い合わせた事象について、いまだに返事がないことから、トレンドマイクロ社へ催促の連絡をしました。(そもそも、5月18日に問合せをしてから3週間、問題が解決していない状況というのはいかがなものか、とも思いますが)
6月8日、ユーザーの方で5月27日以降、問題解決のための糸口がつかめないことから、本件は公開調査へ移行することになりました。
6月8日に、「ウイルスバスター クラウド」が、「コピペテキスト修飾除去」の過去のバージョン(ver.1.56.01 x64版)を「TROJ_GEN.R002C0WF220」として検知する現象が、トレンドマイクロ社内のテストにて確認されました。ただし、「TROJ_GEN.R002C0WF220」が何者か?と、この検知が正当なものかについては、トレンドマイクロ社内で確認をしていただいています。
6月8日、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、『ListView to CSVがCSVファイルを出力する操作』を「HEU_AEGISCS230」で検出する動きが「100回以上同じ操作をすると1回程度の頻度で発生する」件についての中間報告。なぜ1%程度でしか発生しないかは、原因調査中。
この「挙動検知機能」自体については、正当な動きであるとのことだが、この結果として、トレンドマイクロ社が今後どんなアクションを取って、事態の回避に向けて動いてくれるのかについては、有効な説明なし。Listview to CSV自体が不正な動きをしているわけではない。
6月9日に、トレンドマイクロ社より連絡があり、「ウイルスバスター クラウド」が、「コピペテキスト修飾除去」の最新バージョン(ver.1.56.04 x86版)の実行ファイル(exe)を「TROJ_GEN.R011C0WF720」として検知し、削除してしまう現象があることが分かりました。「TROJ_GEN.R011C0WF720」が何を意味し、この検知動作が正当なものかについては、トレンドマイクロ社へ確認中です。
6月11日に、トレンドマイクロ社より連絡があり、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、「コピペテキスト修飾除去」のver.1.56.01 x64版とver.1.56.04 x86版の実行ファイル(exe)を検知し削除していた現象は「誤検知」であったと報告を受けました。6月10日配信のパターンファイルで修正済みとのことです。
(一時期、ver.1.56.04 x64版とお知らせしておりましたが、私がリンク設定を誤って設定していたために生じていた誤解でした。正しくはver.1.56.04 x86版となります)
6月11日に、トレンドマイクロ社より連絡があり、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、『ListView to CSVがCSVファイルを出力する動作』を「HEU_AEGISCS230」で検出する動きが「100回以上同じ操作をすると1回程度の頻度で発生する」件について、そういった頻度となった理由は引き続き調査中だが、この検出動作そのものはトレンドマイクロ社の調査により「誤検知」だったことが明らかになっており、現在ではホワイトリスト登録が完了していると報告を受けました。ただし、「NTT西日本セキュリティー対策ツール」をご利用の方の場合は注意点があります。
7月1日に、トレンドマイクロ社より本事象に関するQ&Aが公開されました。ListView to CSVに対するウイルスバスター クラウドの誤動作については、現在、トレンドマイクロ社が修正中ではありますが、暫定対処策としてホワイトリスト登録が実施済みであり、本事象は暫定的に、すでに発生しなくなっております。なお、「NTT西日本セキュリティー対策ツール」をご利用の場合は、ユーザー操作が必要となります。
8月6日に、「NTT西日本セキュリティー対策ツール」についてのユーザーへの情報公開が行われました。
9月8日に、トレンドマイクロ社より本事象に関するQ&Aのページにて、ウイルスバスター クラウドの製品プログラムの修正・配信状況について更新されました。(10月8日更新)
10月23日に、NTT西日本 セキュリティ対策ツールのページにて、当該製品の修正・配信が完了した旨が発表されました。
■今日までの所感
●2020年6月9日
3週間経って、ようやくここまで漕ぎ付けられたのでまとめたのですが、逆に言えば3週間程度だとこの程度のことまでしか判明していない上に、問題解決に至っていないあたり、セキュリティソフトメーカーを相手にすることの絶望さを感じられるかと思います。
なので「あれから一ヶ月弱経っているのに、これしか判明していないのか?とか、あれから1週間以上経っているのに、これしか判明していないのか?ってか解決していないのか?」と思われたとしたら、その通りで、私もその思いです。ウイルス対策ソフトメーカーを相手に問い合わせをするということは、こういう時の流れで過ごすということに他なりません。
コンピュータの世界ならゼロイチで表されるのなら、もっとテキパキメリハリと問題解決に向かえるはずだという考えがあるなら、そんなことはないです。そもそもプログラムのデバッグみたいなものなので、非常に難しい。
回答を待っていると一週間くらい音沙汰が無くなり、催促するとようやく中間報告をしてくれるということもザラです。
で、この結果得られる回答が、結局「あなたが作ったソフトのユーザーがもっと増えれば、問題は解決します」と言われて終わりだったりとかするんで、やるせないんですよ。だから、セキュリティソフトメーカー関連のトラブルには、普段関わらないようにしています。あるいは、ブラウザ(Google Chromeなど)が誤検知事象を起こすような状況であれば、公開しているzipファイルにパスワードを掛けるなどしてトラブルを避けるようにしています。ですが今回は、発生当初においてウイルス対策ソフト関連のトラブルであることが分からないまま調査を開始し、後に、ウイルス対策ソフト関連のトラブルであるとわかったため、やむなく調査を継続しているものとなります。
なので、「あなたが作ったソフトのユーザーがもっと増えれば、問題は解決します」なんかでは終わらせるわけにはいきません。何故ウイルス対策ソフト側の仕様の不味さの尻拭いをフリーソフト作者が負わねばならんのか。そもそも、日曜プログラマの作るフリーソフトのユーザー数なんて、たかが知れてます。バージョンアップすればユーザー数もゼロリセットです。ユーザー数を増やすためにバージョンアップごとにGoogleAdに大量の金を払えということか?その費用は誰が負担する?ウイルス対策ソフトメーカーはモノ作りする上で、被害を被るソフト作者がいるという視点が抜けてるから、こんなことになる。
これが、「ウイルス対策ソフトメーカーとそのユーザー」という関係で起きているトラブルなら、「安価でウイルス対策ソフトを提供しているから、品質もそこそこ」という理論が通じると思うが、そういった関係の外側にいるフリーソフト作者に対してはその理論は通用しない。「ああ、仕方ないですね。あとはウイルスバスター クラウドという製品仕様の不備に対する負担は、フリーソフト作者が負いましょう」とでも言ってもらえるとでも思ったら大間違い。
●2020年6月10日 ListView to CSVへの「検知」に対する技術的見解と技術的問題と事後対応問題(人間的問題)
6月8日のところで、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、『ListView to CSVがCSVファイルを出力する動作』を「HEU_AEGISCS230」で検出する動きについて書いたわけですが、それについて、「挙動検知機能自体の動きは正当」「Listview to CSV自体が不正な動きをしているわけではない」と、一見すると相矛盾するような、あいまいな記述になってしまっていたので、それについての技術的見解と技術的問題と事後対応問題(人間的問題)について書きたいと思います。事後対応問題(人間的問題)に関して、私の心への受け止めに困難なところがあって、解釈に2日間もかかってしまいました。
まず、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、『ListView to CSVがCSVファイルを出力する動作』を「HEU_AEGISCS230」で検出する動きについては、ListView to CSVが「ZwWriteVirtualMemory」という関数を呼び出していることが直接的な原因になっているとのことでした。トレンドマイクロ社の示す「検出」の理由としては、次のようなものでした。
- ZwWriteVirtualMemoryは、プロセスに対してコードを挿入して実行するAPIである。
- バックドア等のマルウェアが不正な命令を実行する目的でよく使用される。
- ListView to CSVは利用者数が少ないプログラムであり、そういったプログラムがZwWriteVirtualMemoryを使うと、検出対象となる。
以上より、「トレンドマイクロ社の見解」としては、『ListView to CSVの利用者数が今後増加すれば、この検出は発生しなくなる』、とのこと。
ただし、この検出が100回に1回程度の頻度でしか起こらないことについては原因不明であるため、トレンドマイクロ社の担当チームが引き続き調査を続行している、とのこと。
ちなみに、ListView to CSVのプログラムのソースコードにはZwWriteVirtualMemoryを直接呼び出している個所はありませんが、そもそもこの「ListView to CSV」とは、他のプログラムのリストビュー等(他プロセスのメモリ内)から記載内容を読み出してCSV化することが目的のプログラムであり、そのために他プロセスのメモリにアクセスするためのAPIを呼び出していますから、他のAPIから間接的に呼び出されているものであると想定されます。なお、「プロセスに対してコードを挿入して実行する」がどういう意味かは、私はあまり理解できていません。
以上から、「挙動検知機能自体の動きは正当」であるが、「Listview to CSV自体が不正な動きをしているわけではない」という結果が導き出されます。これ自体は、初回の誤検知が発生してしまった理由付けとしては、問題はないと思います。
ただ、2点の大きな問題が残っています。
1点目は、この検出が、100回に1回程度の頻度でしか起こらないとされている点。トレンドマイクロ社のテスト環境で、実際に動かしてみると、ウイルスバスター クラウドはそういう挙動を示すとのこと。
もし、トレンドマイクロ社の主張するように、上記1~3が「正当」だということであれば、100%に近い確率で検出してもらわなければ困ります。でなければ、本来検出されるべき、悪意あるプログラムがZwWriteVirtualMemoryを呼び出した場合であっても、100回中99回は見逃すということになります。これは、「NTT西日本セキュリティー対策ツール」および「ウイルスバスター クラウド」が、100回中99回は「False Negative」(逆の誤検知による見逃し)を引き起こしていることに他なりませんから、製品の品質に重大な疑義をもたらします。
2点目は、「トレンドマイクロ社の見解」として、「ListView to CSVの利用者数が今後増加すれば、この検出は発生しなくなる」ということを対処策として示してしまった点。
一見すると正当な回答のように見えますが、それはあくまで、初回誤検知を引き起こしてしまった理由として正当なだけであって、事後対処策として示すようなものではありません。
世の中にはよく、何でもかんでも一般化して悦に浸って、目の前の問題から目をそらしてしまう人がいるのですが、今回のような場合は、まずは目の前の問題に個別対処すべきでしょう。
私もまさか、「全ての誤検知を生まれる前に消し去りたい。」のようなことを考えているわけではありません。これから起こる未来の誤検知が絶対に発生してはならないとまでは言いません。ただ、すでに起きてしまっていて、間違いが明らかな誤検知については、対処しましょうよということです。例えばホワイトリストに登録するとか。
一般的に、日曜プログラマが作成するフリーソフトなんてものは、利用者数が少ないのが普通です。ニッチなニーズに対応しているのです。ListView to CSVの最新版の公開日は去年10月であり、8か月経って「利用者数が少ない」と言われるんであれば、9か月経っても10か月経っても利用者数は少ないでしょう。今後利用者数が大幅に増加することはないでしょう。バージョンアップすれば利用者数もゼロリセットされます。トレンドマイクロ社の担当者とその上司も「List View to CSV」と、スペースを入れる場所を間違えていました。それくらい無名なんです。
そもそも、問題対処のボールはトレンドマイクロ社が握っています。担当者の一存かもしれませんが、「トレンドマイクロ社の見解」として上のような見解を述べるのであれば、「利用者数が少ない」に対して、トレンドマイクロ社はどのようにアクションするつもりなのでしょう?GoogleAdに多量の広告費を払って需要を喚起してユーザー数を増やしてくれるんでしょうか?
自分で作ったツールに対していうのもなんですが、「他のプロセスのリストビューから文字列を取得する需要がどんどん広がっていく世界」って、あるんでしょうかね。私はそういう需要の人もいるかと思ってこのソフトを公開していますが、そういう人が世の中にあふれていくようになるとは思えません。ブラウザやファイル圧縮ソフトのような大人気ソフトと同じくらいのユーザー数を獲得できるようになるようなタイプのソフトではないと思っています。
2012年の発生した連続誤検知問題のときは、当時の製品品質の悪さ("連続"誤検知の原因となった、意図しない定期的ホワイトリスト自動解除)もさることながら、トレンドマイクロ社の担当者の「塩すぎる対応」も問題となりました。今回もそれを繰り返すのであれば、トレンドマイクロ社はこの8年で全く成長していないか、8年前に戻ってしまったと思われても仕方ありません。あるいは、上の見解を会社の見解として述べてしまった担当者の個人的な問題(人間的問題)かもしれませんが、そうであれば会社の教育方針としても大きな過ちを犯しているのではないかと思われます。
繰り返しになりますが、「ListView to CSVは利用者数が少ないプログラムであり、そういったプログラムがZwWriteVirtualMemoryを使うと、検出対象となる」が、初回の誤検知発生理由としてなら通じると思います。でもそれは、事後対処には通じません。事後対処では、個別の対応として対処すべきです。「ListView to CSVの利用者数が今後増加すれば、この検出は発生しなくなる」というのは、問題の対処を作者へ丸投げする理論です。ウイルス対策ソフト側の仕様の不味さの尻拭いをフリーソフト作者に負わせることは、許されません。
実はこの問題の発生初期のころ、トレンドマイクロの担当者からは、ウイルス感染していないことが明らかなら「例外への登録をしてください」みたいなことを言われたことがありました。そもそも、作者の環境で誤検知が発生しているならそれも容易いでしょうけど、相手になるのは不特定な複数ユーザーです。ユーザー環境でウイルス感染していないことが明らかかどうかって、作者はどう見極めればよいのでしょうか? また、不特定多数のユーザーへの呼びかけについても、作者が行うべき「尻拭い」でしょうか。謎の検知メッセージが出たからと、使用を即座に諦めたユーザーもいることでしょうけど、そういった方々にメッセージを届けることはできるのでしょうか? なんだか、ウイルスバスター クラウドという製品の仕様の不味い部分の責任を、フリーソフト作者に負わせるのが当たり前みたいなことを、トレンドマイクロ社のスタッフは息をするように考えてしまうのかもしれませんけど、それは意識改革をしてほしいです。
本来なら、本ページのような、注意喚起を呼び掛けるような情報掲示も、(ユーザーからの公開調査の求めがあった時点で)トレンドマイクロ社が率先して行うべきではないでしょうか。このページの公開も、トレンドマイクロ社がフリーソフト作者に押し付けている「尻拭い」の一端な気がしており、理不尽を感じています。→こちらについては、その後、トレンドマイクロ社の方でもQ&Aページを公開することになりました。
●2020年6月11日 事後対応について
本日時点で、
- ListView to CSVでCSVファイルを出力する操作について、100回以上同じ操作をすると1回程度の頻度で、「HEU_AEGISCS230」として検知してしまう現象
- コピペテキスト修飾除去の実行ファイルを「TROJ_GEN.R002C0WF220」「TROJ_GEN.R011C0WF720」で検知して削除してしまう現象
ただし、「NTT西日本セキュリティー対策ツール」でホワイトリスト登録を有効にするには、設定画面を開き、「ソフトウェア安全性評価サービスを有効にする」をONにする必要がありますのでご注意ください。
「ソフトウェア安全性評価サービスを有効にする」は、デフォルトではOFFになっているとお聞きしています。
これをONにしないと、「NTT西日本セキュリティー対策ツール」では、引き続き誤検知が発生し続けることになります。
●2020年6月16日 振り返ってみての感想と苦言
ここまでに書いた通り、ListView to CSVとコピペテキスト修飾除去に対する「検知」については、「誤検知」であることが判明し、トレンドマイクロ社による事後対応も行われました。
ただ、今回の件を通じて、Twitter上でいくつかのツイートを拝見していて、気になったことがありました。
まず「トレンドマイクロの誤検知の件、まだ終わっていなかったのか!」というツイートを見かけたのですが、2012年に発生した連続誤検知事件のことでしたら、それは2014年に解決しています。本件は、新たに発生した「誤検知問題」となります。
次に、トレンドマイクロ社が「弊社の見解」として「ListView to CSVの利用者が増加すればファイルの検出は発生しなくなる」と言ってしまったことについて、全体としては否定しつつも、「一理ある」と書いてしまっている方がいたことも気になりました。
これまでも散々書いてきておりますが、私は誤検知の発生云々よりは、事後対応について注視しています。というか、直近ではそうしてくれないと困るわけです。現在進行形で被害発生中なのですから。
作者からすれば、ウイルス対策ソフトの一連の挙動は、いきなり殴りかかってくる暴漢みたいな存在です。そういうのがいれば、まずは殴っている行為が正当かどうかを調べ、間違いならば殴り続ける行為を止めることが重要だと思います。ところが今回のトレンドマイクロ社の事後対応を見ていると、「過去に戻って殴られないようにするにはどうすればいいか」とか「今後殴られる人が一人でも減るにはどうしたらいいか」を一生懸命考えてしまっていた感じ。
それも大事かもしれないが、まずは「殴る行為が正当か」を調べ、「殴るのを止める」ことに注力していただきたかった。「過去に戻って殴られないようにするにはどうすればいいか」とか「今後殴られる人が一人でも減るにはどうしたらいいか」を考えるのは、とりあえず後でもいい。
というわけなので、「殴られている相手が悪いのかもしれないから、とりあえず殴っていることにも一理あるな」みたいな、知識人ぶったコメントをして、あたかも「中立」を保った気分に浸っちゃだめですよ、ということです。まずは、その、殴るのを止めろよということ。そしてその「止める」ことができるのは、殴っている人だけしかできない。ウイルス対策ソフトメーカーにしかできないアクションです。
「誤検知を止めること」に対する全責任はウイルス対策ソフトメーカーにあります。「痴漢された人にも落ち度はあった」みたいな前時代的な責任論を言うかのように、「被害者にも落ち度があるから」的なスタンスで来られるというのは、ちょっと違うと思います。特に今回の場合「ウイルス対策ソフトの仕様がこうだろうから、その尻拭いはフリーソフトの作者が負うのは当たり前」みたいな、謎の空気感みたいなのを漂わせている人がいましたが、それはちょっと違う。
ウイルス対策ソフトの誤検知における事後対応は、人間的対応そのものであると考えます。逆に言えば、誤検知を起こすのは機械のやってしまうこと。
ここで会社の「人件費」のような話を持ち出すなら、機械による自動作業の部分を改善し、人間的対応を減らして人件費を抑制するというのは重要かもしれません。だからといって、現在進行形の殴り続ける行為を止めないのはダメだと思います。人間的対応をおろそかにしてはいけない。
以上を踏まえて、「弊社の見解」が「ListView to CSVの利用者が増加すればファイルの検出は発生しなくなる」という発言が最初の提案として出てきてしまったことは、非常に残念です。これが「過去に戻って誤検知を起きないようにするにはどうなっていればよかったか」であるとか「今後誤検知を起こしてしまう対象ソフトが減るにはどうしたらいいか」の中で論じられるならまだしも。
提案をするならば、例えば、今回実施していただいた「ウイルス定義パターンの更新」であるとか、「ホワイトリストへの登録」というのを提案してほしかった。そして、速やかに行ってほしかった。
にもかかわらず、人件費を抑制したいからなのか何なのか分かりませんが、「利用者が増加すればファイルの検出は発生しなくなる」などと言い放ってしまうのは、非常に残念。フリーソフトの作者にアクションを起こさせようとしてしまっている。
誤検知であったならば、その尻拭いを作者へ任せるのは完全に間違いであって、すべての責任はウイルス対策ソフトメーカーにあると考えるべきです。ウイルス対策ソフトメーカーは、自分たちに何ができるかで提案を行い、自分たちのアクションに繋げることが重要だと思います。
くりかえしになりますが、「今後同じようなことを繰り返さないためにはどうしたらよいか」を考えることそのものは間違いではありません。ただ、その前に、現在進行形で起き続けている誤検知について調べて、「止める」というのを、ウイルス対策ソフトメーカーのアクションとして、まず行ってほしかったです。
なお、今回は幸いなことに、2012年の時のように、作者の言うことは信用できない、トレンドマイクロ社が情報を出していないので信用しない、と言ってくる人はおられませんでした。この8年で、ずいぶん状況が変わったなぁと、しみじみ思います。
●2020年7月1日 トレンドマイクロ社よりQ&Aが公開されました
トレンドマイクロ社より本事象に関するQ&Aが公開され、ListView to CSVに対して「100回以上同じ操作をすると1回程度の頻度」で誤検知が発生していた件については、ウイルスバスター クラウドのプログラム判定処理の誤動作が原因であることが判明しました。現在、トレンドマイクロ社は、ウイルスバスター クラウドの各バージョンの修正に取り組んでいるとのことですので、追記します。
ウイルスバスター クラウドの各バージョンの修正中という状況ではありますが、上に書いた通り、暫定的に、ホワイトリストへの登録が行われているとのことですので、ウイルスバスター クラウドをお使いの場合は、本事象は既に発生しなくなっています。「NTT西日本セキュリティー対策ツール」をご利用の場合は、ホワイトリストを採用するにはユーザー操作が必要となりますのでご注意ください。
●2020年9月8日 修正プログラムの配信が始まりました(2020年10月9日更新、10月23日更新)
トレンドマイクロ社の本事象に関するQ&Aが更新されました。ListView to CSVに対して「100回以上同じ操作をすると1回程度の頻度」で誤検知が発生していた件について、これまでは暫定的にホワイトリスト対応しておりましたが、製品プログラムの修正・配信が順次始まった旨の報告がされましたのでお知らせします。
対象ソフトウェア・バージョン | 2020年9月8日時点でのステータス | 10月8日時点でのステータス | 10月23日時点でのステータス |
---|---|---|---|
ウイルスバスター クラウド バージョン17 | 初期状態より修正済み | ← | ← |
ウイルスバスター クラウド バージョン16 | 配信準備中 | 製品アップデートとして配信済み(バージョン番号16.0.1409) | ← |
ウイルスバスター クラウド バージョン15 | 製品アップデートとして配信済み(バージョン番号15.0.1266) | ← | ← |
NTT西日本 セキュリティ対策ツール | 続報をお待ちください | 修正および配信が完了 |
10月23日に、NTT西日本セキュリティー対策ツールについても修正および配信が完了した旨の連絡がありましたので、上記の表を更新しました。
本ページへは、自己責任の範囲内であれば自由にリンクしていただいて構いません。
本ページに掲載されている内容は、自由にお使いいただいて構いませんが、必ずしも筆者が内容を保証するものではありませんので、ご利用に際しては自己の責任においてお使いいただきますよう、お願いいたします。
このページのURLやアンカーは、サーバ運営・サイト運営・ページ運営・その他の都合により無告知で一時的あるいは永遠に消滅したり、変更したりする可能性がありますので、あらかじめご了承下さい。
本ページは、公開から1年半経過後の任意のタイミングで削除される予定です。本ページの内容は複製・公開していただいて構いません。