2004年10月06日 - ウイルスバスターによるJWORDのCnsMin.dll誤検出
JWordと言えばあまりにも評判が悪いツールなのだが、これに関して妙な記事があった。
誤検出?それは違うのでは。
もし本当に単純な誤検出であると考えるなら、それは鷹木 創記者の事実誤認だろう*1。
一般に誤検出とは、積極的誤報告(False Positive)と消極的誤報告(False Negative)を指す。前者は無実のファイルを悪質な何かとして検出した、後者はウイルスを見逃す事である。
ウイルス対策ソフトが実際にマルウェア*2の一部として利用されるファイルを検出するのは、誤検出ではない。これは正常な動作だ。
ましてやこのファイルは実際に海外にて、マルウェアの一部として扱われている。
これはセキュリティ製品としては正常な動作である。検出できなかったならば、その製品の信頼は揺らぐ。
2004年10月19日の追記-1
記事のタイトルが「ウイルスバスター2004が「JWord」をスパイウェアとして検知」に変更され、このようなコメントが書かれたので転載する。
トレンドマイクロ社ではこのようなレポートを掲載している。
ツッコミを入れるならばこれはスパイウェアではなく、ブラウザーヘルパーオブジェクト(Browser Helper Object)もしくはブラウザーハイジャッカー(Browser Hijacker)であるのだが。
上記のURLではグレーゾーンと記述されている。
しかしおなじトレンドマイクロ社のコメントであってもこちらでは少し扱いが違っていた。
(2004年10月19日の更新で、「海外のスパイウェア」などの文章は削除されたようだ)
つまりトレンドマイクロ社の見解では、3721.comのものは悪質なもの、そしてJWordのものは安全とでも言いたいらしい。
「配布元が違えば安全だ万歳だ!」ではない。
CnsMin.dllは悪質なブラウザーハイジャッカーの主要なファイルとして作成され、そして配布された。
それを契約元なり関連企業がどのように再配布しようが、セキュリティ対策製品としてはまずは全て叩き落すのが常道であろう。
もしCnsMin.dllへの対応を全て「安全なものとして見逃す」ならば。
利用者がJWord以外の「悪質なもの」に感染した場合、どのように責任を取るのか?その辺りをじっくりと考えてもらいたい。
「A社からのものは駄目だけど、B社からのものならば安全」なんて考えではイカンのだ。
3721.comとJWordそれぞれから配布されているものへの扱いの違いは、なかなかミステリアスである。
なおJWord配布元はこれを無害なものであると弁明しているが。
JWord(日本語キーワード) - ヘルプ - 技術情報: CnsMinについて(JWord)(http://www.jword.jp/help/help_faq_install_cnsmin.htm)
ウイルスバスター・PestPatrol・McAFEEでは、3721.comのは悪質なものとして考え。
そしてJWordのは「まとも」なものとして扱っているようだ。
(3721.comのはスパムメール経由で感染した事例が過去にあったという話が海外であるものの、詳細はわからない)
特筆すべきはPestPatrol。日本向け・海外向けでそれぞれ異なる方向性のアナウンスをしており、玉虫色の対応をしている。
「お知らせ -JWordご使用の方及びJWordがプリインストールされたマシンをご使用の方へ−(eTrust PestPatrol Pest Encyclopedia - CnsMin)(http://www.pestpatrol.jp/support/support_jword.html)」
またNECではJWordをバンドルしているのだが。
McAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法
(画像を見ると「不要なファイル」ではなく「ウイルス」として検出されているのだが)
2004年10月19日の追記-2
また妙な記事が掲載されているし。
鷹木 創記者に言わせてもらう。
トレンドマイクロ社は「「JWORD」自体にはアドウェア的な活動は含まれていない」ため、スパイウェア検出機能により(アドウェアとして)検出されるJWordへの対応を変更したのだ。
(接頭語がADWなのに注意!)
「スパイウェア的な活動」と鷹木氏は記事に書いたのだが、トレンドマイクロのアナウンスは以前から「JWORD」自体にはアドウェア的な活動は含まれておりませんである。
この単語の違いにより記事の読者が受ける印象がどれだけ変わるのか、考えてもらいたい。
(トレンドマイクロ社のsolution 10044の内容も、多少は問題はあったんだが)
また鷹木氏は「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とのトレンドマイクロのコメントを記載しているが、当のトレンドマイクロ社の用語集*3に書かれているスパイウェアの項目とはかけ離れている。
ユーザーがその機能を十分に周知して納得した上でインストールするならば、それはスパイウェアの定義からは(場合によっては)外れるからだ。
テクニカルタームや製品固有の単語は、正確に書くべきである。
トレンドマイクロ社のウイルスデータベースでは、アドウェアはADW、スパイウェアはSPYWの接頭語をつけて標記する。
スパイウェア(Spyware)はユーザーの意に反して個人情報を抜くものであり、アドウェア(Adware)とは端的には、広告を表示させるものである。両者は全く異なるものだ。
そしてアドウェアとスパイウェアへの世論の風当たりはまるで違うのだ。
これって風評の操作ですかね?
JWord自体はアドウェアでもスパイウェアでもない。これは個人情報を無断で送信したりはしないのだ(Vigilにて確認済み)。だからJWordはトロイでもアドウェアでもスパイウェアでもないが、ブラウザーヘルパーオブジェクト(Browser Helper Object)かブラウザーハイジャッカー(Browser Hijacker)である。
TrendMicroは今回はこのようにJWordを検出しない方向で対応したのだが。
「「JWORD」と「ウイルスバスター2004」の併用について(TrendMicro)(http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=10049)」
トレンドマイクロ社は過去にもこのようなトラブルを経験し、業者側に迎合した解決法を選びユーザーを軽視している。
TROJ_TSADBOT(TrendMicro)
*1:INTERNET Watchにメールを送ったが、この日記へのアクセスログはあったものの、返信は無かった。そしてひっそりと記事のタイトルが変更され、その後10月18日にまたおかしな続編が掲載されたのだ
*2:マルウェアとは、ウイルス・トロイ・スパイウェアなどの総称。某社の「ペスト」の方がしっくりくるんだが。
*3:トレンドマイクロ社ではスパイウェアを「ユーザのコンピュータの動きや個人情報を監視し、この種の情報をユーザの許可またはユーザに知らせることなしに送信するアプリケーション(以下略)」としている
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-06 ウイルスバスターによるJWORDのCnsMin.dll誤検出(http://d.hatena.ne.jp/LucaLuca/20041006)を修正・加筆し移転したものです。
トレンドマイクロのセキュリティ対策ソフト「ウイルスバスター2004」では、Internet Explorer対応の日本語キーワードプラグイン「JWord」をスパイウェア「ADW_CNSMIN.A」として検出してしまう。同社では、ウイルスバスター2004とJWordの併用方法を解説したWebページを公表した。
解説によると、「JWordで使用している一部のモジュールが海外のスパイウェアで利用されたため、ウイルスバスターではスパイウェアとして検出してしまう」という。
ウイルスバスター2004が「JWord」をスパイウェアとして誤検知(INTERNET Watch)
誤検出?それは違うのでは。
もし本当に単純な誤検出であると考えるなら、それは鷹木 創記者の事実誤認だろう*1。
一般に誤検出とは、積極的誤報告(False Positive)と消極的誤報告(False Negative)を指す。前者は無実のファイルを悪質な何かとして検出した、後者はウイルスを見逃す事である。
ウイルス対策ソフトが実際にマルウェア*2の一部として利用されるファイルを検出するのは、誤検出ではない。これは正常な動作だ。
ましてやこのファイルは実際に海外にて、マルウェアの一部として扱われている。
これはセキュリティ製品としては正常な動作である。検出できなかったならば、その製品の信頼は揺らぐ。
2004年10月19日の追記-1
記事のタイトルが「ウイルスバスター2004が「JWord」をスパイウェアとして検知」に変更され、このようなコメントが書かれたので転載する。
【お詫びと訂正】
記事初出時には、JWordの一部モジュールが海外のスパイウェアに利用されている旨を記載しておりましたが、その後、JWordがスパイウェアの一部モジュールを使用していることがわかりました。そのため、本文とタイトルの一部を修正いたしました。お詫びして訂正いたします。(編集部 2004/10/8 15:25)
ウイルスバスター2004が「JWord」をスパイウェアとして検知(INTERNET Watch
トレンドマイクロ社ではこのようなレポートを掲載している。
ツッコミを入れるならばこれはスパイウェアではなく、ブラウザーヘルパーオブジェクト(Browser Helper Object)もしくはブラウザーハイジャッカー(Browser Hijacker)であるのだが。
スパイウェアパターン167以降の使用時に、株式会社アクセスポート製Webツール「JWORD」内の "CnsMin.dll" が「ADW_CNSMIN.A」として検出されます。確認いたしましたところ、「JWORD」で使用している "CnsMin.dll" は「ADW_CNSMIN.A」である「3721.com(www.3721.com)」用ツールバープログラム内のモジュールと同一のものと判明いたしました。"CnsMin.dll" のモジュールは一般的にアドウェアとされるツールの一部であり、このファイルからの検出は継続してまいります。ご了承ください。
「JWORD」自体にはアドウェア的な活動は含まれておりませんのでご安心ください。
(中略)
「不正プログラム」とは断定できないグレーゾーンのプログラムのため、本来はウイルス検出の対応は行いません。
ADW_CNSMIN.A(TrendMicro)
上記のURLではグレーゾーンと記述されている。
しかしおなじトレンドマイクロ社のコメントであってもこちらでは少し扱いが違っていた。
(2004年10月19日の更新で、「海外のスパイウェア」などの文章は削除されたようだ)
「JWORD」で使用している一部のモジュールが海外のスパイウェアで利用された為、ウイルスバスターでは 「ADW_CNSMIN.A」として検出します。
(「JWORD」自体にはアドウェア的な活動は含まれておりませんのでご安心ください。)
「スパイウェア「ADW_CNSMIN.A」が検出され、結果が放置と表示されています(TrendMicro)(http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=10044)」
つまりトレンドマイクロ社の見解では、3721.comのものは悪質なもの、そしてJWordのものは安全とでも言いたいらしい。
「配布元が違えば安全だ万歳だ!」ではない。
CnsMin.dllは悪質なブラウザーハイジャッカーの主要なファイルとして作成され、そして配布された。
それを契約元なり関連企業がどのように再配布しようが、セキュリティ対策製品としてはまずは全て叩き落すのが常道であろう。
もしCnsMin.dllへの対応を全て「安全なものとして見逃す」ならば。
利用者がJWord以外の「悪質なもの」に感染した場合、どのように責任を取るのか?その辺りをじっくりと考えてもらいたい。
「A社からのものは駄目だけど、B社からのものならば安全」なんて考えではイカンのだ。
3721.comとJWordそれぞれから配布されているものへの扱いの違いは、なかなかミステリアスである。
なおJWord配布元はこれを無害なものであると弁明しているが。
JWord(日本語キーワード) - ヘルプ - 技術情報: CnsMinについて(JWord)(http://www.jword.jp/help/help_faq_install_cnsmin.htm)
ウイルスバスター・PestPatrol・McAFEEでは、3721.comのは悪質なものとして考え。
そしてJWordのは「まとも」なものとして扱っているようだ。
(3721.comのはスパムメール経由で感染した事例が過去にあったという話が海外であるものの、詳細はわからない)
特筆すべきはPestPatrol。日本向け・海外向けでそれぞれ異なる方向性のアナウンスをしており、玉虫色の対応をしている。
「お知らせ -JWordご使用の方及びJWordがプリインストールされたマシンをご使用の方へ−(eTrust PestPatrol Pest Encyclopedia - CnsMin)
またNECではJWordをバンドルしているのだが。
McAfee SecurityCenter で VirusScan を実行するとJWord の一部のファイルが「不要なファイル」と誤検出されてしまう場合の対処方法
(画像を見ると「不要なファイル」ではなく「ウイルス」として検出されているのだが)
2004年10月19日の追記-2
また妙な記事が掲載されているし。
スパイウェアパターン「167」以降のウイルスバスター2004では、JWordのモジュールである「CnsMin.dll」と「Cnsio.dll」が、スパイウェア「ADW_CNSMIN.A」のパターンファイルと一致するため、スパイウェアとして検知していた。ただし、トレンドマイクロでは、「JWord自体はスパイウェア的な活動を行なわない」とし、同社Webサイトでウイルスバスター2004とJWordの併用方法を解説していた。
その後、JWordを提供するアクセスポートとトレンドマイクロでは、ウイルスバスター2004でJWordをスパイウェアとして検知しないように協議。トレンドマイクロでは、「提供元がはっきりしており、JWordの安全性を確認したため、検知しないようにするパターンファイルの提供を開始した」という。
アクセスポートでは、「JWordで利用しているモジュールは、米Yahooの100%子会社である中国の3721 Network Softwareと共同開発したもの。ただし、日本語版はローカライズしているため、中国語版とすべて同一というわけではない」とコメント。トレンドマイクロ以外の複数のセキュリティベンダーとも、JWordをスパイウェアとして検知しないよう協議を進めているという。「多くのユーザーに不安を抱かせてしまった。今後は最善の対応をしていきたい」としている。
トレンドマイクロでは、「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とコメント。10月22日に発売する予定の「ウイルスバスター2005 インターネット セキュリティ」では、同シリーズでは初となるスパイウェアの駆除機能を搭載したが、「年末から年始にかけて、駆除したスパイウェアのリストア機能を追加する」としている。
トレンドマイクロ、JWordを検出しないウイルスバスターの定義ファイル提供(INTERNET Watch)
鷹木 創記者に言わせてもらう。
トレンドマイクロ社は「「JWORD」自体にはアドウェア的な活動は含まれていない」ため、スパイウェア検出機能により(アドウェアとして)検出されるJWordへの対応を変更したのだ。
(接頭語がADWなのに注意!)
「スパイウェア的な活動」と鷹木氏は記事に書いたのだが、トレンドマイクロのアナウンスは以前から「JWORD」自体にはアドウェア的な活動は含まれておりませんである。
この単語の違いにより記事の読者が受ける印象がどれだけ変わるのか、考えてもらいたい。
(トレンドマイクロ社のsolution 10044の内容も、多少は問題はあったんだが)
また鷹木氏は「スパイウェアは、ユーザーが納得してインストールしているものもあり、検知・駆除の判断が難しい」とのトレンドマイクロのコメントを記載しているが、当のトレンドマイクロ社の用語集*3に書かれているスパイウェアの項目とはかけ離れている。
ユーザーがその機能を十分に周知して納得した上でインストールするならば、それはスパイウェアの定義からは(場合によっては)外れるからだ。
テクニカルタームや製品固有の単語は、正確に書くべきである。
トレンドマイクロ社のウイルスデータベースでは、アドウェアはADW、スパイウェアはSPYWの接頭語をつけて標記する。
スパイウェア(Spyware)はユーザーの意に反して個人情報を抜くものであり、アドウェア(Adware)とは端的には、広告を表示させるものである。両者は全く異なるものだ。
そしてアドウェアとスパイウェアへの世論の風当たりはまるで違うのだ。
これって風評の操作ですかね?
JWord自体はアドウェアでもスパイウェアでもない。これは個人情報を無断で送信したりはしないのだ(Vigilにて確認済み)。だからJWordはトロイでもアドウェアでもスパイウェアでもないが、ブラウザーヘルパーオブジェクト(Browser Helper Object)かブラウザーハイジャッカー(Browser Hijacker)である。
TrendMicroは今回はこのようにJWordを検出しない方向で対応したのだが。
「「JWORD」と「ウイルスバスター2004」の併用について(TrendMicro)
トレンドマイクロ社は過去にもこのようなトラブルを経験し、業者側に迎合した解決法を選びユーザーを軽視している。
TROJ_TSADBOT(TrendMicro)
*1:INTERNET Watchにメールを送ったが、この日記へのアクセスログはあったものの、返信は無かった。そしてひっそりと記事のタイトルが変更され、その後10月18日にまたおかしな続編が掲載されたのだ
*2:マルウェアとは、ウイルス・トロイ・スパイウェアなどの総称。某社の「ペスト」の方がしっくりくるんだが。
*3:トレンドマイクロ社ではスパイウェアを「ユーザのコンピュータの動きや個人情報を監視し、この種の情報をユーザの許可またはユーザに知らせることなしに送信するアプリケーション(以下略)」としている
関連記事
JWordとcnsminのスパイウェア・ブラウザハイジャッカー疑惑
ブラウザヘルパーオブジェクト(Browser Helper Object)とブラウザハイジャッカー(Browser Hijacker)
JWordが勝手に・無断でインストールされる理由と経路の謎
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-10-06 ウイルスバスターによるJWORDのCnsMin.dll誤検出(http://d.hatena.ne.jp/LucaLuca/20041006)を修正・加筆し移転したものです。
