2006年04月25日 - 「マルウエア」総まとめによる解説の誤解
マルウェア(Malware:悪質なプログラムの総称)についての簡単な定義と解説をマルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)(Semplice)にて記載した経緯は、そもそもはトレンドマイクロ社とのやりとりを自分向けに整理する目的であったのだが。これらの区分・定義付けは、ウイルス(Virus)・スパイウェア(Spyware)・アドウェア(Adware)などへの対策にて適切な判断を下し対応策を練るために、またブログ中に用いられるキーワードを解説するために有用であった。
マルウェアだって?と始めて目にした方は大変戸惑ったのではないだろうか。いずこかのブログや記事を読み解く際に、用語の意味や解釈には頭を悩ませられるものだ。
様々な用語の扱いを対策側団体がとりまとめた事例としてASC(Anti-Spyware Coalitionm)のスパイウェア等の定義(Semplice)を以前紹介したが、この定義に従うサイトやメーカーは急激に増加している。
「マルウェア」。これはどこから生まれ、そしてどこへ行くのだろう。
今週のSecurity Check(第166回) 「マルウエア」総まとめ〜その特徴と分類方法〜(IT Pro)なる記事があるのだが、どうもこれが納得がいかない。高橋 正和氏(インターネットセキュリティシステムズ社・最高技術責任者,エグゼクティブ セキュリティ アナリスト)による解説記事だ。
なお予め断りを入れておくが、このITPro中の記事にては狭義・広義のスパイウェアなどは全く考慮していない。記事中のスパイウェアは「広義のスパイウェア(つまりある意味で何でもアリ)」ではなく「狭義のスパイウェア」である。ASCの解説を読んでいないのだろうか。
(今時のセキュリティ対策サイトやアンチウイルスソフトメーカーは、ASCの定義をかなり意識しており、これを激しく逸脱するようなサイトはそれほど多くは無い)
バックドア、これは単体のソフトウェアとしての解釈か?
このままだとWindowsに搭載されているリモートアシスタンスやSymantec社のpcAnywhereまで悪質なマルウェアとして含まれてしまうではないか!
商業的な・かつネットワーク管理者が業務の上で利用するようなソフトウェアで悪意のある誰かにより導入されたのでなければ、普通はバックドアとは呼称しないだろう。ASCはこれらを明瞭に区分している。
(マルウェアによって導入された「表ツール」のリモートアクセスソフトを、アンチウイルスソフトメーカーが駆除対象としない理由は、そのような背景による)
アドウェア(Adware)は「広告などを表示するプログラム」であるが、「広告などを勝手に表示するプログラム」ではない。多くのアンチウイルスソフトメーカーやセキュリティ対策サイトが言及しているように、アドウェアは無料ソフトの代償としてユーザーの理解を得た上で導入されたり、また不法行為を伴わないものも多数あるからだ。
無断・騙し・長すぎな仕様許諾説明書・アンインストールの方法を提供しないNuisance or Harmful Adware(厄介で有害なアドウェア)と、十分な説明の上でユーザーの許諾を十分に受けて導入され・またアンインストールが容易なアドウェアは、混同すべきではない。
蛇足になるのだが。信頼できるアドウェアの認定プログラム発足(ITmedia)にて紹介されている「Trusted Download Program」のような試みもあるものの、「認定に乗ずるアドウェア企業が現れる」--TRUSTeの新制度に一部から批判の声(CNET Japan)の末尾にて紹介されたように、悪質な企業が何らかの形で安全であるとの認定を受けようとする事例が多数報告されている点には注意を払わなければならない。
またドロッパーは、「他のマルウエアをダウンロードするプログラム」ではない。
ドロッパーはそれ自身が他のプログラムを内包し・また新規に作成させる機能を持つプログラムである。つまりネットワークに接続していなくても、新規に別の何かを作成するのだ。
ITPro記事中における「ドロッパ(Dropper)」の説明は、「ダウンローダー(Downloader)」の機能である。
ダウンローダーはネットワークを介して新たなプログラムをダウンロード・導入させるマルウェアである。
一例として不審なアンチスパイウェアソフトと、ZlobとCodec(コーデック)の関係(Semplice)にても触れたのだが、eCodecはドロッパーでZlobを作成し、Zlobはダウンローダーであり他のマルウェアをどんどんダウンロードし無断インストールする。
あながち間違いではないのだが。記事中で「バックドア」として扱われているRATをトロイの木馬として扱う事例が何年も前より複数存在するので、これについての言及が欲しいところだ。
つまり「ある感染様式」のものをトロイの木馬と呼称する事例と、慣用的に?リモートアクセスツールをトロイの木馬として扱う事例があるのだな。
文面そのものは、間違いではないのだが。
2001年頃には既に、フリーメールのアカウントを取得する目的の手口はあったような。
「スピア型」との類型が近年のものであるのは確かなのだが、特定個人を狙うスピア型攻撃そのものは、(スピア型との名称が存在しない時期より)割と知られているような。
表4 マルウエアの分類、これがあまりにも不適切なのではなかろうか。「動作に対する呼び方」を読んでみる。
バックドアは前述の理由で不適切な解説である。
ルートキット(Rootkit)は「バックドアの存在を隠蔽する手法・ツールの総称」ではない。これは特定のファイル・レジストリエントリ・プロセスを隠匿するためのものだ。
スパイウェアはバックドアの一種ではない(ITProの記事中にてバックドアはリモートアクセスツールとして区分されている)。
「アドウェア(の一部)」を「スパイウェア的な活動をする。」と記載していたが、「動作に対する呼び方」と明記しているのだからこれは誤りである。これはアドウェアとしての機能ではないからだ。また合法なアドウェアと不法なアドウェアをITProの記事中にて区分していなかった点にて、見直しを迫りたい。
(あるアドウェアがスパイウェアとして機能するならばだって?「動作に対する呼び方」なのだから「そのような機能」はスパイウェアに内包されるだろう)。
破壊活動。ディスクの破壊って何ですかね。ハードディスクを超高速回転させるとか?ファイルシステムやパーティションやファイルの破壊と言いたかったのだろうか。
ドロッパ(Dropper)。これはダウンローダーと混同しているのだろう。
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義
スパイウェア(Spyware)の解説と定義、概論
マルウェアだって?と始めて目にした方は大変戸惑ったのではないだろうか。いずこかのブログや記事を読み解く際に、用語の意味や解釈には頭を悩ませられるものだ。
様々な用語の扱いを対策側団体がとりまとめた事例としてASC(Anti-Spyware Coalitionm)のスパイウェア等の定義(Semplice)を以前紹介したが、この定義に従うサイトやメーカーは急激に増加している。
「マルウェア」。これはどこから生まれ、そしてどこへ行くのだろう。
マルウェア解説の微妙な記事
今週のSecurity Check(第166回) 「マルウエア」総まとめ〜その特徴と分類方法〜(IT Pro)なる記事があるのだが、どうもこれが納得がいかない。高橋 正和氏(インターネットセキュリティシステムズ社・最高技術責任者,エグゼクティブ セキュリティ アナリスト)による解説記事だ。
なお予め断りを入れておくが、このITPro中の記事にては狭義・広義のスパイウェアなどは全く考慮していない。記事中のスパイウェアは「広義のスパイウェア(つまりある意味で何でもアリ)」ではなく「狭義のスパイウェア」である。ASCの解説を読んでいないのだろうか。
(今時のセキュリティ対策サイトやアンチウイルスソフトメーカーは、ASCの定義をかなり意識しており、これを激しく逸脱するようなサイトはそれほど多くは無い)
ウイルス:記憶媒体やメールを介して自己感染を繰り返すプログラム
ネットワーク・ワーム(ワーム):ネットワーク経由で自己増殖するプログラム
受動的攻撃:受動的攻撃[注1]によって攻撃を仕掛ける,あるいは感染するプログラム
トロイの木馬:有用なプログラムなどを装って侵入するプログラム
バックドア:PCを外部から操作できるようにするプログラム
スパイウエア:PCの情報を盗み取るプログラム[注2]
アドウエア:広告などを勝手に表示するプログラム
フラッダ(Flooder):DoS/DDoS攻撃を行うためのプログラム
ドロッパ(Dropper):他のマルウエアをダウンロードするプログラム
注1 「『受動的攻撃』に気をつけろ〜その実態と対策〜」
注2 ユーザーのキー入力などを記録して盗む「キーロガー」は,スパイウエアに分類される。
今週のSecurity Check(第166回) 「マルウエア」総まとめ〜その特徴と分類方法〜(IT Pro)
バックドア、これは単体のソフトウェアとしての解釈か?
このままだとWindowsに搭載されているリモートアシスタンスやSymantec社のpcAnywhereまで悪質なマルウェアとして含まれてしまうではないか!
商業的な・かつネットワーク管理者が業務の上で利用するようなソフトウェアで悪意のある誰かにより導入されたのでなければ、普通はバックドアとは呼称しないだろう。ASCはこれらを明瞭に区分している。
(マルウェアによって導入された「表ツール」のリモートアクセスソフトを、アンチウイルスソフトメーカーが駆除対象としない理由は、そのような背景による)
アドウェア(Adware)は「広告などを表示するプログラム」であるが、「広告などを勝手に表示するプログラム」ではない。多くのアンチウイルスソフトメーカーやセキュリティ対策サイトが言及しているように、アドウェアは無料ソフトの代償としてユーザーの理解を得た上で導入されたり、また不法行為を伴わないものも多数あるからだ。
無断・騙し・長すぎな仕様許諾説明書・アンインストールの方法を提供しないNuisance or Harmful Adware(厄介で有害なアドウェア)と、十分な説明の上でユーザーの許諾を十分に受けて導入され・またアンインストールが容易なアドウェアは、混同すべきではない。
蛇足になるのだが。信頼できるアドウェアの認定プログラム発足(ITmedia)にて紹介されている「Trusted Download Program」のような試みもあるものの、「認定に乗ずるアドウェア企業が現れる」--TRUSTeの新制度に一部から批判の声(CNET Japan)の末尾にて紹介されたように、悪質な企業が何らかの形で安全であるとの認定を受けようとする事例が多数報告されている点には注意を払わなければならない。
またドロッパーは、「他のマルウエアをダウンロードするプログラム」ではない。
ドロッパーはそれ自身が他のプログラムを内包し・また新規に作成させる機能を持つプログラムである。つまりネットワークに接続していなくても、新規に別の何かを作成するのだ。
ITPro記事中における「ドロッパ(Dropper)」の説明は、「ダウンローダー(Downloader)」の機能である。
ダウンローダーはネットワークを介して新たなプログラムをダウンロード・導入させるマルウェアである。
一例として不審なアンチスパイウェアソフトと、ZlobとCodec(コーデック)の関係(Semplice)にても触れたのだが、eCodecはドロッパーでZlobを作成し、Zlobはダウンローダーであり他のマルウェアをどんどんダウンロードし無断インストールする。
トロイの木馬については,いずれの意味でも使われる場合がある。(1)「ユーザーをだまして実行させる(ソーシャル・エンジニアリングを使う)」といった感染活動をするマルウエアを指す場合と,(2)「ユーザーが意図しない動作(活動)をする」マルウエアを指す場合である。いずれの使い方でも誤りではないが,本稿では(1)のようなマルウエアをトロイの木馬と呼ぶ。
今週のSecurity Check(第166回) 「マルウエア」総まとめ〜その特徴と分類方法〜(IT Pro)
あながち間違いではないのだが。記事中で「バックドア」として扱われているRATをトロイの木馬として扱う事例が何年も前より複数存在するので、これについての言及が欲しいところだ。
つまり「ある感染様式」のものをトロイの木馬と呼称する事例と、慣用的に?リモートアクセスツールをトロイの木馬として扱う事例があるのだな。
スピア・フィッシングは,まだあまり一般的ではないが,「特定の組織や個人を狙った,トロイの木馬を含んだ電子メールによる攻撃」と定義できる。スピア・フィッシングは2005年6月以降,各国のセキュリティ組織やベンダーが相次いで注意喚起している[注5]。
今週のSecurity Check(第166回) 「マルウエア」総まとめ〜その特徴と分類方法〜(IT Pro)
文面そのものは、間違いではないのだが。
2001年頃には既に、フリーメールのアカウントを取得する目的の手口はあったような。
「スピア型」との類型が近年のものであるのは確かなのだが、特定個人を狙うスピア型攻撃そのものは、(スピア型との名称が存在しない時期より)割と知られているような。
まとめ画像があまりにも納得できない
表4 マルウエアの分類、これがあまりにも不適切なのではなかろうか。「動作に対する呼び方」を読んでみる。
バックドアは前述の理由で不適切な解説である。
ルートキット(Rootkit)は「バックドアの存在を隠蔽する手法・ツールの総称」ではない。これは特定のファイル・レジストリエントリ・プロセスを隠匿するためのものだ。
スパイウェアはバックドアの一種ではない(ITProの記事中にてバックドアはリモートアクセスツールとして区分されている)。
「アドウェア(の一部)」を「スパイウェア的な活動をする。」と記載していたが、「動作に対する呼び方」と明記しているのだからこれは誤りである。これはアドウェアとしての機能ではないからだ。また合法なアドウェアと不法なアドウェアをITProの記事中にて区分していなかった点にて、見直しを迫りたい。
(あるアドウェアがスパイウェアとして機能するならばだって?「動作に対する呼び方」なのだから「そのような機能」はスパイウェアに内包されるだろう)。
破壊活動。ディスクの破壊って何ですかね。ハードディスクを超高速回転させるとか?ファイルシステムやパーティションやファイルの破壊と言いたかったのだろうか。
ドロッパ(Dropper)。これはダウンローダーと混同しているのだろう。
関連記事
マルウェア(Malware)の定義(ウイルス・スパイウェア・アドウェア)
ASC(Anti-Spyware Coalitionm)のスパイウェア等の定義
スパイウェア(Spyware)の解説と定義、概論
この記事へのコメント
ディスクの破壊。。。確かにジャンプして表を見てきましたが変ですね。
これでは、物理的に力がかかって壊れるという意味にとれてしまいます。不思議。
これでは、物理的に力がかかって壊れるという意味にとれてしまいます。不思議。
Posted by mash
at 2006年04月25日 09:01
真面目な話としてですが。
ハードウェアを破壊するマルウェアは存在し得るんでしょうか、ひょっとしたらば。
スピーカーならば破壊できそうな気がします。
ハードウェアを破壊するマルウェアは存在し得るんでしょうか、ひょっとしたらば。
スピーカーならば破壊できそうな気がします。
Posted by Luca
at 2006年04月25日 20:57
スパイウェアやアドウェアをマルウェアに入れてしまうのは納得できないですよね。
ウイルスベンダーの言うスパイウェア、アドウェアは決してマルウェアではないし、スパイウェアベンダーが使うところの広義のスパイウェアは両方含んでいる。
そのあたりの考え方の違いを明確にしないと、混乱するのではないでしょうか?
BIOSを破壊するマルウェアはありますよね。
ウイルスベンダーの言うスパイウェア、アドウェアは決してマルウェアではないし、スパイウェアベンダーが使うところの広義のスパイウェアは両方含んでいる。
そのあたりの考え方の違いを明確にしないと、混乱するのではないでしょうか?
BIOSを破壊するマルウェアはありますよね。
Posted by nowandzen
at 2006年05月03日 21:27
スパイウェア・アドウェアは誰が・どのように・何のために導入させるのかによっては、マルウェアに含まれるのです。
ただ、アンチウイルスメーカーによる扱いなり定義は、マーケティング的な目的によるものなんではと。このブログエントリ中に含まれる関連記事及びこれを読んで下さいな。
http://blog.lucanian.net/archives/50330360.html
>BIOSを破壊するマルウェア
CIHとかありましたね。
ただ、アンチウイルスメーカーによる扱いなり定義は、マーケティング的な目的によるものなんではと。このブログエントリ中に含まれる関連記事及びこれを読んで下さいな。
http://blog.lucanian.net/archives/50330360.html
>BIOSを破壊するマルウェア
CIHとかありましたね。
Posted by Luca
at 2006年05月04日 09:01
たとえば、アンチウイルスベンダーのシマンテックがどのようにスパイウェアを分類するかは下記のURLを見てもらえば分かります。
http://www.symantec.com/region/jp/enterprise/articles/200505.html#4
まず、悪意があるかどうかで分類し、悪意のあるものはいわゆる広義のウイルスに入ります。
よって、シマンテックではスパイウェアは明らかな悪意をいえないものとなります。
これはマカフィーもほぼ同様の考え方です。
トレンドマイクロはそのあたりがぶれているようです。
よって、少なくともシマンテック、マカフィーの2社はスパイウェアは明らかな悪意のあるマルウェアの分類には決して入りません。
http://www.symantec.com/region/jp/enterprise/articles/200505.html#4
まず、悪意があるかどうかで分類し、悪意のあるものはいわゆる広義のウイルスに入ります。
よって、シマンテックではスパイウェアは明らかな悪意をいえないものとなります。
これはマカフィーもほぼ同様の考え方です。
トレンドマイクロはそのあたりがぶれているようです。
よって、少なくともシマンテック、マカフィーの2社はスパイウェアは明らかな悪意のあるマルウェアの分類には決して入りません。
Posted by nowandzen
at 2006年05月04日 22:30
すみません。上で言っているスパイウェアは狭義の意味です。
シマンテックおよびマカフィーにおいては広義の意味をスパイウェアを基本的には使用することは無いと思います。
シマンテックおよびマカフィーにおいては広義の意味をスパイウェアを基本的には使用することは無いと思います。
Posted by nowandzen
at 2006年05月04日 22:45
狭義と広義の違いをご存知ならば、nowandzenは相応の知見が備わっているように思われました。
Sempliceとnowandzenさんとの間に、スパイウェアやアドウェアの定義や前提条件の相違があるのでは、と聞いてみます。
Sempliceとnowandzenさんとの間に、スパイウェアやアドウェアの定義や前提条件の相違があるのでは、と聞いてみます。
Posted by Luca
at 2006年05月05日 22:58
Semplice的な判別ではスパイウェアは、ユーザーのログオンパスワード、オンラインゲームのIDとパスワード、メールのパスワード、個人を特定し得る情報を取得し第三者へ漏洩するソフトウェアを、狭義のスパイウェアとして扱っております。
自分は「エンドユーザーがこれらの漏洩を許諾するのはまずありえない」との前提に立っておりますので、上記の狭義でのスパイウェアはマルウェアと判別しております。
(ネットワーク管理者が利用するようなツールを違法性が無い様態で用いる場合、また社会学的な学術目的にての十分な理解を得た上で収集される情報収集ソフトウェアは、この範疇には含めず)
自分は「エンドユーザーがこれらの漏洩を許諾するのはまずありえない」との前提に立っておりますので、上記の狭義でのスパイウェアはマルウェアと判別しております。
(ネットワーク管理者が利用するようなツールを違法性が無い様態で用いる場合、また社会学的な学術目的にての十分な理解を得た上で収集される情報収集ソフトウェアは、この範疇には含めず)
Posted by Luca
at 2006年05月05日 22:59
まずこの部分、つまりnowandzenさんが考える狭義のスパイウェアとはどのようなものなのかを追記していただけませんか。
なおアドウェアですが。
こちらはリスクの強弱ではなく、インストールの経緯やその際にユーザーの適切な許諾があったのか否かを元に、これをマルウェアか否かとして判別しております。
極端な例を提示してすいませんが。Windows OSを起動し数分以内に、幾つものポップアップや怪しい「何かに感染しているぞ!」との虚偽の内容を含むダイアログメッセージが表示され、それを表示したアドウェアがユーザーが知らないうちに無断でインストールされたソフトウェアであるならば、マルウェアなのではないでしょうか。
なおアドウェアですが。
こちらはリスクの強弱ではなく、インストールの経緯やその際にユーザーの適切な許諾があったのか否かを元に、これをマルウェアか否かとして判別しております。
極端な例を提示してすいませんが。Windows OSを起動し数分以内に、幾つものポップアップや怪しい「何かに感染しているぞ!」との虚偽の内容を含むダイアログメッセージが表示され、それを表示したアドウェアがユーザーが知らないうちに無断でインストールされたソフトウェアであるならば、マルウェアなのではないでしょうか。
Posted by Luca
at 2006年05月05日 22:59
nowandzenさんは多分、マルウェアか否かよりもまず、リスクの多寡を評価すべきだとの視点に立っておられるのではないでしょうか。
その部分は自分とアプローチの手法は異なりますが、強いシンパシーを感じます。
ただ一点、マルウェアの扱いに対して誤解を解きたいのですが。
マルウェアなる用語はエンドユーザーに対する・またはエンドユーザーへの第三者からのアプローチを元に判別する用語である点で、技術的な側面からのリスク評価・リスクマネージメントとは用法や用例、扱いそのものが異なるのではないでしょうか。
その部分は自分とアプローチの手法は異なりますが、強いシンパシーを感じます。
ただ一点、マルウェアの扱いに対して誤解を解きたいのですが。
マルウェアなる用語はエンドユーザーに対する・またはエンドユーザーへの第三者からのアプローチを元に判別する用語である点で、技術的な側面からのリスク評価・リスクマネージメントとは用法や用例、扱いそのものが異なるのではないでしょうか。
Posted by Luca
at 2006年05月05日 23:01
ウイルスベンダーのスタンスはまずはマルウェアかいなかだと思います。
マルウェア(広義のウイルス)と判断した場合は、ウイルスベンダーの判断で勝手に削除が行えます。
マルウェアでない場合がリスクの評価をユーザに示し、ユーザに削除の判断を委ねます。
マルウェア(広義のウイルス)と判断した場合は、ウイルスベンダーの判断で勝手に削除が行えます。
マルウェアでない場合がリスクの評価をユーザに示し、ユーザに削除の判断を委ねます。
Posted by nowandzen
at 2006年05月10日 13:50
抽象的な議論より具体的なソフトウェアで話をした方が早いでしょう。
たとえば、Super KeyloggerとBancosで議論した場合、機能的には両方ともキーボードのログをとる機能を持っています。
しかし、BancosはユーザのPCに感染するときにトロイの木馬として感染します。
よって、これはマルウェア(広義のウイルス)で銀行のIDを盗むキーロガーの機能を持ったトロイの木馬です。
AVベンダーはこれを決してスパイウェアとは呼びません。
たとえば、Super KeyloggerとBancosで議論した場合、機能的には両方ともキーボードのログをとる機能を持っています。
しかし、BancosはユーザのPCに感染するときにトロイの木馬として感染します。
よって、これはマルウェア(広義のウイルス)で銀行のIDを盗むキーロガーの機能を持ったトロイの木馬です。
AVベンダーはこれを決してスパイウェアとは呼びません。
Posted by nowandzen
at 2006年05月10日 13:51
一方、Super Keyloggerは銀行のIDを盗むことにも使えるかもしれませんが、マルウェアではありません。また、ユーザが望まないのし、誰かにインストールされる危険性もあります。これをAVベンダーはスパイウェアと定義しています。
http://www.symantec.com/region/jp/avcenter/venc/data/jp-spyware.superkeylogger.html
一方、スパイウェアベンダーは広義のスパイウェアとして両方をスパイウェアと呼んでいます。
これがスパイウェアベンダーとアンチウイルスベンダーの立場の違いです。
Lucaさんは上記の二つのソフトウェアをどのように分類しますか?
http://www.symantec.com/region/jp/avcenter/venc/data/jp-spyware.superkeylogger.html
一方、スパイウェアベンダーは広義のスパイウェアとして両方をスパイウェアと呼んでいます。
これがスパイウェアベンダーとアンチウイルスベンダーの立場の違いです。
Lucaさんは上記の二つのソフトウェアをどのように分類しますか?
Posted by nowandzen
at 2006年05月10日 13:52
まず一点。
キーロガは狭義のスパイウェアに含まれる事例が多数あります、つまり狭義のスパイウェアにおける機能の一つとしての扱いです。
Sempliceにてもそのような扱いとしております。
商用ソフトとハックラツールとの機能面での境界が微妙な事例は多数あります。
また配布の様態が管理者によるインストールである場合と、他の何かのマルウェアによる導入、これらは区分しなければなりません。
管理者はアンチウイルスソフトの除外リストに、これらを加えるだけです。
キーロガは狭義のスパイウェアに含まれる事例が多数あります、つまり狭義のスパイウェアにおける機能の一つとしての扱いです。
Sempliceにてもそのような扱いとしております。
商用ソフトとハックラツールとの機能面での境界が微妙な事例は多数あります。
また配布の様態が管理者によるインストールである場合と、他の何かのマルウェアによる導入、これらは区分しなければなりません。
管理者はアンチウイルスソフトの除外リストに、これらを加えるだけです。
Posted by Luca
at 2006年05月10日 20:42
Deloderにより導入される事例が散見されるpsexec.exeは、1年前にDeloder感染機を修復した際にSymantec製品にてスキャンした際にはマルウェアとして検出されませんでした。
(多分今他社製品にてスキャンすれば、マルウェアとして検出されるやもしれませんが)
nowandzenさんが提示した例もそうですが、これらは一様に検出対象としてしまうよう、自分は望みます。
運営上これを利用する必要があるならば、管理者が除外リストに加えれば良いだけです。
自分は「マルウェアとして扱うのか否か」と「検出対象として扱うのか否か」、その対象は完全に同一であるとは考えてはおりません。
そもそもマルウェアとは、どのような主体による「悪意の有無の判断」に基づくものなんでしょうか。
(多分今他社製品にてスキャンすれば、マルウェアとして検出されるやもしれませんが)
nowandzenさんが提示した例もそうですが、これらは一様に検出対象としてしまうよう、自分は望みます。
運営上これを利用する必要があるならば、管理者が除外リストに加えれば良いだけです。
自分は「マルウェアとして扱うのか否か」と「検出対象として扱うのか否か」、その対象は完全に同一であるとは考えてはおりません。
そもそもマルウェアとは、どのような主体による「悪意の有無の判断」に基づくものなんでしょうか。
Posted by Luca
at 2006年05月10日 20:42
nowandzenさんが例とした2つのキーロガについて、自分はこのように考えます。
もちろんこれは普遍的な解釈ではなく、Lucaさん自身の解釈であると断りは入れておきます。
1-1)Bancosは対策ソフトにより検出対象としてもらいたい
1-2)Bancosをわざわざ管理ツールか何かとして利用する管理者が居るとは思いづらい
2-1)Super Keyloggerは対策ソフトにより検出対象としてもらいたい
2-2)Super Keyloggerは他のマルウェアにより・または悪意を持った第三者による導入は、警戒すべきである
2-3)Super Keyloggerそのものがマルウェアか否かは、導入の経路や導入者またその目的により判断が分かれる
もちろんこれは普遍的な解釈ではなく、Lucaさん自身の解釈であると断りは入れておきます。
1-1)Bancosは対策ソフトにより検出対象としてもらいたい
1-2)Bancosをわざわざ管理ツールか何かとして利用する管理者が居るとは思いづらい
2-1)Super Keyloggerは対策ソフトにより検出対象としてもらいたい
2-2)Super Keyloggerは他のマルウェアにより・または悪意を持った第三者による導入は、警戒すべきである
2-3)Super Keyloggerそのものがマルウェアか否かは、導入の経路や導入者またその目的により判断が分かれる
Posted by Luca
at 2006年05月10日 20:43
>スパイウェアベンダーは広義のスパイウェアとして両方をスパイウェアと呼んでいます。
>これがスパイウェアベンダーとアンチウイルスベンダーの立場の違いです。
nowandzenさんのコメント中で、この部分はどのような主張なのかがよくわかりませんでした。
アンチウイルスメーカーとアンチスパイウェアソフトメーカーが検出対象とする対象は、2年ほど前まではかなり乖離しており、まだまだ整理がついていないのではと。
そのような事情はご存知とは思われますが。
では「アンチスパイウェアベンダー」に対し、商業的ソフトウェアを検体として提出してみてはいかがでしょうか。
そのような検体提出の結果には、大変興味があります。
>これがスパイウェアベンダーとアンチウイルスベンダーの立場の違いです。
nowandzenさんのコメント中で、この部分はどのような主張なのかがよくわかりませんでした。
アンチウイルスメーカーとアンチスパイウェアソフトメーカーが検出対象とする対象は、2年ほど前まではかなり乖離しており、まだまだ整理がついていないのではと。
そのような事情はご存知とは思われますが。
では「アンチスパイウェアベンダー」に対し、商業的ソフトウェアを検体として提出してみてはいかがでしょうか。
そのような検体提出の結果には、大変興味があります。
Posted by Luca
at 2006年05月10日 20:43
検出対象はある部分ではダブっています。
AVベンダーの方が検出対象は広いでしょう。
特にスパイウェアの性格を持ったトロイの木馬はAVベンダーはトロイの木馬として以前よりの検出の対象です。
以前、AVの対象になっていなかったのは商業的ソフトウェアですが、現在では対象になっています。
検出対象としての整理はついていると思います。
定義がAVベンダーとスパイウェアベンダーで異なるのは立場の違いだと思います。
AVベンダーの方が検出対象は広いでしょう。
特にスパイウェアの性格を持ったトロイの木馬はAVベンダーはトロイの木馬として以前よりの検出の対象です。
以前、AVの対象になっていなかったのは商業的ソフトウェアですが、現在では対象になっています。
検出対象としての整理はついていると思います。
定義がAVベンダーとスパイウェアベンダーで異なるのは立場の違いだと思います。
Posted by nowandzen
at 2006年05月11日 11:20
商業的ソフトも提出して、それが彼らのクライテリアに入っていれば、、シマンテックではリスクのカテゴリー、マカフィーではPUPのカテゴリーで登録されますよ。
スパイウェアの分類についてはマカフィーの下記の資料のFig3も参考になります。
考え方は上に示したシマンテックの分類方法とほぼ同様です。
http://download.nai.com/products/mcafee-avert/WhitePapers/Dec_2004_VB_Spyware_Paper.pdf
スパイウェアの分類についてはマカフィーの下記の資料のFig3も参考になります。
考え方は上に示したシマンテックの分類方法とほぼ同様です。
http://download.nai.com/products/mcafee-avert/WhitePapers/Dec_2004_VB_Spyware_Paper.pdf
Posted by nowandzen
at 2006年05月11日 11:31
>pdf
面白い資料ですね、紹介していただきありがとうございます。
後日何かの折に、ネタとして利用させてもらいます。
>定義がAVベンダーとスパイウェアベンダーで異なるのは立場の違いだと思います
nowandzenさんが考える所の「立場の違い」とは、どのようなものでしょうか。
また定義の違いとは、「あるソフトウェアを検出対象とするか否か」と「あるソフトウェアを悪質なものとして扱うか否か」、いずれでしょうか。
この2点についてもう少し詳しく伺いたいんですが、お時間がありましたらば補足していただければ幸いです。
面白い資料ですね、紹介していただきありがとうございます。
後日何かの折に、ネタとして利用させてもらいます。
>定義がAVベンダーとスパイウェアベンダーで異なるのは立場の違いだと思います
nowandzenさんが考える所の「立場の違い」とは、どのようなものでしょうか。
また定義の違いとは、「あるソフトウェアを検出対象とするか否か」と「あるソフトウェアを悪質なものとして扱うか否か」、いずれでしょうか。
この2点についてもう少し詳しく伺いたいんですが、お時間がありましたらば補足していただければ幸いです。
Posted by Luca
at 2006年05月11日 21:20
定義というのはAVベンダーは決してスパイウェアを広義の意味では使わないし、マルウェアには含めないということです。
立場の違いはAVベンダーはマルウェア(広義のウイルス)を優先して分類し、その後そのフィルタから外れたものをスパイウェアやアドウェアなどのリスクまたはPUPのカテゴリーで分類するからです。
アンチスパイウェアはマルウェアの分類を先に行う必要がありません。
立場の違いはAVベンダーはマルウェア(広義のウイルス)を優先して分類し、その後そのフィルタから外れたものをスパイウェアやアドウェアなどのリスクまたはPUPのカテゴリーで分類するからです。
アンチスパイウェアはマルウェアの分類を先に行う必要がありません。
Posted by nowandzen
at 2006年05月12日 08:25
>AVベンダーは決してスパイウェアを広義の意味では使わないし
使っていますよ。
http://blog.lucanian.net/archives/50330360.html
「これに対するトレンドマイクロの返信は」以下の部分参照。
(こちらのトレンドマイクロ社への質問内容がややおかしいのは、見逃して下さい)
>アンチスパイウェアはマルウェアの分類を先に行う必要がありません。
何故でしょうか?そのような前提がどうもわからず。
Posted by Luca
at 2006年05月12日 20:57
だから、言っているようにトレンドマイクロ社は一貫性がありません。
すくなくともシマンテックとマカフィーは一貫した考え方をもっています。
彼らの本社から出てくる情報をきちんと見ていれば分かります。
スパイウェアベンダーはマルウェアもシマンテックでいうリスク、マカフィーで言うPUPがスパイウェアのカテゴリに入っているからです。
すくなくともシマンテックとマカフィーは一貫した考え方をもっています。
彼らの本社から出てくる情報をきちんと見ていれば分かります。
スパイウェアベンダーはマルウェアもシマンテックでいうリスク、マカフィーで言うPUPがスパイウェアのカテゴリに入っているからです。
Posted by nowandzen
at 2006年05月12日 22:43
ひとつLucaさんが誤解している部分があります。
マルウェアは使い方によって決まるのではなく、作者が作成したその時点で決まります。
Lucaさんは包丁が料理に使えば、有用な道具ですが、殺人に使えば、凶器というのと同じ立場です。
しかし、これは包丁という道具の分類に、その使用方法を前提として二つの分類に分かれるということになります。
マルウェアは使い方によって決まるのではなく、作者が作成したその時点で決まります。
Lucaさんは包丁が料理に使えば、有用な道具ですが、殺人に使えば、凶器というのと同じ立場です。
しかし、これは包丁という道具の分類に、その使用方法を前提として二つの分類に分かれるということになります。
Posted by nowandzen
at 2006年05月12日 22:51
シマンテックとマカフィーの資料を見てもらえば、分かると思いますが、使われ方でマルウェアかどうかの判断はしません。なぜなら、それでは分類ができなからです。
マルウェアかどうかは作者の意図できまります。
よって、上であげたSuper Keyloggerは決してマルウェアには分類されません。
Super Keyloggerの作者は有益なソフトとして提供しているはずです。でなければ犯罪です。
これはシマンテックではリスクであり、マカフィーではPUPです。
マルウェアかどうかは作者の意図できまります。
よって、上であげたSuper Keyloggerは決してマルウェアには分類されません。
Super Keyloggerの作者は有益なソフトとして提供しているはずです。でなければ犯罪です。
これはシマンテックではリスクであり、マカフィーではPUPです。
Posted by nowandzen
at 2006年05月12日 22:56
LucaさんはシマンテックがHotbarをアドウェアと呼ばせるために訴えたことはご存知でしょう。
シマンテックではリスクをマルウェアとは言っていないので、アドウェアと呼ぶことでその会社を非難していることにはならないだろうということで、アドウェアへの分類は正当だとして訴えたわけです。
よって、スパイウェアやアドウェアがマルウェアになってしまっては問題になります。
シマンテックではリスクをマルウェアとは言っていないので、アドウェアと呼ぶことでその会社を非難していることにはならないだろうということで、アドウェアへの分類は正当だとして訴えたわけです。
よって、スパイウェアやアドウェアがマルウェアになってしまっては問題になります。
Posted by nowandzen
at 2006年05月12日 23:01
飛行機の搭乗口の金属探知機で発見された包丁は包丁という分類であって、凶器ではありません。
また、持っていても決して法律違反ではありません。
しかし、リスクがあるので、持込を許可されないのです。
しかし、爆弾を持っていれば、凶器で即逮捕されるでしょう。
また、持っていても決して法律違反ではありません。
しかし、リスクがあるので、持込を許可されないのです。
しかし、爆弾を持っていれば、凶器で即逮捕されるでしょう。
Posted by nowandzen
at 2006年05月12日 23:11
他の別の場を設けてじっくりとご意見を伺った方が、自分または読者の方にとって有益な情報をより整理しやすかったんですが。
>だから、言っているようにトレンドマイクロ社は一貫性がありません。
nowandzenがアンチウイルスソフトメーカーと、アンチスパイウェア対策メーカーとの対比を持ち出され、なおかつAVベンダーがと申されたのではと。
揚げ足取りではありません、その点を誤解されたらばすいませんなんですが。
より正確を期すならば、「McAFEEとSymantec社は、マルウェア全般の定義・対処・対応に慎重な態度をとっている」とおっしゃりたいんでしょうか。
>だから、言っているようにトレンドマイクロ社は一貫性がありません。
nowandzenがアンチウイルスソフトメーカーと、アンチスパイウェア対策メーカーとの対比を持ち出され、なおかつAVベンダーがと申されたのではと。
揚げ足取りではありません、その点を誤解されたらばすいませんなんですが。
より正確を期すならば、「McAFEEとSymantec社は、マルウェア全般の定義・対処・対応に慎重な態度をとっている」とおっしゃりたいんでしょうか。
Posted by Luca
at 2006年05月12日 23:26
>マルウェアは使い方によって決まるのではなく、
>作者が作成したその時点で決まります。
nowandzenさんは、以下のような解釈なんでしょうか。
1)悪意の方がマルウェアを導入させる
2)商業的なソフトウェアを、マルウェアにより導入させる
3)(2)は検出対象とすべきだが、マルウェアではない
>作者が作成したその時点で決まります。
nowandzenさんは、以下のような解釈なんでしょうか。
1)悪意の方がマルウェアを導入させる
2)商業的なソフトウェアを、マルウェアにより導入させる
3)(2)は検出対象とすべきだが、マルウェアではない
Posted by Luca
at 2006年05月12日 23:36
あと、nowandzenさんが一貫して主張している、「アドウェアとスパイウェアはマルウェアではない」との論拠がよくわかりません。
そもそもnowandzenさんは、アドウェア・(狭義の)スパイウェアは、マルウェアではないとの立ち位置なんでしょうか?
コメントを全て読み返すとそのように解釈できてしまうんですが、どうなんでしょうか。
そもそもnowandzenさんは、アドウェア・(狭義の)スパイウェアは、マルウェアではないとの立ち位置なんでしょうか?
コメントを全て読み返すとそのように解釈できてしまうんですが、どうなんでしょうか。
Posted by Luca
at 2006年05月12日 23:40
