Semplice - SiteAdvisorの「Safe」はそれほど安全ではない

SiteAdvisorとは - エンドユーザーに危険なサイトを知らせるサービス、ではあるものの

　SiteAdvisorをご存知だろうか？これはネット上の危険サイトなり安全なサイトをエンドユーザーに知らせるためのサービスである。以前は全て英語だったため日本の利用者にはやや難があったのだが、ついぞ最近いつの間にか日本語化されたため、今後日本国内にても利用者は増加するだろう。
　（現在はMcAFEE社に買収されている）
　なお付記しておくが、正しくはSiteAdvisorであり、SiteAdviserではない。http://www.siteadviser.com/に接続すると、http://www.siteadvisor.com/にリダイレクトされるだろう。

　基本的な利用法は、Internet Explorer向けSiteAdvisor Plug-inをインストールするとブラウザの付加機能（ブラウザヘルパーオブジェクト）として働き、GoogleまたはMSNサーチ検索時に安全・または危険サイトとしての評価を表示する。
　また危険扱いされたサイトよりのファイルをダウンロードする際に警告画面を表示し、更にはInternet Explorerの脆弱性を利用するような危険なサイトへの接続時には、警告画面を表示しユーザーに注意を促すだろう。

　一例として、ttp://www.cyberdefender.com/internet-security-company/products.htm　（URIのhttpよりhを一つ除いた）を表示したらば、赤い表示が掲載されるだろう（Warnings inform）。これはcyberdefender.comが危険サイトとして登録されており、それを反映したものである。
　詳細情報はView Site Detailsを押せば表示される。
　また危険サイト扱いされた場所より何かのファイルをダウンロードすれば、いきなり過激な表示が出てくる場合もあるだろう。

McAfee SiteAdvisorによる色別評価について

　予備知識として簡単に説明する。
　緑：「重大な問題は見つかりませんでした。」の意味。後述するがこれは、安全であると保証するものではない。
　黄色：疑わしいサイトの意味
　赤色：危険・罠入り・騙しサイトなど、ユーザーにとっては安全ではないサイトだが、Reviewerによる評価のみの場合は、たまーに微妙な場合もある。
　灰色：まだ検査されていない・レビューがついていないなどの意味だが、何故か表示が灰色なのに評価ページは他の色であるなど、多少問題がある場合も

SiteAdvisorによる警告の例

　SiteAdvisor導入後に、どのような挙動となるのかを簡単に報告する。

検索エンジン利用時の警告

　Googleにてxfreehosting.comを検索してみよう。
　検索結果ページにて表示された赤いバツ印にマウスのカーソルを合わせると、このような表示が出るだろう。

　英語版OSでは、このようになる。

McAfee SiteAdvisorのエクスプロイト警告（Exploit Warning）

　もしも君が危険なサイト、一例としてxfreehosting.comをブラウザにて表示しようと試みたらば、SiteAdvisorは警告画面を表示しブロックするだろう。

　英語版OSならばMcAfee SiteAdvisor - Exploit Warning」のタイトルで、「xfreehosting.com may cause a breach of browser」と警告されるだろう。

McAfee SiteAdvisorの安全性情報（Safety info）による「危険サイト報告」

　ttp://www.cyberdefender.com/ （URIよりhを抜いてある）を表示しようとすれば、君は「McAfee SiteAdvirosによる安全性情報」「信頼できるユーザー報告によると、このサイトは1つ以上の問題のある行為または好ましくない行為を行います」との表示が出るだろう。
　（CyberDefenderについては、CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?とCyberDefender AntiSpyware 2006 inn't trusted anti-spyware software!!!を参照してもらいたい。タイトルは英語だが本文は日本語である）

　英語版OSならば、「McAfee SiteAdvisor Safety info」「Feedback from credible users indicates this site engaged in one or more negative or undesired activities.」と表示される。


　前述のエクスプロイト警告の場合はInternet Explorerによる表示そのものをブロックしたのだが、SiteAdvisorの登録ユーザーにより危険サイトとして報告された場合は、警告は出るものの表示はブロックされないのだ。
　これは判断が難しいのだが。SiteAdvisorの報告者が全て適切な情報を提示しているとは限らないし、表示をブロック（つまり100%の確度で危険と扱う）のは難があるのだろうか。

McAfee SiteAdvisorによるサイト評価を見てみる

　一例として危険サイトとして扱われる、xfreehosting.comに関する評価を見てみよう。

　McAfee SiteAdvisorのトップページに表示される、「サイトレポートを検索（英語版表記ではLook up a site report: ）」にxfreehosting.comと入力しGoを押す。

　するとhttp://www.siteadvisor.com/sites/xfreehosting.comが表示されるだろう。

自動安全性検査（Automated Web Safety Test）

　自動安全性検査はユーザーよりの申請があったサイトを、McAfee SiteAdvisorが自動的にスキャンし評価した結果である。
　後述するがユーザーより申請があっても即座にスキャンされるのではなく、場合によっては2ヶ月以上放置されたりする場合もあるのだ。理由はよくわからない。
　まずは結果をじっくりと眺めてみよう。

ブラウザ攻撃（Browser exploit）

　この場合のブラウザ攻撃、つまりエクスプロイト（Exploit）は、ブラウザの脆弱性を突き悪質なプログラムをインストールさせたり、ブラウザやパソコンの設定を変更するようなものと考えてもらいたい。
　基本的にこの手のエクスプロイトが仕込まれているサイトは安全ではなく、危険な罠サイトである。君が何らかの理由でわざわざ罠サイトを閲覧する必要が無いならば、見る必要は無いだろう。

E メール検査（e-mail tests）

　このサイトにメールアドレスを登録した際に、どれだけのメールが（誰かより）届くのかを指す。
　送信者はサイト運営者とは限らず、メールアドレスを収集しスパムメールを送信する目的のサイトを検出するためにそれぞれ独自のメールアドレスを登録しテストしているようだ。

　稀には、やたらと多くのメールを「ユーザーへのお知らせ」とか「何とか通信」の名目で送信したがるようなサイト - 悪質なものでなくても - にて、常識的に甘受できる数を超える件数のメールを超えた場合は、迷惑メール送信サイトとして扱われるだろう。
　そのような理由のためメルマガ登録フォームがあるサイトでは、いかがわしくは無いサイトであっても厳しい評価を得る場合がある。

ダウンロード検査（Download tests）

　サイトよりリンクが貼られている実行形式ファイルなどを探し、これをスキャンする。
　ダウンロード検査についてはこのように説明されているのだが。


　実はこのダウンロード検査は、それほど確度が高くは無い。
　多くの場合、危険な罠ファイルを安全であるとみなしてしまうのだ。この理由はよくわからないのだが、将来McAFEE社がシグネチャファイルを提供するようになれば解決するのだろうか。
　（この問題については後述する）

リンク先（Online affiliations）

　どのようなサイトへリンクが貼られているのかを示す。
　困った話なのだが、一部のセキュリティ対策サイトは悪質サイトへのアンカーを多数含むため、一見するといかがわしいサイトのドアページか何かと誤解される場合がある。
　#つまり怪しいサイトへ誘導する目的の不審サイトと誤解される場合があるのだ。

迷惑行為（Annoyances）

　異常な数のポップアップ表示やサードパーティのトラッキングクッキーなど。

レビュー協力者と Web サイトオーナーのコメント（Reviewer and Web site owner comments）

　Reviewerによる評価とWebサイトオーナーによるコメントは、このSiteAdvisorの華であり、最も主要な部分である。
　君がReviewerとして登録しておりログオンしたならば、サイトへのレビュー、つまり評価目的のコメントを残せるだろう。

　ratingにはGood（緑のチェック）とそうではないもの（赤いもの）の2タイプの評価が表示されるだろう。

レビュー協力者（Reviewer）の評価スコア（Reputation score）

　個別のレビューを眺めると、評価スコアなる項目がレビュアーごとに設定されているのに気付くだろう。
　SiteAdvisor Reviewers (McAfee SiteAdvisor)にはレビュー協力者は3つのランク、Reviewer・Experienced Reviewer・Expert Reviewerが記載されている。
　上位カテゴリに属するレビュアーによる評価は、強い影響力を持つ。それとは逆に、登録したばかりのレビュアーがいずこかのサイトを危険と評価しレビューを書いたとしても、ほとんどの場合何の影響も及ぼさない。言い方は悪いが、無視に近いのだ。
　このような仕組みは、イタズラ目的で登録しデタラメな投稿を行うようなユーザーを排除できるし、一見すると合理的に思われる。

　そして重要な点なのだが。視点を変えると、ランク付けは必ずしもレビュアーによる投稿内容の確度を反映はしないのだ。
　一部のレビュアーは論拠を示さないコメントに留まり、情報としての価値は高くは無いだろう（具体的にどのような問題が生じた・アンチウイルスソフトで何が検出されたまで書くレビュアーは極めて少数である）。

　またスパム扱いはどうなんだろうか？一例としてどこかのブログやスパムにて宣伝されていたとの事例を持って、いきなり危険扱いしネガティブな評価を投稿する投稿者が居たとしたらば？
　このような宣伝は必ずしもサイト運営者や企業が直接行っているとは言い切れず、場合によっては悪質な広告代理店が勝手に行っている場合もあり得るだろう。
　言い換えると、悪意を持った誰かがまともな・犯罪行為とは無関係の・普通の企業をターゲットとし、この評価を貶める目的で怪しい宣伝を繰り返したらば、正義感の強い方が「スパムとして報告する」可能性が無きにしもあらず。

SiteAdvisorにおける、引用の無い評価投稿について

　この問題については以前より知人とやりとりしていたんですが。
　そもそも伝聞に過ぎない情報と、Reviewerが自身で体験した情報、この価値は同等の価値を有しない。

　Reviewerの大部分は自身が直接体験した話を記載している。そうでなかったとしても、ネタ元となるサイトの内容を転載しそのURIを記載する方も居るのだが。
　中には単なる伝聞を記載し、または思い込みに過ぎない情報を記載する者も居るだろう。

　これらの評価・投稿をどのように考えるべきなのか。これはSiteAdvisorを利用する一人一人の冷静さと判断力に依存するだろう。

　#ここで書くべき話ではないのだが。自分を含め幾人かの多くの一次情報を発表している知人らは、一部のReviewerに対して微妙な感覚を感じている。
　#何かを勘違いした方が - それが善意に基づく行動であったとしても - ある問題を提起した一次サイトの話題を要約・転載するのは、その要約が不適切であったらば閲覧者の誤解を招く可能性もあるだろう。

SiteAdvisorによるサブドメインの扱い

サブドメインの評価について

　一部のポータルサイトや手広くWeb上でサービスを提供している企業にては、サブドメイン「a.example.com」「b.example.com」「c.example.com」などがまとめて危険サイト扱いされる場合もよくあるだろう。
　これはいずれかのサブドメインにて提供されるサービスに対する評価が、他のサブドメインへの自動的な評価に影響を及ぼしたからだ。
　その他のサブドメインが詳細な精査を受ければ解決されるとは思われるものの、ギョッとするユーザーも居るだろう。

　サブドメインごとに危険か否かを判別する場合は、どうなのか。あるサブドメインdanger.example.comが危険だったとして、safe.example.comはどのように評価されるのかとの点なのだが、これについての説明を抜粋する。

Sub-domains will inherit our rating of the top-level domain unless we have manually designated a Web site for sub-domain testing and analysis.
For example, we've tested thousands of sites with Geocities, Blogspot, and Tripod addresses.
Our site report page for livejournal.com reflects our overall rating for the Web safety threats at all livejournal.com Web sites.
This domain will likely be broken out for separate sub-domain testing in the future.
＜和訳＞
　サブドメインのテストと分析のためにWebサイトを手動で指定しない限りは、サブドメインは我々のトップレベルドメインへの評価を継承するだろう。
　例えば我々は、Geocities、BlogspotとTripodの何千ものアドレスをテストした。
　livejournal.comへの我々によるサイトのレポートページは、livejournal.comにおける全てのWebサイトへの、Webにおける安全性への脅威のための我々の全体的評価を反映するだろう。
　将来には、このドメインは多分、サブドメインのテストにて（訳注：危険なサブドメインのサイトと、危険とみなされなかったサブドメインのサイトを）分けられるだろう。
　How does SiteAdvisor differentiate between top-level and sub-domains? (SiteAdvisor)

　一例としてurapan.zone.ne.jpはコメントによる評価より危険扱いされているものの、これをホスティングするzone.ne.jpまた関連サイトの多くは安全とされている。

Site Advisorの評価はどこまで信頼できるのか？検出・評価の仕組みと問題点

実行形式ファイルやソフトウェアについての評価

　君はある日Google検索し・またはいずこかのリンクを踏み、あまりにも不審・もしくは明らかに詐欺・マルウェアを導入させるサイトと出くわしたとする。
　。。。。。。。そして君は多くの事例にて、SiteAdvisorは全く警告を出さないのに気付くだろう。
　一例として、パソコンの設定を改変する実行ファイルの幾つかは、何故か警告対象とならない。その他多くのマルウェアにてもだ。

　わかりやすい例として以前Sempliceにて扱ったCyberDefender関連であるのだが、これはサイトが安全ではないとの扱いを受けており、そしてCyberDefender AntiSpyware 2006は多くのアンチウイルスソフトメーカーやスパイウェア対策ソフトメーカーにより検出・駆除対象とされているにも関わらず、「表示を強制ブロック」ではなく「表示した際に警告を表示」に留まる。
　#CyberDefender AntiSpyware 2006 show a fraudulent warning... is it bogus ware?とCyberDefender AntiSpyware 2006 inn't trusted anti-spyware software!!!参照


　（CyberDefenderの当事者がコメントを掲載しているのは、ある意味で笑ってしまうのだが）
　その他多くのいかがわしいソフトウェア（所謂BoguswareやRogueware）配布サイトにても、その製品が明らかにインチキだったとしても、多くの場合は「表示を強制ブロック」扱いはされないだろう。

ワンクリウェアには無力なSiteAdvisor

　アダルトサイトの中にはワンクリサイトとして区分されるサイトがある、これは閲覧者を騙し何らかの悪質なソフトウェアを導入させ、エンドユーザーが望まない契約を無理矢理結び・または結んだように錯誤させ、代金の支払いを強要するものである。
　（ワンクリック詐欺、ワンクリウェアなるもの参照のこと）

　日本国内にてワンクリウェアの話題を最も精力的に扱い、そして信頼できるソースとして、abcdefのワンクリウェア試験記録が第一にあげられるだろう。
　2006年5月中旬、亜種報告＆速報掲示板（読み出しのみ）（abcdefのワンクリウェア試験記録）に掲載されているワンクリサイトのURIを50番まで片っ端から試したのだ。
　SiteAdvisor登録ユーザーによるネガティブな評価コメントがあるものはいずれも危険扱いされたものの、コメントが無いものは全て不明扱いで「This site has been queued for testing. Please come back soon for automated results.」だったのだ。

　そこで2006年5月21日、これらのワンクリサイトをことごとく「Submit domain for review」申請してみたのだ。
　しかしながら、2ヶ月以上経っても自動安全性検査（Automated Web Safety Test）が行われないサイトもあったり、また行われたとしても「このサイトは検査済みです。重大な問題は見つかりませんでした。」として安全扱いされるサイトもあったり。
　この結果に対しては、どう考えたらよいのか大変悩みまして。
　アンチウイルスソフトメーカーに検体を提出し対応を促す草の根的な活動をabcdefさんは行っており、その結果として多くのワンクリサイトが配布するワンクリウェアはアンチウイルスソフトにより検出されてはいるんですが。
　何故にMcAfee SiteAdvisorはワンクリウェアを検出・警告しないのだろうか？
　（注：現在では一部のURIは、サイトそのものが消失している）

　なおワンクリウェアに対して不十分である点は、星澤裕二氏が「SiteAdvisor」でワンクリック詐欺サイトを検出できるか？（星澤裕二のSecurityWatch）にても最近報告されている。

自動安全性検査（Automated Web Safety Test）の信頼性

　Automated Web Safety Test、特にDownload-testsの結果がよくわからない。これは一部の危険な実行ファイルは安全扱いであり、また多くのワンクリウェアも安全扱いなのだ。

　そこでBen Edelman氏に質問してみたのだが。
　（氏は悪質サイトや詐欺サイトへの社会学的アプローチに取り組んでいる個人としては最も著名な人物であり、SiteAdvisor関連でも大変有意義なレポートを複数報告している）

　Ben Edelman氏によればSiteAdvisorは（アンチウイルスソフトによるスキャンのような）シグネチャベースではなく、特定のレジストリエントリを変更するか否かなどの点を監視しているとの事だ。
　これらに引っかかるのはエクスプロイト警告（Exploit Warning）や、Download tests にて危険扱いされる一部の・本当に一部の危険ファイルに留まるのだろうか。

　SiteAdvisorにては、このように説明されているのだが、その閾値（どれ以上ならば危険なのか）のようなものが自分が期待したレベルではなかったようだ。

We compare file system and registry changes along with network traffic to our proprietary database of known signatures of programs considered by some to be spyware, adware or other sorts of unwanted code.
In addition, we look for a variety of program behaviors that are often considered suspicious such as changes to your browser home page or default search engine.
＜和訳＞
　我々はネットワークトラフィックと共にファイルシステムとレジストリ変更の変更を、spyware・Adwareまたはその他の種類の望まれないコードなどとして考えられるプログラムの既知のシグネチャに関する我々が所有するデータベースとを比較する。
　更には、我々はブラウザのホームページやデフォルトのサーチエンジンを変更するような怪しいと判断されるようなプログラムの挙動を探すだろう。
　How do you decide whether a download contains unwanted software? (SiteAdvisor)

　確かに多くの場合、ユーザーよりのリクエストがあったサイト中に含まれる実行ファイルは、SiteAdvisorによる自動的スキャンを回避してしまうだろう。
　SiteAdvisorはこれらの危険ファイルの評価はそれほど厳密にギッチリとは行わないようだ、そして取りこぼし分は登録ユーザーよりのレポートに依存している。

　#これはSiteAdvisorの確度をあれこれと取りざたするものではない。SiteAdvisorは十分な確度を得た上で、ある種のリスクを取り上げ、危険なサイトであると提示したいのだろう。

登録情報が検索できず・サイト表示時に評価が出ない場合がある

　「サイトレポートを検索」にては自動安全性検査（Automated Web Safety Test）が行われている・もしくは高ランクのレビュアーが評価したサイトでなければ、SiteAdvisorよりのサイト評価ページ検索結果に表示されない傾向があるが、この挙動がどうもよくわからない。
　（http://www.siteadvisor.com/sites/URI/ をブラウザのアドレス欄に入力し直接開けば、検索結果に表示されないサイト情報であっても閲覧できるのだが）

　また、あるサイトを申請した上で安全であるとReviewを書いたとする。このサイトの評価ページ（http://www.siteadvisor.com/sites/example.com等）を開けば、自動安全性検査（Automated Web Safety Test）が実行済みであると確認できたとする。
　ところがInternet Explorerでサイトを表示してもMcAfee SiteAdvirorツールバーは灰色「このサイトはまだ検査されていません」となっている場合もよくあるのだな。

Discussion

　McAfee SiteAdvisorはエンドユーザーにサイトの安全性評価を提示するサービスであり、検索エンジン利用時やサイト表示時に注意を促すだろう。
　自動安全性検査（Automated Web Safety Test）はInternet Explorerの脆弱性を利用し攻撃するようなサイトでは有用な警告を行うものの、危険ファイル・またアンチウイルスソフトにより検出対象とされるものは、評価にて取りこぼしが多い。

　Reviewerのコメントは必ずしも正しく・確実とは限らない。しかし多くの投稿者によるコメントが積み重なれば、その精度と信頼性は上がっていくだろう。これは所謂「口コミ」のようなものだ。
　とは言うものの、登録ユーザーによるレビューは、論拠を明確に記載し再検証が可能であるものにまず第一に着目すべきである。

　Google検索時には灰色（まだ評価されていない）扱いであっても、実際にサイトを開けばInternet Explorerのプラグインに表示される評価は、緑・黄・赤などであり評価済みである場合も多い。何か不具合があるのだろうか。

　危険なサイトが「安全」扱いされている事例を多く見かける。「SiteAdvisorにより危険とされたサイトは危険」、これは大多数の場合は間違いないだろう。だが「SiteAdvisorにより安全とされたサイト全てが安全ではない」のだ。

　そもそも緑色評価ページでの記載は「このサイトは検査済みです。重大な問題は見つかりませんでした。」である。安全であるなどとは一言も書かれていない。
　しかしReviewerによる評価にて選択できるポジティブ評価は「安全なサイト」の項目しかないのだ。これはどうもなぁ。
　この辺りがどうも、誤解を招きそうな予感がするのだ。
　ある程度の確度や確信さを指すような選択項目 - 絶対安全・多分安全・よくわからないなぁ・サイト表示そのものは安全、などが必要なのではないだろうか。全てが全て「安全なサイト」として評価されてしまえば、リスク評価は適切には行えないような予感はする。

　SiteAdvisorの利用法としては、定性的ではなく定量的評価として扱うべきである。とは言っても自動安全性検査（Automated Web Safety Test）によるブラウザ攻撃（Browser exploit）検出などの場合は、わざわざ踏む必要は無いだろう。
　結論として、SiteAdvisorによる自動スキャンの結果は、ホワイトリスト（安全なサイトを列記したもの）ではなく、ブラックリスト（危険なサイトを列記したもの）であると解釈した方が良いのだろうか。

Acknowledge and Appendix

　本来は登録サイトがどのように評価されるのか、またレビューやレーティングそしてサイト所持者による反論がサイト評価へどのような影響を及ぼすのかまで含めてブログエントリを記載する予定ではあったものの、SiteAdvisorのために新規取得したドメインと許諾を受けた上でReview申請したサイトの一部が2-3ヶ月も自動安全評価が行われないため、一旦この場にて打ち切り投稿するものである。
　そのような理由のためやや本文の内容に不十分な点があるのは、この場では甘受していただきたい。いずれ興味深い知見が得られたらば、場を改めて報告する。

　このブログエントリを掲載するに当っては、Benjamin Edelman氏より多大なアドバイスをいただきました。この場にて心より感謝いたします。

　なおBenjamin Edelman氏はThe Safety of Internet Search Engines (McAfee SiteAdvisor : May 12, 2006) などの活動で著名な人物で、検索エンジンと危険サイト問題や、いかがわしい広告とアンチウイルスソフトにより検出対象とされるソフトウェアの問題について、活発に活動している方である。
　和訳された概要としては、検索エンジンは危険なリンクでいっぱい――McAfeeが調査報告（ITmedia）を読んでいただきたい。

更新履歴

　2007年1月8日　スペルミスを修正