2007年07月30日 - 誤検出の判断 - False Positiveの責任とウイルス対策ソフトウェア
ウイルス対策ソフトウェアの誤検出と言えば、安全なものを誤った判断で危険なものとして扱い、削除・隔離するのを指す事例が多い。
未知のマルウェアを見逃した場合は、誤検出として扱われる傾向が少なく、単に製品の性能によるものとして扱われる傾向がある。
誤検出と呼称しても、下記の2つの全く異なる事例に大別される。
False Negativeは単に、マイナーなものやあまりにも最新のマルウェアであるために検出されない場合もあり、そこら辺は対策側メーカーの情報収集力や機能面に依存する部分である。
False Positive、これは判断が難しく記載も難儀ですね。積極的誤報告などとも呼ばれる。
False Positiveについて、幾つか記載する。
自分がメーカーの方より聞いたり、また話題になっていた話ではですね。
では対策ソフトウェアメーカーは、事前テストをどうやって行うんだろうか。
OSをインストールした直後、最新の状態にアップデートした状態。これであればWindows OSに備わってるファイルを悪質なものとして検知するのは十分にテストしているならば避けられそうなものですが(稀に、ドップリと大穴はありますが)。
理想的には、あらゆるソフトウェアを導入して、誤った検出事例が生じないようにコントロールするのがベストなのだろうが、実際にはそんなのは難しい。と言うか無理。
あらゆるサードパーティのソフトウェアをシグニチャファイルのリリース前に事前にテストするのは、不可能でしょうに。
大体、ユーザー毎に環境は千差万別であり、全てのまともなソフトウェアを「誤検出の無いように」テストするなんて、事実上不可能だ。
(そして中には、本当に不審なソフトウェアもあるんだろうけど)
この件では、ウイルス対策掲示板Ver.2の123氏による投稿を読んで、考え込んでしまった。
誤検出の判断はどうすべきなんでしょ?(ウイルス対策掲示板Ver.2)だ。
123氏が紹介した記事より。
「FileZilla」と「NASA World Wind」は、誰もが導入すべき代表的なソフトウェアなのかな?
エンドユーザーの大多数 - それが数パーセントか数十パーセントか知らんが - により利用されているようなものでない限り、アンチウイルスソフトメーカーが事前にテストするのは不可能なんじゃないだろうか。
サードパーティのソフトウェアに対する誤検出は、ある程度の率で生じるのは仕方ないのではなかろうか。
SANSによる元記事、Symantec False-Positive on Filezilla, NASA World Wind(http://isc.sans.org/diary.html?storyid=3150)(Googleのキャッシュはhttp://72.14.235.104/search?q=cache:jKlmaFCF1NQJ:isc.sans.org/diary.html%3Fstoryid%3D3150)の記載とほぼITmediaは同一なのだから、ITmediaについてどうこう言及するのは筋違いでした。
また原文と比較し読み返すと文意が通る内容であり、自分がどうこう言うようなものでもありませんでした。
この場をお借りしてお詫び申し上げます。
未知のマルウェアを見逃した場合は、誤検出として扱われる傾向が少なく、単に製品の性能によるものとして扱われる傾向がある。
誤検出と呼称しても、下記の2つの全く異なる事例に大別される。
- False Positive - 安全なファイルやプログラムを、マルウェアやウイルスやスパイウェアとして検知すること。
- False Negative - 端的に言うと、検出しなければならないマルウェアを見逃してしまうこと。
False Negativeは単に、マイナーなものやあまりにも最新のマルウェアであるために検出されない場合もあり、そこら辺は対策側メーカーの情報収集力や機能面に依存する部分である。
False Positive、これは判断が難しく記載も難儀ですね。積極的誤報告などとも呼ばれる。
対策ソフトウェアのメーカーは、どこまで責任を持つべきなのか
False Positiveについて、幾つか記載する。
自分がメーカーの方より聞いたり、また話題になっていた話ではですね。
- シグニチャファイル(ウイルス定義ファイル、DATファイル)にてたまたま他のマルウェアと類似するコードが含まれていたり、類似の挙動を示す場合。
- あまり関係無いけど、Internet Explorerのホームページ(起動時に表示されるページ)が空白・Blankの場合に警告するソフトウェアがありましたね。
- あまり関係無いけど、Internet Explorerのホームページ(起動時に表示されるページ)が空白・Blankの場合に警告するソフトウェアがありましたね。
- あるソフトウェアの挙動が、マルウェアと誤解されても仕方ないものであったとしても、悪意があるソフトウェアではなく商業的なソフトウェアであった場合
- 他社のシグニチャファイルや対策目的のレジストリでの設定を、忌避すべき文字列が含まれていたとの理由で不審なものと検出する場合
では対策ソフトウェアメーカーは、事前テストをどうやって行うんだろうか。
OSをインストールした直後、最新の状態にアップデートした状態。これであればWindows OSに備わってるファイルを悪質なものとして検知するのは十分にテストしているならば避けられそうなものですが(稀に、ドップリと大穴はありますが)。
理想的には、あらゆるソフトウェアを導入して、誤った検出事例が生じないようにコントロールするのがベストなのだろうが、実際にはそんなのは難しい。と言うか無理。
あらゆるサードパーティのソフトウェアをシグニチャファイルのリリース前に事前にテストするのは、不可能でしょうに。
大体、ユーザー毎に環境は千差万別であり、全てのまともなソフトウェアを「誤検出の無いように」テストするなんて、事実上不可能だ。
(そして中には、本当に不審なソフトウェアもあるんだろうけど)
この件では、ウイルス対策掲示板Ver.2の123氏による投稿を読んで、考え込んでしまった。
誤検出の判断はどうすべきなんでしょ?(ウイルス対策掲示板Ver.2)だ。
123氏が紹介した記事より。
Symantecのウイルス対策ソフトが、FTPクライアントの「FileZilla」と米航空宇宙局(NASA)の地球儀ソフト「NASA World Wind」を、誤ってスパイウェアと認識してしまう問題が報告された。
ウイルス対策ソフトの誤認識が起こる背景として、マルウェアが増加し感染ペースが速まる中、ウイルス対策ソフトメーカーにとって定義ファイル早期リリースのプレッシャーが高まっているという事情がある。結果として、すべてのソフトをテストするのは難しくなるという。
テストに時間をかけて感染拡大を許すのか、それとも誤認識の可能性があっても定義ファイル提供を急ぐのかは難しい問題だとSANSは指摘する。
Symantecの対策ソフト、FileZillaやNASAツールをスパイウェアと誤認識(ITmedia エンタープライズ
「FileZilla」と「NASA World Wind」は、誰もが導入すべき代表的なソフトウェアなのかな?
エンドユーザーの大多数 - それが数パーセントか数十パーセントか知らんが - により利用されているようなものでない限り、アンチウイルスソフトメーカーが事前にテストするのは不可能なんじゃないだろうか。
サードパーティのソフトウェアに対する誤検出は、ある程度の率で生じるのは仕方ないのではなかろうか。
2007年7月31日 - 追記事項
SANSによる元記事、Symantec False-Positive on Filezilla, NASA World Wind(http://isc.sans.org/diary.html?storyid=3150)(Googleのキャッシュはhttp://72.14.235.104/search?q=cache:jKlmaFCF1NQJ:isc.sans.org/diary.html%3Fstoryid%3D3150)の記載とほぼITmediaは同一なのだから、ITmediaについてどうこう言及するのは筋違いでした。
また原文と比較し読み返すと文意が通る内容であり、自分がどうこう言うようなものでもありませんでした。
この場をお借りしてお詫び申し上げます。
この記事へのトラックバックURL
http://app.blog.livedoor.jp/lucanian/tb.cgi/50982345
この記事へのコメント
記事タイトルに「FileZillaやNASAツール」をデカデカと掲載しているところが問題だと思いますね。
記事中に書くべきです。ただし、結局何を言いたいのか分からない記事になってましたので、ひとこと書き込んでおきましたが。
誤検出と断定しているところは、FileZillaやNASAツールが確実にヘンナモノではないと確認しているのだろうかITmediaは?
署名入り記事は、ある種の責任感の所在を現わしていますよね。署名があるとないとでは、雲泥の差があります。
記事中に書くべきです。ただし、結局何を言いたいのか分からない記事になってましたので、ひとこと書き込んでおきましたが。
誤検出と断定しているところは、FileZillaやNASAツールが確実にヘンナモノではないと確認しているのだろうかITmediaは?
署名入り記事は、ある種の責任感の所在を現わしていますよね。署名があるとないとでは、雲泥の差があります。
Posted by ベルモンツ
at 2007年07月31日 13:28
記事や原文の読み込みが不十分で浅かったため、解釈が不適切でした。
急ぎ内容を修正させていただきます、すいませんでした。
急ぎ内容を修正させていただきます、すいませんでした。
Posted by Luca
at 2007年07月31日 19:07
引用する場合、どう記事を読み抜くかですね。
私の場合、WEBの記事を鵜呑みにすることはなく、自分で解釈しますので大丈夫ですけど。
その意味では、ITmedia自身も単に引用しただけなのか?
個人サイトではないのだから、単なる引用ではダメだと思いますが。
尤も、発信元の記事ですらあてにはなりませんけどね。
私の場合、WEBの記事を鵜呑みにすることはなく、自分で解釈しますので大丈夫ですけど。
その意味では、ITmedia自身も単に引用しただけなのか?
個人サイトではないのだから、単なる引用ではダメだと思いますが。
尤も、発信元の記事ですらあてにはなりませんけどね。
Posted by ベルモンツ
at 2007年07月31日 20:31
原文の引用部分の直後を読んだらば、全く印象が違う記事であったと気付きました。
SANSの元記事はより素晴らしい内容で、多くの示唆に富んだものでした。
孫引き(元記事を十分に読まず記載する行為)は、リスキーですね。
大変反省しております。
SANSの元記事はより素晴らしい内容で、多くの示唆に富んだものでした。
孫引き(元記事を十分に読まず記載する行為)は、リスキーですね。
大変反省しております。
Posted by Luca
at 2007年07月31日 21:08
