エフセキュアブログ

誤検知 を含む記事

AV-Comparativesによる現実世界のテスト結果

 AV-Comparativesは月次で「Whole Product Dynamic Real-World Protection」というテストを実施している。この組織は、2016年4月を対象とした3回目のテスト結果を今しがた公表した。そして今年これまでのところ、当社製品はよくやっており、非常に喜ばしく思っている。

AV Comparatives April Real-World test results
AV Comparativesの4月の「Whole Product Dynamic Real-World Protection」テストの結果

 AV-Comparativesの人たちは極めて網羅的なテストを実施している。現実世界の脅威に対し、セキュリティ製品がどれほど機能するかをきっちりと確かめるべく、実際に侵害されたサイトを求めてインターネットを調査して回るのだ。大抵の場合、侵害されたサイトは発見されると速やかに削除されることを考えると、これはきつい仕事だ。今回の最新のテストでは、彼らはWindows 7 SP1と、完全に更新した最新版のサードパーティ製のソフトウェア群をシステムに導入した。完全にパッチを当てられたソフトウェアを侵害し得る悪意あるサイトを見つけるのは大変だ。我々は彼らの勤勉さを称賛する。

 AV-Comparativesの今年のこのテスト全般において、当社は投げつけられた脅威を100%ブロックした(3回連続でブロックした、わずか2社のうちの1社だ!#hattrick)。しかしながら、わずかな誤検知に苦しめられた。これは主に、当社製品はサンプルの普及に基づいて決定を行うロジックを使用しているという事実による。テスト対象のサンプルの1つを目撃したことのある顧客がいなかったり、あるいは非常に少なかったりした場合には、サンプルの特異性に基づいてこれをブロックする可能性がある。当社の顧客がいまだ遭遇したことがないクリーンなサンプルを見つけたときに、Andreas Clementiと(彼らのクレジットによれば)彼のチームは、非常に狡猾なのだ。それが当該テストにおいて、当社がしばしば過検知してしまう理由である。しかし、それについて我々は大きなストレスを感じているわけではない。サンプルはいずれも重要なシステムファイルではなく、また当社製品に特別なロジックを組み込んでおり、システムやソフトウェアを破壊しかねないファイル群を決して誤検知と判定しないようにしている。結局我々にとっては、潜在的なちょっとした問題をすべて回避するよりも、出会う脅威をすべてブロックするほうが重要なのだ。

 しかし我々はそのロジックに基礎を置くわけではない。過去の投稿を思い出して頂きたい。我々は正規のファイルの収集および分析の自動化を改善する開発プロセスの途上にある。クリーンなサンプルを追い詰めたときには、Clementiと彼のチームを出し抜きたいと考えている。

 Andreasや、AV-Comparativesのすべてのスタッフに対し、彼らの行っている大変な仕事に謝意を示したい。彼らのテストは当業界には重要だ。そしてこうしたテストが我々にとって、顧客をどれだけ保護しているかについて、計り知れないほど貴重な測定結果となる。

誤検知:Exploit:JS/HuanJuanEK.A

 たった今、当社は誤検知を修正した。数多くのクリーンなWebサイトのコンテンツをExploit:JS/HuanJuanEK.Aとしてしまっていた。

 誤検知が起きるデータベースは、F-Secure Hydra 2014-12-31_02である。F-Secure Hydra 2015-01-01_01には修正がなされており、すでに公開もされている。この誤検知は、WebサイトからダウンロードされたコンテンツをスキャンするWeb Traffic Scanning機能にのみ影響を及ぼす。いまだこの検知が認められるようなら、最新のアップデートを受け取っているか確認をお願いしたい。

Hydra update

 ご面倒をかけて申し訳なく思う。それはそうと、皆様明けましておめでとう!

 -- Antti

情報セキュリティの日に

2月2日は情報セキュリティの日ということで、情報セキュリティへの意識と理解を深める日だそうです。由来はよくわかりませんが記念すべき日という事ですので、情報セキュリティへの意識と理解を深めるために普段私がやっている遊びを紹介します。
ウイルスを一つ、はじめに用意します。せっかくなのでなるべく誰が見てもウイルスだというもののほうがいいです。

vt_default

きれいにほぼすべてのアンチウイルスソフトでウイルスと判定されています。使用しているのは数年前のウイルスですが、なかなかいい素材です。
まずは簡単に検知できそうなものということで、メジャーなパッカーであるUPXでパックしたもので調査してみます。

vt_upx

しかし思ったより検知できないアンチウイルスソフトがあることがわかりました。単純にツールを使うだけでもアンチウイルスソフトをだますことができるようです。
今度は気を取り直して逆アセンブルして中身を少しだけ書き換えてみましょう。
例として、一番始めの命令を1バイトだけ書き換えてみます。

editbyimm

vt_imm

かなり減りましたね。
ラストは思考を変えて実行ファイルを壊してみます。

broken

vt_broken

もはやファイルは壊れていて実行できないので、検出しないほうが正しいのですが検知してしまいました。よくある誤検知(False Positive)というやつですね。

労力をかけて工夫していけば、どのアンチウイルスソフトにも検知されないようにもできると思います。試行錯誤しているとPEファイルの構造など、勉強にもなります。繰り返しいるうちに各アンチウイルスソフトの特徴も見えてきて、情報セキュリティへの意識と理解も深まるのではないでしょうか。

間違いだらけのGumblar対策

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。
修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染していないかを確認してください。

Q. プライベートアドレスを使っていれば、バックドアには入られませんか? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?
A. 違います。バックドアへの命令は外向きの通信のレスポンスの中に書かれているものもありますので、インターネットにアクセスできる環境であればバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコンピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性があります。

Q. 更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応するまでに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは二度とダウンロードできないようになります。最初のアクセスの時にウイルスがダウンロードされたので、二度目のアクセスの時にはダウンロードされなかったのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけというわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすでにダウンロードできなくなっている可能性が高いです。つまり、ある環境から見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q. ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知できないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
その後は、
・OSやインストールされているソフトウェアを最新版にする
・ゼロデイ情報に注意し、暫定対応を実施する
ということになります。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード