Author Topic: AVASTの検知範囲と、他チェックソフトとの齟齬がある場合の対処について。  (Read 6168 times)

0 Members and 1 Guest are viewing this topic.

Offline echos

  • Jr. Member
  • **
  • Posts: 62
長くなりますが、質問にお答え頂ければ幸いに存じます。
また、少々AVASTの範疇からズレてしまっているのではないか? というところがあり、もし場違いでしたら、諭して頂ければと思います。

疑問は、AVASTの検知範囲やクロスチェックで誤検知を含む検知が発生した場合の対処、また、それに関係する事柄になります。

まず先頃、昔のファイル(どこで貰った物かは失念しましたが、別の場所から持ってきた物です)を解凍すると、中身はどうやらexeファイルで、exeという先入観から中身が何か確認するのが少し懸念され、一旦外付けの媒体にファイルを移し、サブPCで中身を確認することにしました。

AVASATでは何も異常がなかったため(これはメインPCのAVASTでも圧縮状態で確認していました)、今度はオンラインのウイルスクロスチェックサイトで確認しました。

そうしたところ、この時ウイルスチェックサイトが一件だけトロイ系(?)が引っ掛かり、その他のサイトはグリーンの反応を示していました。
この際、大手のAVAST、AVG、AVIRA、カスペルスキーなどはグリーン、中国のサイトが一件だけウイルスと判定していました。

この時点では中身が怖くて確認する気が起きなかったので、今は使っていないPCにファイルを移し、そこで中身が確認できる解凍ソフト(格納ファイルの中身を一覧できるものです)で確認したところ、中には複数のファイルが入っていました。恐らく自己解凍を意図したアーカイブで、今のようにエクスプローラーから直接zipを開ける時期のファイルではないからこそだと思います。

念のため、ここに格納されていたファイルを前述と同じ手順でチェックしたところ、別のサイトが別のウイルスという結果を返してきました。

以前にもウイルスバスターを使っている際に誤検知が起きた事もあり、そうした物だとは思っています。

前置きが長くなってしまい、申し訳ありません。

この場合、

・最初、メインPCで行った一連の手順ですが、該当ファイル(zipの内部にあるexe)がウイルスだったら、ここで解凍した際、「圧縮されたファイルに格納されたウイルスは解凍するだけで感染しうる」のでしょうか?
この際、使用したのはArchive decoder v.2.04でした(中身を一覧できないソフトです)。

・次にサブPCで中身を確認しようとした際、一旦Lhaforge(解凍せずに中身を一覧できるソフト)で確認しようとしました。LhaforgeはD&Dで該当ファイルの中身をウインドウの中に示してくれるので、そこから更にLhaforgeにD&D(LhaforgeのウインドウからLhaforgeを別起動させた形になります)しました。
この際、DLLが足りなかったのか、中身を閲覧出来ないと言ったようなメッセージで警告されましたが、この場合、ファイルの中を見ようとしただけでも仮に中身がウイルスであったとしたなら、感染の危険性はあるのでしょうか?
AVASTは常に走っているため、何かあれば反応するという認識ではいるのですが。

・この次に、現在使っていないPCで上記ファイルをLhazにて中身を閲覧しました。
中身が複数のファイルであることを確認し、全部をドラッグして解凍対象として解凍しました。
この場合、圧縮ファイルから出てきたファイルがexeだったのですが、もしもこれがウイルスであれば感染の可能性はあるのでしょうか?

・一つ上の項目でファイルを解凍しましたが、この際、exeでアーカイブしてあるファイルがLhazから特にUACの警告などもなく解凍できてしまいました。
WIN7以降だと思いますが、exeファイルは実行にUACを求められる盾が付いたアイコンとなっていますが、Lhazからの解凍にはこれがなかったということは、「自己解凍形式のファイルはその実行が自己を解凍する命令を持っている(UACは実行に際して警告するだけ)だけなので、他のファイルから解凍する分にはUACが警告してこない、ということでしょうか。

一連の項目において、最終的な操作まで、一度もexeファイルそのものをダブルクリックなどはしていません。

以前にもなんの問題もない筈のファイルがウイルスとして検知されたこともあり、誤検知の可能性が高いのではないかと考えています。

また、exeファイルにおいて注意すべきは、それ自体をダブルクリックで実行してやることだと教わりました。

基本的にWINDOWSとFLASHとAVASTの状態を最新に保つ事でPCのステータスを保っている認識なのですが、今回、チェック時にもしかしてウイルスだったのかなとの疑念を抱え込んでしまい、それなら操作は大丈夫だったろうかと思い返し、場違いかもしれませんがお尋ねさせて頂きました。

念のためフルスキャンを就寝時に掛ける予定ですが、お返事など頂ければ幸いに存じます。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5513
  • Whatever will be, will be.
私なりの意見を、順にコメントしていきます。

まず先頃、昔のファイル(どこで貰った物かは失念しましたが、別の場所から持ってきた物です)を解凍すると、中身はどうやらexeファイルで、exeという先入観から中身が何か確認するのが少し懸念され、一旦外付けの媒体にファイルを移し、サブPCで中身を確認することにしました。

AVASATでは何も異常がなかったため(これはメインPCのAVASTでも圧縮状態で確認していました)、今度はオンラインのウイルスクロスチェックサイトで確認しました。

そうしたところ、この時ウイルスチェックサイトが一件だけトロイ系(?)が引っ掛かり、その他のサイトはグリーンの反応を示していました。
この際、大手のAVAST、AVG、AVIRA、カスペルスキーなどはグリーン、中国のサイトが一件だけウイルスと判定していました。
圧縮されたままスキャンをしても、デフォルト設定ではZIP等の圧縮ファイルの中身1つ1つまでは確認しないはずなので、中身の確認にはあまり意味がありません(圧縮ファイルそのものに仕込まれたマルウェアの場合は効果があります)。
これは、他社製品も似た設定の場合が多く、クロスチェックサイト(Virustotalでしょうか?)でもおそらく同様です。
中国の製品は、たまたま中身までスキャンする設定だったのか、あるいは圧縮ファイルの状態で誤検知を起こしたのか、どちらかかと思います。

なお、AVASTの場合は自己解凍形式は中身までスキャンされる設定になっており、ZIP等を解凍後に出てきた自己解凍形式のEXEファイル(この認識で合っていますか?)をスキャンした場合、中身までスキャンされることになります。

Quote
この時点では中身が怖くて確認する気が起きなかったので、今は使っていないPCにファイルを移し、そこで中身が確認できる解凍ソフト(格納ファイルの中身を一覧できるものです)で確認したところ、中には複数のファイルが入っていました。恐らく自己解凍を意図したアーカイブで、今のようにエクスプローラーから直接zipを開ける時期のファイルではないからこそだと思います。

念のため、ここに格納されていたファイルを前述と同じ手順でチェックしたところ、別のサイトが別のウイルスという結果を返してきました。
上で述べたとおり、ZIPファイルと、自己解凍形式のEXEファイル、あるいはそれをさらに解凍した中身のファイルではスキャンの深さが変わりますので、結果が異なることは十分あり得ることです。

Quote
・最初、メインPCで行った一連の手順ですが、該当ファイル(zipの内部にあるexe)がウイルスだったら、ここで解凍した際、「圧縮されたファイルに格納されたウイルスは解凍するだけで感染しうる」のでしょうか?
この際、使用したのはArchive decoder v.2.04でした(中身を一覧できないソフトです)。
過去に、Windowsの脆弱性を突いて、ショートカットのアイコンを表示するだけで感染する、という類のものがありました(Avast では LNK:Runner として検知されていました)。
解凍ソフトウェアに脆弱性がある場合を除き、最新のセキュリティ更新を適用済みのWindowsであれば、解凍しただけで感染することはないはずです。

Windowsに新たな脆弱性、アイコンを表示するだけでウイルス感染
http://www.nikkei.com/article/DGXNASFK2002P_Q0A720C1000000/

Quote
・次にサブPCで中身を確認しようとした際、一旦Lhaforge(解凍せずに中身を一覧できるソフト)で確認しようとしました。LhaforgeはD&Dで該当ファイルの中身をウインドウの中に示してくれるので、そこから更にLhaforgeにD&D(LhaforgeのウインドウからLhaforgeを別起動させた形になります)しました。
この際、DLLが足りなかったのか、中身を閲覧出来ないと言ったようなメッセージで警告されましたが、この場合、ファイルの中を見ようとしただけでも仮に中身がウイルスであったとしたなら、感染の危険性はあるのでしょうか?
AVASTは常に走っているため、何かあれば反応するという認識ではいるのですが。
Lhaforge にそういった脆弱性(細工された圧縮ファイルを開くとコードが実行されてしまう、等)があれば別ですが、そうでない限り危険性はないでしょう。
また、そういったファイルであれば、あらかじめAVASTでスキャンされた際に検知されているものと思います。

Quote
・この次に、現在使っていないPCで上記ファイルをLhazにて中身を閲覧しました。
中身が複数のファイルであることを確認し、全部をドラッグして解凍対象として解凍しました。
この場合、圧縮ファイルから出てきたファイルがexeだったのですが、もしもこれがウイルスであれば感染の可能性はあるのでしょうか?
2つ上のWindowsの脆弱性の例と同様です。

Quote
・一つ上の項目でファイルを解凍しましたが、この際、exeでアーカイブしてあるファイルがLhazから特にUACの警告などもなく解凍できてしまいました。
WIN7以降だと思いますが、exeファイルは実行にUACを求められる盾が付いたアイコンとなっていますが、Lhazからの解凍にはこれがなかったということは、「自己解凍形式のファイルはその実行が自己を解凍する命令を持っている(UACは実行に際して警告するだけ)だけなので、他のファイルから解凍する分にはUACが警告してこない、ということでしょうか。
認識の通りで問題ないと思います。
UAC はファイルの実行時に機能するものですが、Lhazで解凍した場合、自己解凍形式のファイルおよびそのコード(命令)は一切実行されず、Lhaz がその中身を独自に解析し、ファイルを抜き出している形となります。従って、当該ファイルが実行されていない以上、解凍だけではUAC は発動しないはずです。

Quote
一連の項目において、最終的な操作まで、一度もexeファイルそのものをダブルクリックなどはしていません。

以前にもなんの問題もない筈のファイルがウイルスとして検知されたこともあり、誤検知の可能性が高いのではないかと考えています。

また、exeファイルにおいて注意すべきは、それ自体をダブルクリックで実行してやることだと教わりました。
「exeファイルにおいて注意すべきは、それ自体をダブルクリックで実行してやること」が通用しないケースが過去にあったことは先に述べたとおりです。
ただ、現時点では既に対策されている脆弱性であり、過剰に心配する必要はないでしょう。
最終的に出てきたファイルをVirustotal等にかけ、結果を見てどう判断するか、でしょう。メジャーな製品がどれも検知せず、マイナーなところが1件とかだけ検知しているようであれば、誤検知の可能性が高いです。

Quote
基本的にWINDOWSとFLASHとAVASTの状態を最新に保つ事でPCのステータスを保っている認識なのですが、今回、チェック時にもしかしてウイルスだったのかなとの疑念を抱え込んでしまい、それなら操作は大丈夫だったろうかと思い返し、場違いかもしれませんがお尋ねさせて頂きました。

念のためフルスキャンを就寝時に掛ける予定ですが、お返事など頂ければ幸いに存じます。
もしJavaやAdobe Readerをお使いであれば、そちらも忘れずに。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

Offline echos

  • Jr. Member
  • **
  • Posts: 62
お返事、感謝致します。
この度もお世話になってしまい、申し訳ありません。
また、大変参考になるご示唆頂き、感謝の言葉もありません。

>圧縮されたままスキャンをしても、デフォルト設定ではZIP等の圧縮ファイルの中身1つ1つまでは確認しないはずなので、中身の確認にはあまり意味がありません

ありがとうございます。
そういうことだったのですね。
使ったのはVTの他に二件ほどのクロスチェックサイトでしたが、そちらは二件ともが同様の中国のサイトを含んでおり、そこが反応しました。

>ZIP等を解凍後に出てきた自己解凍形式のEXEファイル(この認識で合っていますか?)

はい。
自分の主張している自己解凍形式のexeはその通りです。

>あるいはそれをさらに解凍した中身のファイルではスキャンの深さが変わりますので、結果が異なることは十分あり得ることです。

最初のコメントが判り辛くなってしまったためにご迷惑お掛けしていますが、誤検知だろうと判断されるのは今回のファイルそのもので、また、一点書き損じがあって重ねてお詫びしたく、exeファイルの状態で検知を出してきたのが中国のサイトで、次、exeから出てきたexe(ソフトの実行ファイル)を同じクロスチェックサイトに掛けると、別のサイトが別の検知結果を出してきた形になります。

これらは検知の深度に関係していたのですね。
誤検知であってもどこをどう検知した、という差なのかな、と思っているのですが。

>解凍ソフトウェアに脆弱性がある場合を除き、最新のセキュリティ更新を適用済みのWindowsであれば、解凍しただけで感染することはないはずです。

ありがとうございます。
大変勉強になります。

何分、このあたりの事を曖昧なままにセキュリティソフトに投げっ放しにしていたので、自分の認識が追い付かないところもあり、不明を恥じ入ります。

これについて、少し脇に逸れてしまうのですが、こうした脆弱性について、例えばフリーソフトで既に更新が途絶えたソフトなどは、基本的に危険な物、と考えてしまうべきでしょうか?
例えばネットに繋いで使う物として考えるとブラウザなのですが、2chで使われている(いた)ブラウザで、現在は更新されていない物に「かちゅーしゃ」や「kage」などがあり、しかしこのブラウザは現在でも愛用者が多いようで、個人でパッチを当てて掲示板での仕様に耐えるようにしているのを見掛けます。
これらは単に、2ch(また、それと同様の形式を持つスレッド形式のBBSですが)が、少なくともブラウザそのものに対して攻撃を仕掛けることがないから、と考えていいのでしょうか。
Media Player Classicなどはそれ自体が単体で機能する物なので、こうした物とはあまり関係なさそうですが……。

また、セキュリティパッチの有無自体が開発者の対応に依存しているため、そもそも個人ではそれを用意するかといったような問題もあると思います。

一応、それらを全て包括する要素としてアンチウイルスソフトがあり、何かあれば警告してくれる(実際、自分が使っているブラウザでもAvastは検知してくれますし、Kageを入れてみて、昔あったようなスレッドにコードが書き込みとして書かれたタイプのものなどですが、avastがウイルスとして反応してくれます)と思うのですが。
自分では処理しきれない煩雑な対応を代行してくれるのがアンチウイルスという部分が強く、何もかもに引っ掛かってしまうと、それこそ仕事に支障が出てしまうため、こうしたことはやはりどこかで割り切る必要があるのでしょうけど。

>Lhaforge にそういった脆弱性(細工された圧縮ファイルを開くとコードが実行されてしまう、等)があれば別ですが、そうでない限り危険性はないでしょう。
>2つ上のWindowsの脆弱性の例と同様です。

ありがとうございます。
なるほど、これについては以前からずっと疑問だった事もあり、疑問が氷解しました。

解凍という行為そのものに危険性があるわけでなく、そうしたソフトが現在でも使用できる事に問題があるのでもなく、それらのソフトに何らかの問題がある場合、そこを突いて攻撃するウイルスが存在すると、それの対象となってしまう、ということなのですね。

>認識の通りで問題ないと思います。

補足頂き、本当に助かります。

ここのニュアンスを巧く伝えられるか心配だったのですが、仰るようにexeが問題のファイルである場合、他のソフトでそれを解凍したらそれをexeとして実行してしまっているのではないか、と考えてしまっていたのですね。
また、これで最初の疑問であった圧縮ファイルから中身を取り出す時、その中身がexe形式のウイルスであっても、その過程そのもので感染することはない、というのが理解できました。
UACはそれも踏まえて、それ自体がウイルスだったりする場合、一度注意を促す機能もあるんですね。

>「exeファイルにおいて注意すべきは、それ自体をダブルクリックで実行してやること」が通用しないケースが過去にあったことは先に述べたとおりです。
>ただ、現時点では既に対策されている脆弱性であり、過剰に心配する必要はないでしょう。
>最終的に出てきたファイルをVirustotal等にかけ、結果を見てどう判断するか、でしょう。メジャーな製品がどれも検知せず、マイナーなところが1件とかだけ検知しているようであれば、誤検知の可能性が高いです。

ありがとうございます。
仰るように、たしか解凍前、後で、世界的にはマイナーなウイルスチェックサイトのみが反応していました。

また、脆弱性については、今回の件で意識的に理解できたと思います。

半端にあれこれと勘ぐってしまうからかもしれませんが、自分で自分の不安を煽ってしまっているところもあると思いますし、ここはこうだ、と認識が深まればと考えます。
ある程度の割り切りというか、指針となる明確な考え方が必要なのですね。
この度は本当にありがとうございました。

こちらに投稿する前にヤフー知恵袋で相談させて頂いたのですが、お返事を頂いている方と話が食い違ってしまっているというか、自分の認識がなにかずれてしまっているのではないかとどうしても不安になってしまい、自分なりに分りやすく整理して質問させて頂きました。

detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12165637597

恐らく自分の伝え方が悪く、また文字数制限に引っ掛かりながらなので一度に伝えようとして伝えるべきところが伝わっていなかったのかもしれません。
お時間があればURLを覗いて頂けると幸いなのですが(自分の質問はここに書いていることとほぼというか全く同じなので、回答者様とのやり取りになってしまいますが)、これは自分の説明が悪くて行き違ってしまって、伝えきれなくなってしまっているということになりますでしょうか。
何か、「自分だけが考えている認識で納得してしまっている」と指摘されてから、根本的に自分がPC全般的な事柄への認識が不足しているのではないか、と混乱してしまいまして。
一応、このヤフー知恵袋に相談する前後に業者さんに相談したこともあり、その時点ではやり取りが普通にできたため、どこが間違っているのか判らなかったのもあります。
カテゴリマスターの方に指摘された事もあり、尚更に迷ってしまっていました。
こちらで説明を頂いている内容であれば普通に理解できますし、やはり伝え方が悪かっただけなのかなと。
« Last Edit: October 17, 2016, 11:48:36 AM by echoconquer »

Offline echos

  • Jr. Member
  • **
  • Posts: 62

追記となりますが、よかったら聞いて頂けると幸いです。
トピックの最初の質問に書いた、

>・この次に、現在使っていないPCで上記ファイルをLhazにて中身を閲覧しました。
>中身が複数のファイルであることを確認し、全部をドラッグして解凍対象として解凍しました。
>この場合、圧縮ファイルから出てきたファイルがexeだったのですが、もしもこれがウイルスであれば感染の可能性はあるのでしょうか?

ですが、このニュアンスがもしかしたらここでも巧く伝わってないか不安になってしまいまして、こちら、「exeファイル(自己解凍形式)をそのままLhazに入れた」という意味合いで書いていましたが、問題ありませんでしたでしょうか。

それから、あれから全体の挙動を見るために複数のソフトをDLしてクロスチェックサイトで調べてみたのですが、海外のややマイナーなサイトにおいて、現在最新のLhaplusは中国圏のサイト他、4~5圏のウイルスチェックサイトに引っ掛かってしまうようです。
VirusTotalと、前回の質問で使ったクロスチェックサイトを今回も利用しました。

Lhaplusの公式や、不具合情報があった時に定期的に情報を発信する窓の社でこうした提示がないということは、これはやはり単にそうしたサイトが持つ独自のアルゴリズムがファイルをウイルスとして認識するようにパターンを組んでいるから、と考えていいでしょうか。
もちろん、以前にもベクターがサーバの方からウイルスの混入を許した件もあり、全ての状況に対応できている訳ではないと思いますが、今回の件については複数のサイト経由でDLして試して、その上で尚且つ、4~5件のサイトが全く別の検知の内容を指摘していることもあり、誤検知だろうなと。
全ての大手サイトが全く反応しないことから、ここまで気にしているとどんなアンチウイルスを使っていても対処できないように思えてしまうというのも大きな理由です。

先ほど、空き時間に頂いた情報を再整理するために臨時でLhaplusを入れた後に確認してしまって少し怖くなってしまいましたが、誤検知をここまで気にしていると何もできなくなってしまうなあと。
それらも踏まえた上でこれはこういうものなのだという割り切りが必要なのだろうなとも感じています。
« Last Edit: October 17, 2016, 11:46:48 AM by echoconquer »

Offline echos

  • Jr. Member
  • **
  • Posts: 62
すみません、削除の仕方が判らないので消しました。
前のコメントを修正しようとして、間違えて新しく投稿してしまったようです。
« Last Edit: October 17, 2016, 11:47:05 AM by echoconquer »

Offline echos

  • Jr. Member
  • **
  • Posts: 62
すみません、こちらも削除しようとし間違え、結果的に二重投稿になってしまいました。
大変申し訳ありません。
« Last Edit: October 17, 2016, 11:47:53 AM by echoconquer »

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5513
  • Whatever will be, will be.
用語の部分になりますが・・・「中国のサイト」「別のサイト」は「中国(製)のソフト」「別のソフト」の意味でしょうか?
その前提で、以下は引き続きコメントです。負けず劣らず長文になってしまいましたので時間のあるときにどうぞ。


>あるいはそれをさらに解凍した中身のファイルではスキャンの深さが変わりますので、結果が異なることは十分あり得ることです。

最初のコメントが判り辛くなってしまったためにご迷惑お掛けしていますが、誤検知だろうと判断されるのは今回のファイルそのもので、また、一点書き損じがあって重ねてお詫びしたく、exeファイルの状態で検知を出してきたのが中国のサイトで、次、exeから出てきたexe(ソフトの実行ファイル)を同じクロスチェックサイトに掛けると、別のサイトが別の検知結果を出してきた形になります。

これらは検知の深度に関係していたのですね。
私が「深度」と書いたのは、
ウイルスを含んだZIPファイルをZIPのままスキャン -> 表面上(第1層目:ZIPファイル)しかスキャンしない -> 検知されない
ウイルスを含んだZIPファイルを解凍し、中身のファイル(第2層目:中身のウイルス)をスキャン -> 検知される
ということがあり得る、という意味合いで書いています。


Quote
誤検知であってもどこをどう検知した、という差なのかな、と思っているのですが。
これはその通りと思います。


Quote
こうした脆弱性について、例えばフリーソフトで既に更新が途絶えたソフトなどは、基本的に危険な物、と考えてしまうべきでしょうか?
(中略)
Media Player Classicなどはそれ自体が単体で機能する物なので、こうした物とはあまり関係なさそうですが……。
難しいところですが、更新が止まったソフトは、脆弱性の影響を受ける確率が高くなるのは事実です。
ただそれは、そのソフトそのものの脆弱性もありますが、むしろそのソフトに内蔵された共通プログラムが古いまま放置されることによるものが多いです。

どういうことかというと、例えば、一般に広く使われている共通プログラムA(一般に「ライブラリ」とか呼ばれます)があり、Aを内部に組み込んだソフトBがあるとします。
この場合、共通プログラムAに脆弱性が見つかれば、共通プログラムAを使っている全てのソフト(ソフトBを含む)に脆弱性が存在することとなります。
もしソフトBの更新が止まっているとすれば、ソフトBに内蔵されたAは古いまま(脆弱性を含んだまま)になり、ソフトBも脆弱性を持ったままとなります。
ここでソフトBが更新され、共通プログラムAが最新のものに更新されれば、ソフトBの脆弱性も解消します。

現在では、たいていのソフトは何らかの形でこういった共通プログラムを使っています。
Media Player Classicも、ffmpeg やLAV Filtersという動画・音声再生用の共通プログラムを使っており、もしこれらに脆弱性が見つかれば、その影響を受けることになります。
各ソフト個別の脆弱性というよりは、こういった共通プログラムの脆弱性の方が、影響範囲が広い分、問題にされることが多いように思います。
FlashとかWindowsとかの脆弱性は、そもそものソフトの普及率が高いので、ソフト個別の脆弱性でも大問題になる訳です。

まとめると、ご自身でも言及されていますが、
Quote
解凍という行為そのものに危険性があるわけでなく、そうしたソフトが現在でも使用できる事に問題があるのでもなく、それらのソフトに何らかの問題がある場合、そこを突いて攻撃するウイルスが存在すると、それの対象となってしまう
ということです。
さらに言えば、「更新が止まったソフトは、その問題が放置されることになる場合が多い。ゆえに危険性が増す」と付け加えておきましょうか。


Quote
また、セキュリティパッチの有無自体が開発者の対応に依存しているため、そもそも個人ではそれを用意するかといったような問題もあると思います。
ソフトの作りによっては、共通プログラムを個人が更新できるものがあるので、そういった場合にはソフトの更新が止まっていても、共通プログラムだけを更新し、脆弱性を回避することが可能になります。
もちろん、ソフト作者が保証する使い方ではないので、別な問題が起きる可能性も高いのですが・・・。


Quote
一応、それらを全て包括する要素としてアンチウイルスソフトがあり、何かあれば警告してくれる(実際、自分が使っているブラウザでもAvastは検知してくれますし、Kageを入れてみて、昔あったようなスレッドにコードが書き込みとして書かれたタイプのものなどですが、avastがウイルスとして反応してくれます)と思うのですが。
基本的にはその通りですが、100%は期待しない方が良いです。
いわゆるゼロデイの場合、アンチウイルスでは対応しきれない場合がままあります。


Quote
ここのニュアンスを巧く伝えられるか心配だったのですが、仰るようにexeが問題のファイルである場合、他のソフトでそれを解凍したらそれをexeとして実行してしまっているのではないか、と考えてしまっていたのですね。
また、これで最初の疑問であった圧縮ファイルから中身を取り出す時、その中身がexe形式のウイルスであっても、その過程そのもので感染することはない、というのが理解できました。
認識の通りです。

知恵袋の方も見てきましたが、知恵袋でのやり取りでは、「感染する」(「インストールされている」)という用語の認識に相違があるような気がしました。
私は「感染する」という用語について、「ウイルスのコードが実行され、その結果何らかの(目に見えないことであっても)事象が発生する」ことをもって「感染する」と表現します。
これはおそらくechoconquer さんも同様かと思います。

知恵袋の回答を読む限り、回答されている方は私と異なり、「感染する」を「ウイルスのコードが実行されたか否かに関係なく、ウイルスのファイルがコンピュータ上に存在する」ことをもって「感染する」(「インストールされている」)と表現しているように思います。

この部分に認識の相違があると、今回の質問内容の場合、会話がかみ合わなくなるのも無理はないと思います。私も最初、知恵袋の回答を読んで「?」となりました。
業者さんはおそらく、同じ用語の使い方をする方だったのでしょう。

もっとも、正直に言わせて頂くと、echoconquer さんの文章の書き方(用語の使い方?)は相手にやや意図が伝わりにくいのは確かかと思います。
私からも、何度か認識の確認をさせて頂いている通りです。かくいう私もあまり人のことは言えないのですけれど。


>・この次に、現在使っていないPCで上記ファイルをLhazにて中身を閲覧しました。
>中身が複数のファイルであることを確認し、全部をドラッグして解凍対象として解凍しました。
>この場合、圧縮ファイルから出てきたファイルがexeだったのですが、もしもこれがウイルスであれば感染の可能性はあるのでしょうか?

ですが、このニュアンスがもしかしたらここでも巧く伝わってないか不安になってしまいまして、こちら、「exeファイル(自己解凍形式)をそのままLhazに入れた」という意味合いで書いていましたが、問題ありませんでしたでしょうか。
この通りの意図(自己解凍形式ファイルをLhaz で開き、Lhaz の解凍機能を使用)として回答しています。


Quote
それから、あれから全体の挙動を見るために複数のソフトをDLしてクロスチェックサイトで調べてみたのですが、海外のややマイナーなサイトにおいて、現在最新のLhaplusは中国圏のサイト他、4~5圏のウイルスチェックサイトに引っ掛かってしまうようです。
確かにそうですね。これは誤検知と思います。


Quote
Lhaplusの公式や、不具合情報があった時に定期的に情報を発信する窓の社でこうした提示がないということは、これはやはり単にそうしたサイトが持つ独自のアルゴリズムがファイルをウイルスとして認識するようにパターンを組んでいるから、と考えていいでしょうか。
誤検知というのは、つまりそういう状態のことを言います。
ウイルスだけを認識するはずのパターンが、ウイルスではないファイルにも当てはまってしまった、という状況です。

ちなみに。「窓の社」ではなく「窓の」(もり)です。


Quote
4~5件のサイトが全く別の検知の内容を指摘していることもあり、誤検知だろうなと。
これはあまり当てになりません。
ウイルス名の付け方に統一規則は無いので、同じウイルスでも、各社ばらばらな名前が付くケースはざらにあります。
逆に5製品くらいが全く同じ名前で検知していても、実は製品名が違うだけで定義ファイルは同じものを使っている(一部のウイルス検索エンジンは複数社で共用されていて、同じ定義ファイルでも、各社で別な名前の製品として販売されています)ことがあるので、5製品と言っても実は1つの定義ファイルの誤検知、というケースがあり得ます。

元が信頼できるファイルであったり、検知数が数件だったりするならともかく、正体不明のファイルで50製品中10製品(うちメジャーどころ1件)とか検知された日にはお手上げです。
大手が検知しているかどうか、名前に(ある程度の)類似性があるか、そのファイルの信頼性(有名どころのソフトか、マイナーなソフトか)等を総合的に見て、どう判断するか、というところになります。

例:
https://www.virustotal.com/en/file/eafd269450281cb62a5986ba15c9cdb1636ea320157d28a99cf31d11518b147e/analysis/

「Gen:Variant.Graftor.64412」が7件検知されていますが、これはすべて1つの定義(BitDefender 提供)に由来します。
同様に、「Trojan/W32.Yakes.5223936」が2件ありますがこれも1定義(メーカー不明)、「Trojan ( 004432801 ) 」も2件ありますが1定義(同じ会社が提供する2製品)です。
今回の場合、「Yakes」というキーワードが形を変えて複数(「Trojan.Yakes!HjuR5F5z9+g」「Trojan/Win32.Yakes」「Trojan.Yakes.g4」「W32/Yakes.CVXV!tr 」等々)出ていますので、本物のマルウェアの可能性が高いと判断できます。


すみません、削除の仕方が判らないので消しました。
前のコメントを修正しようとして、間違えて新しく投稿してしまったようです。
投稿の削除はできないので、この状態で大丈夫です。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

Offline echos

  • Jr. Member
  • **
  • Posts: 62
詳しいご回答を頂き、助かります。
何分仕事が忙しい時期に差し掛かってきており、心配事は取り除いておきたいもので、網羅的に、自分で考えられる範囲を詰め込めるだけ詰め込んでしまっているように思います。

>もっとも、正直に言わせて頂くと、echoconquer さんの文章の書き方(用語の使い方?)は相手にやや意図が伝わりにくいのは確かかと思います。

先になりますが、こちら、本当にすみません。
端的に主張をまとめる努力が必要ですね。
用語について理解が浅いところもあり、感覚的な説明を回りくどい形で主張してしまっている自覚があります。

>用語の部分になりますが・・・「中国のサイト」「別のサイト」は「中国(製)のソフト」「別のソフト」の意味でしょうか?

こちらですが、早速申し訳ないです。

中国のサイトはVirusTotalで検知してくれたサイトで、別のサイトは同様にVirusTotalもですが、もう一つのクロスチェックを行ってくれるサイト、という意味でした。
非常に判り辛い書き方でご迷惑お掛けしました。
サイト名を書けば良かったのですが、その時点では失念しておりました。

サイトは「Metascan Online」となります。

>使ったのはVTの他に二件ほどのクロスチェックサイトでしたが、そちらは二件ともが同様の中国のサイトを含んでおり、そこが反応しました。

これがそれなのですが、尚更に判り辛いですね。
ごめんなさい。

>ただそれは、そのソフトそのものの脆弱性もありますが、むしろそのソフトに内蔵された共通プログラムが古いまま放置されることによるものが多いです。

これは膝を打つ思いです。
たしかに、特定のプログラムを動かす際に必要になるプログラムは見た事があり、そうした部分での問題なのですね。

考えてみればDLLもそうなのかなと。

前回書いた2ch系ブラウザの更新で基本的なところが更新されてないところだと、これはそもそもflashなどと違ってそうした脆弱性がなかったり(スレッドという形式が枯れた技術だからでしょうか?)、絶対数が普及率的に問題視されないからとなるのでしょうか。
実際、2chのスレッドはほぼ形式としては進化していないように思われます(派生的な物はともかく)。

>さらに言えば、「更新が止まったソフトは、その問題が放置されることになる場合が多い。ゆえに危険性が増す」と付け加えておきましょうか。

この理解が端的だな、と感じました。
なるほど、単に更新が止まっているから危険だ、というのでなく、そもそも脆弱性の更新に対応していないソフトが多々あるのは、そうした根本的な部分で脆弱性があるかどうか、見付かるかどうか、見付かったなら対応したかどうか、という話になるのでしょうね。
上記のブラウザの話で行けば、現在も更新が続いているJane系に比べてかちゅーしゃが危ないのではなく、Jane系で脆弱性について触れられていないように、そも、そうしたブラウザが根本としている部分に欠陥が見付かるかどうかなのだ、と。

>ソフトの作りによっては、共通プログラムを個人が更新できるものがあるので、そういった場合にはソフトの更新が止まっていても、共通プログラムだけを更新し、脆弱性を回避することが可能になります。

こうした話になってくるのでしょうね。

>いわゆるゼロデイの場合、アンチウイルスでは対応しきれない場合がままあります。

以前にもこちらで質問したような話なのでしょうね。
今回の件(古いファイルについて)や上記のような状態(枯れた技術の使用されたソフト)は、であれば対策されている、と考えていいのでしょうけど。

>知恵袋の方も見てきましたが、知恵袋でのやり取りでは、「感染する」(「インストールされている」)という用語の認識に相違があるような気がしました。

ありがとうございます。
知恵袋の方まで見て頂けた事に感謝します。
お手間を取らせてしまったことに重ねてお詫び申し上げます。

自分でもあの後、インストールの定義や、exeファイルの定義について自分なりに検索していました。

こちらについて、知恵袋のカテゴリマスターさんから指摘されたこと、相談した業者さんの主張との食い違い、それに加えてこちらでNON様に頂いたアドバイスを俯瞰してまとめれば、

・カテゴリマスターさんの「インストールされている」は、「PC上にファイルが存在する」と言った広い意味で使われている
・業者さんとNON様の仰っている「インストールされている」、この流れで言う「感染している」は、ウイルスがPC上でその攻撃的な意図によるコードを走らせているという意味
・カテゴリマスターさんの仰る「exeファイルが存在するという事は既にインストールされていると考えるべきです」「つまり感染しているリスクは十分あります」は、「感染のリスク」という部分を見ると、「ファイルが存在することはそのままPCが感染している可能性に繋がる」と読めるものの、これは「ウイルス感染を引き起こすexeがPCに存在していること、その事実自体が危険である」「そのファイルがそこにあることは危険である(間違えて操作する可能性など?)」

ということで、結論としては、

・業者さんとNON様の仰るように、ウイルスが発生させうる事象は現状どこにも存在せず、従って危険性のあるファイルは処分するなどして、アンチウイルスやWINDOWSの最新版を常に確保し、FLASHや関連のリーダーにも気を配るべきである

ということでいいのでしょうか。

少なくとも今回の件のみに絞って言えば、Avastをフルスキャンで掛けておくだけで問題ない、とまとめられるように思うのですが。

>この通りの意図(自己解凍形式ファイルをLhaz で開き、Lhaz の解凍機能を使用)として回答しています。

今回頂いたお返事で、漠然とながら、どうしてファイル閲覧ソフトで覗くだけなら大丈夫なのか(脆弱性がないなら)というのがわかった気がします。
アンチウイルスソフトもそうですが、外部からプログラムを調べるということは、そのウイルスを活動させる要素を排して、中にある要素のみを見るからなのですね。
UACもそれと同様なのだと言いますか。
これまでそうしたところまで突っ込んで考えることをせず、アンチウイルスはアンチウイルスだから何らかの対処がされていて、だからこそウイルスを調べても大丈夫なのだという、どこか同語反復的な考え方でした。
そのウイルスに「触れる」のは、PCにおいてはそのプログラムを実行する契機となる操作(この場合はダブルクリックとかそのあとに出てくるUACの認証がそれに当たるのでしょうか)が必要なのですね。

>確かにそうですね。これは誤検知と思います。
>誤検知というのは、つまりそういう状態のことを言います。
>ウイルスだけを認識するはずのパターンが、ウイルスではないファイルにも当てはまってしまった、という状況です。

ありがとうございます。

あれだけ大手のソフトが複数検知されるのは腑に落ちず、VirusTotalでも検知画面で疑問を呈している人がいることから、どういうことなのかと思っていました。
あのソフトは数年前にもマカフィーか何かで引っ掛かった覚えがあって、ウイルスとして検知されやすい何かがあるのかなとも思うのですが、一連のお返事を頂いていて漠然とした理解からですけど、「ウイルスはプログラム内の特定のコードである」「アンチウイルスはそれを全て割り割きながら判断を下す」ので、似たようなコード(門外漢でさっぱり理解できない部分になってしまうのですが、プログラム言語を書くとき、例えば「ここで何かを解凍するような指令」とかそういうものが存在するときでしょうか)があると、それをアンチウイルスソフトはウイルスと判定するということでしょういか。
似たような指令や、相互作用的にこの指令とこの指令の組み合わせがこうしたウイルスの仕様と合致する、みたいな感じであれば、なんとなくウイルスがどういうときに活動して、それに対応できるのだろうなというのは想像できますけど。

>ウイルス名の付け方に統一規則は無いので、同じウイルスでも、各社ばらばらな名前が付くケースはざらにあります。

これはこうした文脈にあるのかな、と感じました。

今回の場合は自分ではどうにも判断できないところなのですが、4~5件のサイトが同じようなパターンファイルを持っていて、そこが個々に反応した(exeに格納された時点で反応した場所と解凍後の実行ファイルとしてのexeに反応したサイトが別々だったのは、お返事を頂いた階層性に由来する物で、格納用exeに対する反応と、その下にあったexeに対する反応でそれぞれ違ったからでしょうか)のでしょうね。

>元が信頼できるファイルであったり、検知数が数件だったりするならともかく、正体不明のファイルで50製品中10製品(うちメジャーどころ1件)とか検知された日にはお手上げです。
>大手が検知しているかどうか、名前に(ある程度の)類似性があるか、そのファイルの信頼性(有名どころのソフトか、マイナーなソフトか)等を総合的に見て、どう判断するか、というところになります。

参考のURLの提示、感謝致します。
これはLhaplusでなく、何か別のファイルなのですね。
ほぼ有名どころが検知していて今回Lhaplusに反応したサイト(ウイルスチェックソフトかもしれませんが)が反応していないことから考えると、各社それぞれが似たようなパターンファイルの源泉(というか既存のノウハウのようなもの?)を持っているのでしょうか。
なんとなくですが、あれだけいつもウイルスとの戦いを続けているアンチウイルス提供会社が似たような検知結果を出せるのはパターンファイルの源泉が同じなのかと思っていたのですが、これは、

>逆に5製品くらいが全く同じ名前で検知していても、実は製品名が違うだけで定義ファイルは同じものを使っている(一部のウイルス検索エンジンは複数社で共用されていて、同じ定義ファイルでも、各社で別な名前の製品として販売されています)ことがあるので、5製品と言っても実は1つの定義ファイルの誤検知、というケースがあり得ます。

源泉は同じでも、そこからどう判断していくかのような方針や会社の蓄積のようなものがあるのですね。
或いはどこからパターンファイルを持ってきて、それがウイルスだと判断するだけの指向性というか、有益さを判定するだけの力があるか、というような。
ウイルスで影響力が大きな物が出てきた時は各社一斉に対応しますけど、あれはこういうところからの判断力というか、それがどれだけ対応において迅速かと言ったような側面もあるのかなと。

少なくともユーザーとして考えていくには、まずは、

・大手が検知しているか、つまりパターンファイルを豊富に持っていて、ノウハウも豊富に所持しているかどうか
・検知対象がマイナーである場合は、それが複数検知されていれば(対象がマイナーどころの数件程度であるなら誤検知であると割り切る)、各社が付けたファイル名の類似性や、ソフトがそもそもどういう用途で存在するかなどからその都度に包括的な判断をするべき

ということでしょうか。

曖昧な判断になってしまいますが、自分ではこのあたりが限界になってしまいます。
何分、Lhaplusの件でも「ウイルスだ」と検知されているのは心理的な負担ですし、いい気分ではありません。
ただこうした要素を掘り下げていけばこの他にも無数のファイルが誤検知されてしまうのでしょうし、いちユーザーではこれらを全て追っているだけの時間がないようにも思います。

当然ながら怪しいファイルにはそもそも近付かないことが鉄則だと思いますが、アンチウイルスソフトで検知された要素を判断するとき、どこかに指針があればと思います。

余談ですが、今の今まで「窓の社(やしろ)」だと思ってました……そういえば以前にも一度誰かに指摘されたような覚えがあるのですが、本当に気付いてませんでしたこれ。

>投稿の削除はできないので、この状態で大丈夫です。

この度はご迷惑をお掛けしています。
以後、投稿の際には気を配ります。
申し訳ありませんでした。
« Last Edit: October 18, 2016, 09:49:39 AM by echoconquer »

Offline echos

  • Jr. Member
  • **
  • Posts: 62
すみません。
書いていて、少しだけ理解できたかもしれないことがあり、この理解で合っているかどうか、参考程度に教えて頂ければ幸いです。

>今回頂いたお返事で、漠然とながら、どうしてファイル閲覧ソフトで覗くだけなら大丈夫なのか(脆弱性がないなら)というのがわかった気がします。
(中略)
>そのウイルスに「触れる」のは、PCにおいてはそのプログラムを実行する契機となる操作(この場合はダブルクリックとかそのあとに出てくるUACの認証がそれに当たるのでしょうか)が必要なのですね。

そして、その「触る」ですが、これは例えばLhazなど外部の別のソフトが対象のファイルを走らせる場合は、ソフト側の動作に全てが掛かっているという事になると思いますが、これは、つまり、

・ソフトがただのコードの羅列としてファイルを「触る(コードを読む)」のであって、このファイルが仮にウイルスで、PCに害を及ぼすかもしれなくても、ウイルスがソフトに対して予め攻撃を仕掛ける意図があり、尚且つ、それが可能なセキュリティホールがWINDWSとソフトの両方に存在している必要がある
・PCが「触る」ことで感染するファイルも、他のソフトがソフトを構成する要素から「触る」だけであれば感染しない

ということで良かったでしょうか。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5513
  • Whatever will be, will be.
中国のサイトはVirusTotalで検知してくれたサイトで、別のサイトは同様にVirusTotalもですが、もう一つのクロスチェックを行ってくれるサイト、という意味でした。
非常に判り辛い書き方でご迷惑お掛けしました。
サイト名を書けば良かったのですが、その時点では失念しておりました。

サイトは「Metascan Online」となります。
「ソフト」と「サイト」が混ざってしまっているような気がします。
Virustotal 等で列挙されている製品名(Avast, AVG, Baidu等)は、すべて「ソフト」です。Virustotal そのものは「サイト」です。

Quote
考えてみればDLLもそうなのかなと。
私の言った共通プログラムの形態としては、仰る通りDLL (Dynamic Link Library:ダイナミック・リンク・ライブラリ)が代表的ですね。

Quote
前回書いた2ch系ブラウザの更新で基本的なところが更新されてないところだと、これはそもそもflashなどと違ってそうした脆弱性がなかったり(スレッドという形式が枯れた技術だからでしょうか?)、絶対数が普及率的に問題視されないからとなるのでしょうか。
どちらかというと後者(絶対的な普及率が低い)でしょう。スレッドが枯れた技術かどうかはあまり関係ないと思います。
スレッドという掲示板のシステムそのものは昔からあるものですが、それをどう解析してソフト上に表示していくか(レスにリンクを張るとか、場所ごとに色を変えるとか)は各ソフトで違うと思いますし、そこが違えば脆弱性のあるなしも変わりますので。

Quote
上記のブラウザの話で行けば、現在も更新が続いているJane系に比べてかちゅーしゃが危ないのではなく、Jane系で脆弱性について触れられていないように、そも、そうしたブラウザが根本としている部分に欠陥が見付かるかどうかなのだ、と。
ご認識の通りです。

Quote
今回の件(古いファイルについて)や上記のような状態(枯れた技術の使用されたソフト)は、であれば対策されている、と考えていいのでしょうけど。
ゼロデイというのは0 Day (0日目)ですので、脆弱性が見つかった(あるいはその脆弱性情報が公開された)その日のうちに出てくるマルウェアのことを言います。
その意味で、古いファイルがゼロデイである訳はないです。
技術が枯れているかどうかという点では、枯れていればその分脆弱性も出尽くしている可能性は高いですが、新たに見つかる可能性もあるので、安全と言い切れるわけではありません。

Quote
・カテゴリマスターさんの仰る「exeファイルが存在するという事は既にインストールされていると考えるべきです」「つまり感染しているリスクは十分あります」は、「感染のリスク」という部分を見ると、「ファイルが存在することはそのままPCが感染している可能性に繋がる」と読めるものの、これは「ウイルス感染を引き起こすexeがPCに存在していること、その事実自体が危険である」「そのファイルがそこにあることは危険である(間違えて操作する可能性など?)」
おそらくそう考えているものと読めます。
あるいは、カテマスさんは「ファイルがそこにある以上、すでに何らかのウイルスの活動としてファイルがそこに作成された可能性がある」と心配されているのかもしれませんが、今回の事例(ファイルを解凍しただけ)を考えれば、この指摘は当たらないものと思います。したがって、私自身は
Quote
ウイルスが発生させうる事象は現状どこにも存在せず、従って危険性のあるファイルは処分するなどして、アンチウイルスやWINDOWSの最新版を常に確保し、FLASHや関連のリーダーにも気を配るべきである
と考えています。

Quote
そのウイルスに「触れる」のは、PCにおいてはそのプログラムを実行する契機となる操作(この場合はダブルクリックとかそのあとに出てくるUACの認証がそれに当たるのでしょうか)が必要なのですね。
基本的にはその通りです。
UAC とは何ぞやというところは、すみませんがWikipediaでも見てください。
https://ja.wikipedia.org/wiki/ユーザーアカウント制御

Quote
「ウイルスはプログラム内の特定のコードである」「アンチウイルスはそれを全て割り割きながら判断を下す」ので、似たようなコード(門外漢でさっぱり理解できない部分になってしまうのですが、プログラム言語を書くとき、例えば「ここで何かを解凍するような指令」とかそういうものが存在するときでしょうか)があると、それをアンチウイルスソフトはウイルスと判定するということでしょういか。
似たような指令や、相互作用的にこの指令とこの指令の組み合わせがこうしたウイルスの仕様と合致する、みたいな感じであれば、なんとなくウイルスがどういうときに活動して、それに対応できるのだろうなというのは想像できますけど。
ここまで来ると、私も実物を見ていないのではっきりしたことは言えませんが、基本的にはそういう認識でいます。

Quote
今回の場合は自分ではどうにも判断できないところなのですが、4~5件のサイトが同じようなパターンファイルを持っていて、そこが個々に反応した(exeに格納された時点で反応した場所と解凍後の実行ファイルとしてのexeに反応したサイトが別々だったのは、お返事を頂いた階層性に由来する物で、格納用exeに対する反応と、その下にあったexeに対する反応でそれぞれ違ったからでしょうか)のでしょうね。
その認識です。

Quote
これはLhaplusでなく、何か別のファイルなのですね。
全く関係ないファイル(本物のマルウェア)で、定義ファイルが同じことにより同じ名前が出ることがある、という例に使っただけです。

Quote
ほぼ有名どころが検知していて今回Lhaplusに反応したサイト(ウイルスチェックソフトかもしれませんが)が反応していないことから考えると、各社それぞれが似たようなパターンファイルの源泉(というか既存のノウハウのようなもの?)を持っているのでしょうか。
なんとなくですが、あれだけいつもウイルスとの戦いを続けているアンチウイルス提供会社が似たような検知結果を出せるのはパターンファイルの源泉が同じなのかと思っていたのですが、これは、

>逆に5製品くらいが全く同じ名前で検知していても、実は製品名が違うだけで定義ファイルは同じものを使っている(一部のウイルス検索エンジンは複数社で共用されていて、同じ定義ファイルでも、各社で別な名前の製品として販売されています)ことがあるので、5製品と言っても実は1つの定義ファイルの誤検知、というケースがあり得ます。

源泉は同じでも、そこからどう判断していくかのような方針や会社の蓄積のようなものがあるのですね。
或いはどこからパターンファイルを持ってきて、それがウイルスだと判断するだけの指向性というか、有益さを判定するだけの力があるか、というような。
ウイルスで影響力が大きな物が出てきた時は各社一斉に対応しますけど、あれはこういうところからの判断力というか、それがどれだけ対応において迅速かと言ったような側面もあるのかなと。
ウイルス対策ソフト会社同士で、ウイルスサンプルのやり取りをしているという話は聞いたことがあります。
大手メーカーであれば、各社とも世界中にウイルス捕獲用のセンサーを張り巡らせていますので、有名どころが出れば、大抵どの会社のセンサーにも等しく引っかかるものです。
あとは、各社の解析チームの能力、素早い対応のための人工知能技術(機械による自動判定)の良し悪し、と言った差になります。

Quote
・大手が検知しているか、つまりパターンファイルを豊富に持っていて、ノウハウも豊富に所持しているかどうか
・検知対象がマイナーである場合は、それが複数検知されていれば(対象がマイナーどころの数件程度であるなら誤検知であると割り切る)、各社が付けたファイル名の類似性や、ソフトがそもそもどういう用途で存在するかなどからその都度に包括的な判断をするべき
そういうことになります。

・ソフトがただのコードの羅列としてファイルを「触る(コードを読む)」のであって、このファイルが仮にウイルスで、PCに害を及ぼすかもしれなくても、ウイルスがソフトに対して予め攻撃を仕掛ける意図があり、尚且つ、それが可能なセキュリティホールがWINDWSとソフトの両方に存在している必要がある
・PCが「触る」ことで感染するファイルも、他のソフトがソフトを構成する要素から「触る」だけであれば感染しない
基本的にはその通りですが、セキュリティホールが「両方に存在している」必要はありません。どちらか片方に1つでもセキュリティホールがあれば、それを突くことは可能です。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。

Offline echos

  • Jr. Member
  • **
  • Posts: 62
アドバイス、感謝致します。
良く理解できました。
自分なりに、という枕詞が付いてしまいますが……。

>Virustotal 等で列挙されている製品名(Avast, AVG, Baidu等)は、すべて「ソフト」です。Virustotal そのものは「サイト」です。

あちらで参照先に出ているのは全てソフトだったのですね。
カスペルスキーやシマンテック、ウイルスバスターがオンラインでのスキャンを提供していたので、ああしたところについては自分勝手に「チェックサイト」と呼んでいました。
これが判り辛くする原因になっていたのに気付きませんでした。
申し訳ないです。
考えてみれば、オンラインスキャンはその都度にパターンファイルを読み込んでいるのだから、オンラインスキャンであれソフトとしてインストールしたものであれ、ソフトには違いないのですね。

今回の諸々、UACの件や既存のソフトに使われる要素について、また、その安全性が確保されているかは「とりあえず」は大丈夫でも、それが完全とは言い切れない(何についてもそうではあるものの)ということですが、その周辺の理解について、折に触れて自分でも理解を深めていこうと思います。

ゼロデイについてはこちらを覗き始めてからそれなりに意識的になっていた物の、やはり常に関連の情報に気を配っていなければなと思われます。
WINDOWSのパッチの定例配信に気を配り始めたのも今年に入ってからなので、その頃に比べれば今の方がかなり意識的にはなれたかなとは思いますけれど……。

また、lhaplusについてですが、よく公式サイトを読んでみたら、予め制作者さんが一部のウイルス検知ソフトにて誤検知が起こると書いておられました。
恐らく、サイト運営者様もVirusTotalなりでチェックしてみて、この発言をされているのかなと思ったりします。
exeが反応してしまうという趣旨で書かれていますが。

もしかしたら以前のベクターでのウイルス混入事件のようにサーバからウイルスが入っていたのかと思ってしまったりもしたのですが、こうした状況なら安全、と考えていいのでしょうね。

というより、それこそ前回頂いたコメントに照らし合わせて考えれば、

・マイナーな検知ソフトのみが検知している
・大手が反応していない
・ファイル名に共通性があまり(ほぼ?)見られない

という点から、これは誤検知だ、と考えていいということになるのでしょうか。

Avastに頼っている身からすると、「普通にPCを使っていてAvastが検知しないなら問題ない」くらいでいいのかもしれませんけれど……。

>基本的にはその通りですが、セキュリティホールが「両方に存在している」必要はありません。どちらか片方に1つでもセキュリティホールがあれば、それを突くことは可能です。

了解しました。
このあたりについては、それこそ何が危険なのかを可能であればその度に探すくらいの方がいいのかもしれませんね。
そうしたコストを代替してくれるのがウイルス対策ソフトではあるかもしれませんが。

アドバイス頂いた各ウイルス対策ソフト提供会社の方針にしてもそうなるのでしょうけれど、ここでどう判断するか、という認識は自分に任されているのですから、そこをどう判断していくかが一番の問題なのでしょうね。
解凍ソフトが必要なとき、自分などはウイルスチェックした上でどれが一番安全か(できるだけexeでインストールしたくないのでzip形式のものを探したりします)などと延々と迷っていたりしますが、こういうのはこういうので負担にはなりますし、こういうのは割り切りなのでしょうから。

定期的なパッチ対策も踏まえれば、やはり、基本は対策の最新化、偶にはフルスキャンを掛ける、マルウェアスキャンで更に安定させる、とやっていけば、クリーンインストールやリカバリに頼らなくても対策していける、ということかなあと。
なんだかんだでメインPC以外のWINDOWSの更新が遅れているのに気付かず、五日ほど遅れてしまったり、みたいな状況はあるのですが、そういう時はフルスキャンとマルウェアバイツ、各種ソフトの最新化がされているかどうかを自分の基準としています。

Offline NON

  • Japanese User
  • Avast Überevangelist
  • Ultra Poster
  • *****
  • Posts: 5513
  • Whatever will be, will be.
また、lhaplusについてですが、よく公式サイトを読んでみたら、予め制作者さんが一部のウイルス検知ソフトにて誤検知が起こると書いておられました。
恐らく、サイト運営者様もVirusTotalなりでチェックしてみて、この発言をされているのかなと思ったりします。
exeが反応してしまうという趣旨で書かれていますが。

もしかしたら以前のベクターでのウイルス混入事件のようにサーバからウイルスが入っていたのかと思ってしまったりもしたのですが、こうした状況なら安全、と考えていいのでしょうね。

というより、それこそ前回頂いたコメントに照らし合わせて考えれば、

・マイナーな検知ソフトのみが検知している
・大手が反応していない
・ファイル名に共通性があまり(ほぼ?)見られない

という点から、これは誤検知だ、と考えていいということになるのでしょうか。
今回は、Virustotal の結果もそうですが、Lhaplus というソフト(及びその作者)を信用している、というところが大きいかと思います。

ウイルス対策ソフトも万能ではなく、各社とも数か月もウイルスの存在に気付かなかった事例(Induc というウイルスです)もあるくらいですから、書かれている通り最後は割り切りです。
あとは、データのバックアップ等で、仮に感染しても被害を抑えられる対策を取る、というところかと思います。
Desktop: Win10 Pro 22H2 64bit / Core i5-7400 3.0GHz / 32GB RAM / Avast 23 Premium Beta(Icarus) / Comodo Firewall
Notebook: Win10 Pro 22H2 64bit / Core i5-3340M 2.7GHz / 12GB RAM / Avast 23 Free / Windows Firewall Control
Server: Win11 Pro 23H2 64bit / Core i3-4010U 1.7GHz / 12GB RAM / Avast One 23 Essential

Avast の設定について解説しています。よろしければご覧ください。