(cache) 高木浩光＠自宅の日記 - しょこたん☆をも嚇かすAVソフトの警告

2008年01月14日

■ しょこたん☆をも嚇かすAVソフトの警告

えごらっぴん, しょこたん☆ぶろぐ, 2008年1月12日

駆除できんぞおお

だれかあああああ

これほっとくと大変？感染しました

アンチウイルスソフトが警告を出したようだ。写真からは次のメッセージが読み取れる。

トロイの木馬が検出されました

ファイル C:\Document and Settings\shouko\Local Settings\Temporary Int... は、??????? トロイの木馬に感染していますが、ウイルスを駆除できません。

おそらく「Temporary Internet Files」のことだろうから、これは、Internet Explorerのcacheフォルダ（または Outlook Expressの添付ファイル等の展開場所）だろう。

これ自体は放置しておいても問題ない。トロイの木馬をダウンロード（あるいはメールを受信して表示）しただけであって、ファイルを実行してしまったわけではなかろう。実行さえしなければ、トロイの木馬をcacheフォルダに抱えていても問題ない*1*2。実際、マルウェア対策ソフトによっては、こういった場所にあるものをあえて検知しないように工夫した良心的なものもある。

Question: 使用しているウィルススキャンソフトはrestore- や temp- フォルダ内に何かしらを検出したのですが、a-squaredは何も検出しません。どうしてですか？, a-squared Anti-Malware 3.0 FAQ

市販のウィルススキャナは以下にあるような隠れフォルダやシステムフォルダ内にマルウェアを検出することがありますが、a-squaredは検出しません。

これらのフォルダ内限り、マルウェアが見つかっても危険はありません。

警告メッセージの「トロイの木馬が検出されました」、「トロイの木馬に感染しています」という文は間違ってはいない。よく読めば、「ファイル ○○ は ×× トロイの木馬に感染しています」とあるように、感染しているファイルがあると言っているのであって、「コンピュータが感染した」と言っているわけではない。

だが、利用者はそうは受け取らないようだ。上の事例の「これほっとくと大変？感染しました」というのは、「コンピュータが感染した」すなわち「駆除が必要」、「このままでは危険が生じる」という意味に受け取っているのだろう。

これは無用に人々を怖がらせている。「トロイの木馬感染 internet temporaly files」で検索してみると、同様の事例が多数みつかる。

アンチウイルスソフト会社が以下のようなサポート情報を出していることからも、無用に怖がらされた人々から問い合わせが続出していることがうかがえる。

Internet Explorerの一時ファイル「Temporary Internet Files」フォルダからウイルスを発見した場合の処理方法について, トレンドマイクロ
Windows Me/XP の「_restore」フォルダから何度もウイルスを発見してしまう, トレンドマイクロ

これらは、当該ファイルを削除する方法を説明しているが、削除しないとどうなのかということを説明していない。アンチウイルスソフト会社にとっては（ユーザが怖がることはビジネス上好都合であるから）その必要性を感じないだろう。

昔は、コンピュータウイルスといえば自己複製・伝染能力を持つものを指すことが多かった。そういったものは、存在するだけで社会的な危険があると言えただろう。何らかのひょうしに感染が広がると厄介であるから、とにかくファイル自体削除しておくことが重要視された。それがアンチウイルスソフトの役目だった。自分の身を守るということよりも他人に迷惑をかけないという社会的な理由から、アンチウイルスソフトの使用が求められた。

しかし、最近では、自己複製・伝染能力がなくても、マルウェア自体がもたらす直接的な危険（銀行口座の不正操作等）が注目されるようになってきた。ここで重要なことは、「感染」によってコンピュータに悪質な仕掛けを施される点であり、それを「コンピュータが感染」と呼ぶならば、単に「ファイルが感染」していること（感染したファイルが存在すること）とは大きく意味が違う。

これらが混同されると、人々は、頻繁に検出されるウイルス（感染したファイルの存在の検出）に慣れてしまい、「駆除したからもう安心」と思い込んでしまうのではないかと心配だ。「コンピュータが感染」していた場合には、駆除して終わりという話ではない。既にパスワードを盗られたかもしれないし、ファイルを盗まれたのかもしれない。

これら2つの「感染」を区別して警告することが求められると思うのだが、各社のアンチウイルスソフトはどうなっているだろうか？

*1 もちろん、自ら実行しなくても、脆弱性を突かれて勝手に実行させられてしまった場合は問題があるわけだが、それによって、悪意ある仕掛けがコンピュータ内に埋め込まれてしまった場合は、そっちの方が検出されるべきであり、それが検出されるならcacheフォルダ上のファイル自体はどうでもよい。また、Internet Explorerのcacheフォルダについては、「今後何かのひょうしにcacheフォルダを開いてファイルを開いてしまうかもしれないから駆除しておくべきだ」という主張があるかもしれないが、このcacheフォルダは「インターネットゾーン」に設定されているので、ブラウザで閲覧するのと同じであり、どのみち悪意あるサイトを訪れる危険は依然として存在するのだから、それと同程度の危険にすぎない。

*2 cacheフォルダから外部に出して誰かに渡したりすることがなければ問題ない。「cache」といってもWinnyのそれのように公衆送信用の場所ではない。

本日のTrackBacks(全1件) [TrackBack URL: http://takagi-hiromitsu.jp/diary/tb.rb/20080114]

▼ はんぷてぃ・だんぷてぃ:技術的に (2008年01月15日 21:18)

天気：曇り？　今日は1月らしい気温さて、今日は「ダウンロード違法化」について技

本日のリンク元

ココログ [stressfulangel cocolog] ×12 : 6, 4, 1, 1 (2008-01-15)
セキュリティホールmemo ×728 : 668, 54, 6 (2008-01-15)
http://www.moongift.jp/list.html ×4 (2008-01-15)
はてなブックマークコメント ×25 (2008-01-15)

アンテナ

Bloglines ×70 : 7, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-01-15)
はてなRSS ×36 : 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-01-15)
はてなブックマーク ×383 : 183, 51, 30, 22, 19, 13, 12, 9, 4, 4, 3, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-01-15)
labs.ceek.jp/hbnews/ ×34 : 12, 9, 6, 3, 2, 1, 1 (2008-01-15)
転送 /20080114.html ×4 : 2, 1, 1 (2008-01-15)
livedoorクリップ ×35 : 15, 7, 5, 4, 1, 1, 1, 1 (2008-01-15)
グーグル ×356 : 135, 113, 41, 18, 5, 4, 3, 3, 3, 3, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2008-01-15)
http://fastladder.com/reader/ ×9 (2008-01-15)
http://rssview.net/cgi-bin/disp.cgi?mikle_url=http://r.haten... ×7 (2008-01-15)
del.icio.us ×5 : 1, 1, 1, 1, 1 (2008-01-15)
http://www.netvibes.com/ ×8 (2008-01-15)
http://twitter.com/home ×9 (2008-01-15)
http://reader.livedoor.com/reader/ ×333 (2008-01-15)

検索

高木浩光＠自宅の日記

2008年01月14日

■ しょこたん☆をも嚇かすAVソフトの警告

最近のタイトル