Microsoft、プロセス分析ツール「Process Hacker」をマルウェア扱いして駆除 35
ハックツール扱い 部門より
Microsoftのセキュリティツールなどが、オープンソースのプロセス/リソース解析ツール「Process Hacker」をマルウェアとして勝手に駆除するようになっている(Process Hacker Forums、Confidential Files!)。
Process Hackerはマシン上で動作しているプロセスおよびサービスの一覧表示やプロセス毎のネットワーク、ディスクといったリソース利用状況表示といった機能を備えるWindows向けソフトウェア。オープンソース(GPLv3)で開発・提供されており、セキュリティ研究者の間でも有用なツールとして定評がある(Malwarebytes Labsによる紹介記事)。
フォーラムなどの情報によると、11月末から12月頭ごろにMicrosoft DefenderなどのセキュリティツールがProcess Hackerを駆除対象にし、勝手に削除する動作をするようになったようだ。Microsoftはこの件について「偽陽性」であり再検討するとしているようだが、現時点では修正されていない。
MicrosoftはProcess Explorerという似たようなツールをリリースしているが、こちらについてはマルウェア扱いされていない。Process Hacker Forumsによると、Microsoftはここ数年サードパーティのタスクマネージャ系ツールを締め出すような動きをしており、さらに自社ツールを優遇するようなWindows APIの変更も行っているという。
また、Process HackerのソースコードはGitHubで公開されているが、開発者らはこれについてもMicrosoftが危険なソフトウェアだとしてGitHub上から削除する可能性があるのではないかと懸念している。
サードパーティー性のハッカーツールがそう扱われるのはしょうがないだろう (スコア:2)
アンチウィルスとかでもいえる話だと思うんだけど、他のアプリやOSそのもののプロセスに何かしようとするようなソフトが自社で管理の及ばないところでリリースされること自体がOSにとってはリスク。
そういうジャンルはできるだけ自社ツールでカバーしておきたいと考えるだろうし、類似ツールをずっと前からリリースしているわけで、ストアアプリとかの配信システムを整備し始めてる状況では排除が進むのはしょうがないと思う。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
Re: (スコア:0)
タレコミ後半もそうだけど、Microsoftが「偽陽性」と言っているのに、それを無視した感想が出てくるのが不思議。
Re: (スコア:0)
Process ExplorerはSysinternals社によるサードパーティツールだぞ。
それが会社毎買収されて公式になっただけ。
なので偽ブルースクリーンを表示するスクリーンセーバなんてものまで公式に……w
Sysinternals製品は結構な所まで干渉するけど、
元々MSが開発したものでは無いから他と比べて特別低リスクだった訳ではない筈。
ストアから配信しろ (スコア:1)
バイナリに署名しなさい
署名があったって安全とは限らないのだが (スコア:0)
スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。
マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。
コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。
マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。
Re: (スコア:0)
まさかまっとうな認証局がGPKIみたく放置プレイするわけないし
Re:署名があったって安全とは限らないのだが (スコア:1)
マルウェアを配信したからといって原則revokeされません。
認証局はソフトウェアの合法性を審査する機関ではなく、発行先法人の実在性を判断する機関でしかありません。
Re: (スコア:0)
Re: (スコア:0)
eulaとか一切読んだことないんだろうな
Re: (スコア:0)
実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。
論理的思考能力がないのか?
Re: (スコア:0)
プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。
それだけじゃ単なる署名付きのファイルでしかない。
Re: (スコア:0)
コード署名が保証するのは、ソフト配布元からダウンロードしたファイルが
第三者によって改竄されていないかなので、
ソフト配布元がオープンソースなソースコードにマルウェアを仕込んだ上でビルドしていないかや、
ソフト配布元が使用したコンパイラがバイナリにこっそりとマルウェアを仕込んでいないかを
保証することはできないわけだが、
いったいどうやって、コード署名だけで、
実行ファイルだけを見てオープンソースか判断するんだ?
論理的思考能力がないのか?
Re: (スコア:0)
誰がビルドして署名して出荷したか推論できるわけだから、
たとえば、redhat が署名したバイナリだと言えば、何をどうやってビルドしたものかは調べて推論できるだろう。
Re: (スコア:0)
Re:署名があったって安全とは限らないのだが (スコア:1)
ウイルスソフトなら当然でしょ
ブーメラン投擲 (スコア:0)
>スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
過去のストーリー「HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか [security.srad.jp]」のことを言ってるんだろうけど、すぐそうやってクソデカ主語で勝手なレッテル貼りするからスラド民は嫌われるんだぞ?
Re: (スコア:0)
これじゃね。もちろん署名はされてる。
https://github.com/processhacker/processhacker/tree/master/KProcessHacker [github.com]
https://www.virustotal.com/gui/file/69527aa5ad089d9731e0054a32c9626a8d... [virustotal.com]
https://www.virustotal.com/gui/file/220a2dcf4d597f9208c0e7fd7057a91e88... [virustotal.com]
例えば、vncは、人によっては必須ツール。
悪用されればマルウェア(判定)。それといっしょ。
実際に、マルウェアに転用された
自社ツールを優遇するようなWindows APIの変更とは… (スコア:1)
眉唾なんたが優遇って実際どんなことができる|してるんだろう。
非公開APIがコロコロ変わっちゃうってのなら使ってる方がオウンリスクだろうし。
Re: (スコア:0)
公開APIのパフォーマンス下げて自社製ツールでは非公開API使うとかかね?
露骨に無意味なウェイト入れたりはしないだろうし、
公開APIが遅くなる他ない内部仕様変更と、
それに対し効率の良い非公開APIがあるとかなら無くはなさそうだが……
公開APIを拡張するのってお手軽にできるわけでも無いし仕方が無いような。
名前で? (スコア:0)
ヒューリスティックに検出しました!(ドャア)
なんていったら嘲笑われるよね
Re: (スコア:0)
普通に考えればヒューリスティックでだろ?
名前考えずに見ると、そりゃこの手のツールの挙動はアヤシイったらないわな。
Re: (スコア:0)
さすがにファイル名で弾いてることは無いと思うけど、
WindowsDefenderはとりあえず未知なら何でも削除してきますね。
件のProcessHackerみたいに強目のAPIをリンクしてるexeは一応削除、
エクセルマクロは何度除外しても少し編集して保存すればまた削除。
実際の実行コードでなくプロパティのレベルでしか判断してない感じです。
自社ツールProcessExplorerがマルウェア扱いされないのは、
単に既知の安全リストにあるファイルだというだけのことでしょう。
「セキュリティソフトはWindowsDefenderで充分」という意見を散見しますが、
WindowsDefenderでも支障の出ないようなライトユースしかしてなけりゃ安全
という意味ではまあ正しいかと思います。
Re: (スコア:0)
spy++(spyxx.exe)なんてまっさきに引っかかりそうだな。
wikipediaの中の人の気持ちがちょっとだけわかった (スコア:0)
タレコミの各所に[要出典]をつけたくなる。
Re: (スコア:0)
被害を食らった人がいろいろ言いたくなる気持ちはわかるけどね。特にWindows Defenderに排除されると大半の環境で使えなくなるし。
とはいえ、Microsoft自身が偽陽性って言っているんだから、偽陽性なんだろう、としか言いようがないよな。
自衛策としては、ほかのコメントにあるようにコード署名するのが一番。
レガシーOS用は問題なし (スコア:0)
うちでもWin10の方はウイルスが検出されましたってなるけど、レガシーOS用は問題ないな。
#レガシーOS用もWin10で動作する
Re: (スコア:0)
誤検出で有る事を願うしかない。
違ってたら触ってた人達も気付かん仕込みという恐ろしい話になる…
逆説的な有用性 (スコア:0)
やっぱりサードパーティーのものが使えないとこういうおかしなことになるね
なんか香ばしい (スコア:0)
>Process Hacker Forumsによると、Microsoftはここ数年サードパーティのタスクマネージャ系ツールを締め出すような動きをしており、さらに自社ツールを優遇するようなWindows APIの変更も行っているという。
この一文で一気に見方が変わったんだが…
「自社ツールを優遇するようなAPIの変更」って、自社ツールとの連携が一番なのは当たり前じゃないか。
こいつらは「この度APIを変更しようと考えているのですが、Process Hacker Forumsの皆様に事前に確認して頂きたいのですが…」みたいな対応でもしないと永遠に文句言ってそう。
Re: (スコア:0)
WindowsUpdateでコロコロ仕様変えてドライバをコケさせて
「OSについて来れない老害アプリなんか使うな!」ってスタンスは
Win10が最初からやってることなのに何を今更って感じだよな
Re: (スコア:0)
コロコロ変えたことは、いままで一度もないですよ。
サポートされなくなるドライバフォーマットなんかは、最低でも2年前には告知されます。公式でドライバ作ってると、告知ページだけじゃなくて、メールでの連絡もきます。
Win10になってAPIの仕様についても、変更頻度は上がってますが、いまのところリリースの1年前には変更版が(バグとかの制限つきだったりしますが)試せてますね。
Re: (スコア:0)
Lotus123でのIBMの発言思い出すな…
何言ってるんだか…と。
そのほかのセキュリティソフトも削除してくる (スコア:0)
1行目に「Microsoftのセキュリティツールなど」と書かれているようにMicrosoft製ソフト以外もProcess Hackerを削除してくるようで。
少し前にProcess Hackerが気になったので試してみようとしたのですが、自分のところではTrendmicro製ソフトがダウンロードしたzipを叩き落してくれました....(PUA.Win32.ProcHack.Aとして検出)。
https://github.com/processhacker/processhacker/issues/408 [github.com]