パスワードを忘れた? アカウント作成
14068696 story
Windows

Microsoft、プロセス分析ツール「Process Hacker」をマルウェア扱いして駆除 35

ストーリー by hylom
ハックツール扱い 部門より

Microsoftのセキュリティツールなどが、オープンソースのプロセス/リソース解析ツール「Process Hacker」をマルウェアとして勝手に駆除するようになっている(Process Hacker ForumsConfidential Files!)。

Process Hackerはマシン上で動作しているプロセスおよびサービスの一覧表示やプロセス毎のネットワーク、ディスクといったリソース利用状況表示といった機能を備えるWindows向けソフトウェア。オープンソース(GPLv3)で開発・提供されており、セキュリティ研究者の間でも有用なツールとして定評がある(Malwarebytes Labsによる紹介記事)。

フォーラムなどの情報によると、11月末から12月頭ごろにMicrosoft DefenderなどのセキュリティツールがProcess Hackerを駆除対象にし、勝手に削除する動作をするようになったようだ。Microsoftはこの件について「偽陽性」であり再検討するとしているようだが、現時点では修正されていない。

MicrosoftはProcess Explorerという似たようなツールをリリースしているが、こちらについてはマルウェア扱いされていない。Process Hacker Forumsによると、Microsoftはここ数年サードパーティのタスクマネージャ系ツールを締め出すような動きをしており、さらに自社ツールを優遇するようなWindows APIの変更も行っているという。

また、Process HackerのソースコードはGitHubで公開されているが、開発者らはこれについてもMicrosoftが危険なソフトウェアだとしてGitHub上から削除する可能性があるのではないかと懸念している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • アンチウィルスとかでもいえる話だと思うんだけど、他のアプリやOSそのもののプロセスに何かしようとするようなソフトが自社で管理の及ばないところでリリースされること自体がOSにとってはリスク。
    そういうジャンルはできるだけ自社ツールでカバーしておきたいと考えるだろうし、類似ツールをずっと前からリリースしているわけで、ストアアプリとかの配信システムを整備し始めてる状況では排除が進むのはしょうがないと思う。

    • by Anonymous Coward

      タレコミ後半もそうだけど、Microsoftが「偽陽性」と言っているのに、それを無視した感想が出てくるのが不思議。

    • by Anonymous Coward

      Process ExplorerはSysinternals社によるサードパーティツールだぞ。
      それが会社毎買収されて公式になっただけ。
      なので偽ブルースクリーンを表示するスクリーンセーバなんてものまで公式に……w

      Sysinternals製品は結構な所まで干渉するけど、
      元々MSが開発したものでは無いから他と比べて特別低リスクだった訳ではない筈。

  • by Anonymous Coward on 2019年12月13日 15時34分 (#3731175)

    バイナリに署名しなさい

    • スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。

      今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。
      マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。

      コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。
      マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。

      • by Anonymous Coward
        そんなもん証明書をさっさとrevokeすればいいだけだろ
        まさかまっとうな認証局がGPKIみたく放置プレイするわけないし
      • by Anonymous Coward

        実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。
        論理的思考能力がないのか?

        • by Anonymous Coward

          プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。
          それだけじゃ単なる署名付きのファイルでしかない。

        • by Anonymous Coward

          コード署名が保証するのは、ソフト配布元からダウンロードしたファイルが
          第三者によって改竄されていないかなので、

          ソフト配布元がオープンソースなソースコードにマルウェアを仕込んだ上でビルドしていないかや、
          ソフト配布元が使用したコンパイラがバイナリにこっそりとマルウェアを仕込んでいないかを
          保証することはできないわけだが、

          いったいどうやって、コード署名だけで、
          実行ファイルだけを見てオープンソースか判断するんだ?
          論理的思考能力がないのか?

          • by Anonymous Coward

            誰がビルドして署名して出荷したか推論できるわけだから、
            たとえば、redhat が署名したバイナリだと言えば、何をどうやってビルドしたものかは調べて推論できるだろう。

      • by Anonymous Coward
        1. Microsoftストアでの配信であれば、事前にマイクロソフトによる審査が行われているため、安全性に一定の信頼が寄せられる(Google Play?知らんな)。そして、ストアで配信するためにはコード署名が必要(#3731175のタイトルも読んであげて?)
        2. スラド内でも、ウイルスソフトで有名なウイルスバスターが、誤検出を繰り返し、解除するために署名(コード署名かは不明)を薦めた事 [security.srad.jp]を 皮肉っている?
      • by Anonymous Coward

        >スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。

        過去のストーリー「HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか [security.srad.jp]」のことを言ってるんだろうけど、すぐそうやってクソデカ主語で勝手なレッテル貼りするからスラド民は嫌われるんだぞ?

      • by Anonymous Coward

        これじゃね。もちろん署名はされてる。

        https://github.com/processhacker/processhacker/tree/master/KProcessHacker [github.com]
        https://www.virustotal.com/gui/file/69527aa5ad089d9731e0054a32c9626a8d... [virustotal.com]
        https://www.virustotal.com/gui/file/220a2dcf4d597f9208c0e7fd7057a91e88... [virustotal.com]

        例えば、vncは、人によっては必須ツール。
        悪用されればマルウェア(判定)。それといっしょ。
        実際に、マルウェアに転用された

  • by Anonymous Coward on 2019年12月13日 19時21分 (#3731332)

    眉唾なんたが優遇って実際どんなことができる|してるんだろう。
    非公開APIがコロコロ変わっちゃうってのなら使ってる方がオウンリスクだろうし。

    • by Anonymous Coward

      公開APIのパフォーマンス下げて自社製ツールでは非公開API使うとかかね?
      露骨に無意味なウェイト入れたりはしないだろうし、
      公開APIが遅くなる他ない内部仕様変更と、
      それに対し効率の良い非公開APIがあるとかなら無くはなさそうだが……
      公開APIを拡張するのってお手軽にできるわけでも無いし仕方が無いような。

  • by Anonymous Coward on 2019年12月13日 15時45分 (#3731185)

    ヒューリスティックに検出しました!(ドャア)
    なんていったら嘲笑われるよね

    • by Anonymous Coward

      普通に考えればヒューリスティックでだろ?
      名前考えずに見ると、そりゃこの手のツールの挙動はアヤシイったらないわな。

    • by Anonymous Coward

      さすがにファイル名で弾いてることは無いと思うけど、
      WindowsDefenderはとりあえず未知なら何でも削除してきますね。

      件のProcessHackerみたいに強目のAPIをリンクしてるexeは一応削除、
      エクセルマクロは何度除外しても少し編集して保存すればまた削除。
      実際の実行コードでなくプロパティのレベルでしか判断してない感じです。

      自社ツールProcessExplorerがマルウェア扱いされないのは、
      単に既知の安全リストにあるファイルだというだけのことでしょう。

      「セキュリティソフトはWindowsDefenderで充分」という意見を散見しますが、
      WindowsDefenderでも支障の出ないようなライトユースしかしてなけりゃ安全
      という意味ではまあ正しいかと思います。

    • by Anonymous Coward

      spy++(spyxx.exe)なんてまっさきに引っかかりそうだな。

  • by Anonymous Coward on 2019年12月13日 15時50分 (#3731191)

    タレコミの各所に[要出典]をつけたくなる。

    • by Anonymous Coward

      被害を食らった人がいろいろ言いたくなる気持ちはわかるけどね。特にWindows Defenderに排除されると大半の環境で使えなくなるし。

      とはいえ、Microsoft自身が偽陽性って言っているんだから、偽陽性なんだろう、としか言いようがないよな。
      自衛策としては、ほかのコメントにあるようにコード署名するのが一番。

  • by Anonymous Coward on 2019年12月13日 16時56分 (#3731238)

    うちでもWin10の方はウイルスが検出されましたってなるけど、レガシーOS用は問題ないな。

    #レガシーOS用もWin10で動作する

    • by Anonymous Coward

      誤検出で有る事を願うしかない。
      違ってたら触ってた人達も気付かん仕込みという恐ろしい話になる…

  • by Anonymous Coward on 2019年12月13日 17時47分 (#3731270)

    やっぱりサードパーティーのものが使えないとこういうおかしなことになるね

  • by Anonymous Coward on 2019年12月13日 23時15分 (#3731409)

    >Process Hacker Forumsによると、Microsoftはここ数年サードパーティのタスクマネージャ系ツールを締め出すような動きをしており、さらに自社ツールを優遇するようなWindows APIの変更も行っているという。

    この一文で一気に見方が変わったんだが…
    「自社ツールを優遇するようなAPIの変更」って、自社ツールとの連携が一番なのは当たり前じゃないか。
    こいつらは「この度APIを変更しようと考えているのですが、Process Hacker Forumsの皆様に事前に確認して頂きたいのですが…」みたいな対応でもしないと永遠に文句言ってそう。

    • by Anonymous Coward

      WindowsUpdateでコロコロ仕様変えてドライバをコケさせて
      「OSについて来れない老害アプリなんか使うな!」ってスタンスは
      Win10が最初からやってることなのに何を今更って感じだよな

      • by Anonymous Coward

        コロコロ変えたことは、いままで一度もないですよ。
        サポートされなくなるドライバフォーマットなんかは、最低でも2年前には告知されます。公式でドライバ作ってると、告知ページだけじゃなくて、メールでの連絡もきます。

        Win10になってAPIの仕様についても、変更頻度は上がってますが、いまのところリリースの1年前には変更版が(バグとかの制限つきだったりしますが)試せてますね。

    • by Anonymous Coward

      Lotus123でのIBMの発言思い出すな…
      何言ってるんだか…と。

  • by Anonymous Coward on 2019年12月30日 0時34分 (#3738678)

    1行目に「Microsoftのセキュリティツールなど」と書かれているようにMicrosoft製ソフト以外もProcess Hackerを削除してくるようで。
    少し前にProcess Hackerが気になったので試してみようとしたのですが、自分のところではTrendmicro製ソフトがダウンロードしたzipを叩き落してくれました....(PUA.Win32.ProcHack.Aとして検出)。
    https://github.com/processhacker/processhacker/issues/408 [github.com]

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...