Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 16
ストーリー by hylom
無害なサイトの誤検知はどうすれば 部門より
無害なサイトの誤検知はどうすれば 部門より
headless曰く、
Windows Defender ATPによるファイルの誤検知を避けるため、ソフトウェア開発者側で実行可能な対策をMicrosoftが紹介している(Microsoft Secure、Neowin)。
誤検知を避けるにはセキュリティベンダーだけでなくソフトウェア開発者の協力が不可欠だ。MicrosoftではアプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法だとしつつ、セキュリティベンダーやユーザーからの信頼を高めるのに有効なポイントを取り上げている。
最初に挙げられているのはファイルへのデジタル署名だ。署名によりファイルが改変されていないことを確認できるが、Microsoftでは署名に使われたデジタル証明書の信頼性評価もファイルの信頼性評価に使用するのだという。特にEV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。
また、バンドルしたソフトウェアに評価の低いものがあると、本体ソフトウェアの評価も低下する。さらに、インストーラーに署名した証明書の評価も下げられることになる。このほか、ファイルの難読化や標準以外のインストール場所の使用、ソフトウェアの目的とは異なる名称の使用といったマルウェアが使用するようなテクニックを使用した場合、誤検知される可能性が高くなるとのことだ。
守りの要 (スコア:1)
ゴールキーパーさえいればいいと思うんだ。
Re: (スコア:0)
ディフェンダーなしでゴールキーパーだけだと、PK以上の得点率になりますけどね。
Re:守りの要 (スコア:2)
ゲートキーパー(GK)だった。
誤検出が多い理由が分かった気がする (スコア:0)
本質的な部分でマルウエアと無関係な項目ばかり
そんなので「評価」を下げる処理するから誤検出するんじゃないの?
Re: (スコア:0)
下げなかったら感染の危険が上がるからな。誤検出は避けようがないんだから、Defenderが気に入らないならMcafeeでも使っとけや。
会社で使ってるSEPは、OSSや新バージョンのインストーラなどをよく誤検出してるが、自宅のDefenderでは誤検出を経験したことない。ATPと比べるとザルなん?
Re: (スコア:0)
そのATPを、Homeにも持ってきてほしい。
MSにも、一応フィードバックしたわ。
Re: (スコア:0)
評価を下げる処理を入れて誤検出を増やすのって難しくね?
セキュリティを人質にしたいん? (スコア:0)
>Windows Defender ATPによるファイルの誤検知を避けるため
>アプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法
なんで誤検出してるMSの為にMicrosoft Storeで公開しなきゃならんの?
Re: (スコア:0)
やってる事は、アプリ開発ベンダー向けのサンプルの手動送信 [microsoft.com]で受け取る以外に、Storeでも受け取るよってだけの話ですね。
ここで引っかかったら詳細解析して擬陽性なら対処してくれるので、自社製品が擬陽性を食らう可能性が減る位ですかね。
Re: (スコア:0)
ひねくれたガキだな
他にもいろいろ紹介してるだろ
ラブコール? (スコア:0)
Microsoft Storeに登録すれば、マルウェアもマルウェア認定しませんよ。ってMSからのラブコールなのか。
今後Microsoft Storeに登録してないアプリはマルウェア扱いにする。という決意表明なのか。
Re: (スコア:0)
そもそも Microsoft Store にマルウェアを登録することができない。(APIの都合上
しかし (スコア:0)
Windows Defender ATPなんて契約してないし、するような規模の客がいないorz
ファイルハッシュ (スコア:0)
Windows95の時にエクスプローラにファイルハッシュを計算・照合する機能を標準で付けておいて、
「ファイルをもらったらハッシュ値が正しいかどうか確認するのは当たり前」という文化を
インターネット・ウェブの普及と同時に広まらせておけば
こんなことにはならなかったのに…
Re: (スコア:0)
もっと深いことにはなったでしょうけど、「こんなこと」が完全になくなったわけではないでしょう。
攻撃する部位が変わるだけのことだと思うよ。
思いのほかザルと言うか・・ (スコア:0)
> EV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。
EV証明書使うだけで検出確率下げられるって危険な考えだな。