誤検知への対応
Tor Browserというものがあります。
これは匿名化ネットワークTorを経由してインターネットへアクセスする為のオープンソースのウェブブラウザです。
便利さを考える場合、特にWebブラウザはなにかと個人情報や訪問先情報を収集することになる場合があります。
これに対抗するための一つの方向性がこういったブラウザを使うということです。
この方向を目指したWebブラウザの実装は他にもあります。
Braveなどです。
またWebブラウザという方向ではありませんが、DuckDuckGoというものもあります。
こちらはインターネット検索エンジンです。
ある意味同じ話で、検索エンジンはなにかと個人情報や訪問先情報を収集することになる場合があるのですが、このDuckDuckGoは利用者のプライバシーの保護と利用履歴等を記録保存しないことを運営方針としています。
個人の情報を蓄積しませんので、機能面で見ると検索結果のパーソナライズは実施しません。
というか、パーソナライズを実施するための情報を収集していません。
こういった考え方は一定の広がりを見せています。
これらは通常のツールであり、利用することに何ら問題のないものといえます。
Microsoft Defenderというものがあります。
これはマイクロソフトによって開発された無料で使用できるアンチウイルスソフトウェアです。
出始めの頃は検出できる脅威も消して多くなく、利用の価値が問われることもありましたが、最近では数あるアンチウイルス機構のなかでも高機能高精度を実現できているもののひとつとなっています。
以前はアンチウイルスソフトウェアは通常1台のパソコンで1つだけ使うことが多かったのですが、Microsoft Defenderの登場以来、Microsoft Defenderに加えて他のアンチウイルスソフトウェアを利用するというスタイルも選択されることが増えました。
Microsoft Defenderの利用者数は大きいと考えられます。
アンチウイルスソフトウェアは日々動作を更新して、新しい脅威に対応できるようにします。
Microsoft Defenderも更新されているのですが、すこし注意が必要な状況となってしまっています。
Microsoft DefenderがTor BrowserをWin32/Malgent!MTB マルウェアとして誤って検出するのです。
Microsoft Defenderにはいくつもの技法によるマルウェアの検出機構が実装されているのですが、その一つにTorを使用して活動を隠すトロイの木馬を識別するように設計された新しいヒューリスティック検出方法が含まれます。
これによりこの通信手法を使用するマルウェアを検出することができるのですが、マルウェアだけでなくTor Browserも同じものとして検出してしまいます。
ヒューリスティック検出は、ルールとアルゴリズムを使用して不審な動作を識別するマルウェアを検出する方法です。
この検出方法は、新たなマルウェアの脅威を検出するのに非常に効果的ですが、誤検知も発生する可能性があります。
ヒューリスティック検出手法により、無害なソフトウェアにマルウェアとしてフラグが立てられる場合があるのですが、今回はその一つの例といえそうです。
この状態は非常に困ったことになります。
Tor Browserの利用者は、何とか対策したいと思いますよね。
Tor Browserのサポートサイトでは、本件に関する説明と、いくつかの対策が提示されています。
こんな感じです。
- TorブラウザをメインWeb サイトからダウンロードするか、 GetTorを使用して検証した場合、これらは誤検知であり、心配する必要はありません。
- 一部のウイルス対策ソフトは、多くのユーザーの使っていないファイルを疑わしいとみなします。
- ダウンロードしたTorプログラムが私たちが作成したものであり、攻撃者によって変更されていないことを確認するには、Torブラウザの署名を検証します。
- ウイルス対策ソフトがTorブラウザへのアクセスをブロックしないように、特定のプロセスを許可することもできます。
このように事態を説明したくなることはよくわかります。
しかし、Tor BrowserをMicrosoft Defenderの除外リストに追加することを対策として実施するということは、はたして妥当なのでしょうか。
今回の例に限った話ではないですが、誤検知への対応というのは難しいものですね。
参考記事(外部リンク):Tor Browser and antivirus false positive warnings
support.torproject.org/tbb/antivirus-false-positive/
