先日、ニコ生プレーヤー Ver1.10でトロイの木馬が検知されるので修正してほしいとの連絡を頂きました。
主の配布しているツールすべてに言えることですが、特に悪意(端末内の情報を盗んだり、遠隔操作等)を持った処理は入れていないので安心して使用してください!
と、言いたいわけですが、使用する方にとっては本当かどうかわからないし判断のしようがないと思います。
なので、セキュリティソフトを使用し、判断するのは当然かと思います。
主は普段、AVGを使用しているわけですが、今回報告いただいた環境ではカスペルスキーを使用しているとのことでした。
ということで、実際に検証端末を準備し、クリーンな状態で検証しました。
調べてみると確かにニコ生プレーヤーのみ、脅威のあるファイルとして検知されました。
次に、原因を特定していきます。
【原因の特定】
①検知されるファイルを特定
⇒ NicoLivePlayer.exe
②難読化の影響がないか
開発者としては当然かと思いますが、当サイトのツールは不当な解析や改ざんを防止する為に難読化を行ってから配布しています。なので、その難読化が影響していないか確認します。
難読化あり ⇒ 検出あり
難読化なし ⇒ 検出なし
【原因】
難読化することにより、ツールがたまたまセキュリティソフトに検知されるバイト・パターンになってしまったと思われます。他のツールも検知されるのであれば、難読化自体がNGの可能性もありますが、ニコ生プレーヤーだけだったので関係ないと判断しました。
また、難読化なしの状態でも検知される場合はソース自体に問題がある可能性がありますが、今回は難読後だった為、セキュリティーソフトの誤検知となります。
【対応案】
・いつもとは違う難読化ツールを使う、または設定を変える
⇒ 今回はこちらを適用し、
Ver1.11で配布
・原因となるソースの場所を探し、記述や順番等を変更する
・セキュリティーソフトの開発会社に報告し、ウイルス定義データベースの更新をお願いする
【最後に】
今回は「パターン・マッチング」による誤検知だと思いますが、他にも「ヒューリスティックエンジン」と呼ばれる、ツールそのものの振る舞いや挙動を検出する仕組みもあり、検知されたファイル自体に実害が無くてもウイルスとして誤検知されることがあります。
また、セキュリティーソフトの更新等で新たなパターンが増えることにより、今後も同様に検知される可能性が考えられます。
特にニコニコ関係のツールではログイン情報の設定があり、不安に思う方もいると思います。
だからこそ、IE側でニコニコにログインすればツールでログイン情報を設定しなくても動作する仕様にしています。
この様な仕様も含め、使用しても大丈夫そうか判断して頂ければと思います。
今回はこちらで対応できましたが、すべてのセキュリティーソフトで検知されないようにするのは多大な時間と労力を必要とします。
これはあくまでもフリーソフトであり、仕事で開発しているわけではないので、そこまでしっかりとしたサポートは考えていませんので、ご了承ください。
