誤検知と過剰検知

次の質問は過剰検知によってウイルス検知してしまった方からのものです。

質問
web attack 知恵袋 回答URL セキュリティ

突然セキュリティソフトから、侵入を遮断しました。と表示されたので、詳細を見るとリスク(高)でした。

IPS警告名 web attack:
malicious exec

utable download 6

どのようなものなのか、調べましたが英語ばかりで。。
実行ファイルをダウンロードさせる?
ファイルを破壊させる?
よくわかりません。

また、攻撃側のURLを見ると、さきほど踏んだ知恵袋の回答ページに記載してあるURLでした。

そのURLをgredやセキュリティソフトで安全なサイトかどうかチェックすると、「安全」と表示されました。

malicious executable download 6というのは、どのような悪さをするのでしょうか?

また、知識が浅いのでわかりませんが、こういったものは私のPCに脆弱性のあるソフトなどがあるから侵入されそうになり、(最終的にセキュリティソフトが防いでくれた)のでしょうか?

それとも、アプリケーションなどセキュリティ更新万全な環境でも、「侵入されそうになった」ということ自体は変わらないのでしょうか?

詳しい方、回答お願いいたします。


私の回答
Symantec のシグネチャですね。
おそらくトロイの木馬をダウンロードしているところで検知し遮断されました。
PCの脆弱性とは無関係にファイルを自らダウンロードする行為です。
遮断してもらえたので安全です。

サイトのURLを教えてください。
チェックしてみます。


質問者さんの回答
知恵袋「http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1140248541」の回答ページにある
http://www.koukokutou-club.com/gyao/vlc-set.html
です。
お願いいたします。


私の回答
私が見た限りでは何も脅威は見つからなかったです。
普通にVLCというオープンソースのソフトの利用説明ですね。

検知イベントを詳細に見ればもう少しわかるかもしれないですが、私が見た限りは安全なサイトでした。


質問者さんの回答
「普通にVLCというオープンソースのソフトの利用説明ですね。」

そうです。
びっくりしました。

「私が見た限りでは何も脅威は見つからなかったです」

というのは実際に踏んだということでしょうか?それともサイトチェッカーなどで、ということでしょうか?

IPS警告名 Web attack:malicious executable download 6
攻撃側コンピュータ 157.7.107.42.80
攻撃者URL koukokutou-club.com/gyao/vlc-set.html
送信元アドレス 157.7.107.42
トラフィックの説明 TCP, www-http

koukokutou-club.com/gyao/vlc-set.html からのネットワークトラフィックが既知の攻撃シグネチャに一致します。
攻撃は \DEVICE\HARDDISKVOLUME2\PROGRAM FILES \INTERNET EXPLORER\IEXPLORE.EXE の結果でした。

このような検知イベント詳細です。
なにかわかりますか?


私の回答
サイトチェッカーも試したし、実際にアクセスもしてチェックもしました。
私が見た範囲では実行ファイルの兆候も見当たらなかったのです。

検知イベントの詳細も欲しい追加情報は見当たらないですね。。

何らかのパターンに引っかかってしまった過剰検知の可能性もあり、取り立てて心配しすぎる必要はないように感じました。

私がチェックしたサイトチェッカーをガイドしておきます。
http://secstar.blogspot.jp/2016/10/web.html
※私のブログです。


質問者さんの追加の質問
>>私が見た範囲では実行ファイルの兆候も見当たらなかったのです。

何故でしょうか。
検知の詳細はここまでしか書かれていませんでした。

>>何らかのパターンに引っかかってしまった過剰検知の可能性。

過剰検知というのは誤検知ということでしょうか?

「おそらく、トロイの木馬」ということと、遮断はしてくれたので特に心配はしていないのですが、

サイトの評価は安全という点とwaian_346さまの環境では兆候は見られないという点についてどういうことなのか、不思議に感じてしまいました。


私の回答
まず、私のチェックですが、ページ内にexeファイルへのリンクは1つもなかったです。
したがって該当ページが自動・手動いずれもダウンロードするようなexeファイルは存在しませんでした。

過剰検知と誤検知は一般には同義ですが、セキュリティ界では若干のニュアンスの違いがあります。

イメージ的にはこんな感じです。
・誤検知は完全に白または黒のものを逆に検知すること。
・過剰検知はたくさんの検知パターンがある中で、偶発的にヒットして検知してしまうもの。

誤検知は製品としてアウトですが、過剰検知は製品としてどうしても完璧には作りきれないやむを得ない検知のことです。

質問者さんのおっしゃる通り、心配しすぎなくて大丈夫な事象です。

こんな回答ですが、いかがでしょう?


質問者さんの回答
すごく、わかりやすい回答です。
ありがとうございます。

つまり、結論として、

今回のケースでは、本当は問題ないのに検知してしまった可能性もあり。ということでよろしいでしょうか?

あまり、長々と質問し続けるのも申し訳ないので、これで最後にいたします。


私の回答
はい、その通りです。
私も同じ結論です。


参考URL
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q12167520817

0 件のコメント:

コメントを投稿