最も有名な診断ツールのHijackThis、トレンドマイクロ(TrendMicro)社へ売却

世界中のスパイウェアマルウェアの相談掲示板やフォーラムで広く利用され、最も著名なツールの一つであるHijackThisが、トレンドマイクロ社により買収された。
Merijn Bellekom氏によりリリースされたHijackThisはやや長い期間更新がストップしていたが、学業を優先したいとのMerijn氏の希望によりトレンドマイクロ社に販売されたものである(via Spyware Warrior Forum)。
Trend Micro HijackThis 2.00 betaとして新バージョンがトレンドマイクロ社よりリリースされたのだが、今後の展開が大変気になる。

HijackThisとは

Windowsのスタートアップエントリー(起動エントリ:プログラムなどをOS起動時やログイン時に実行させるために登録する場所)の一覧を表示し、稼動中のプログラムを一覧表示させるプログラムである。
HijackThisは第三者が利用するパソコンの状態を把握する目的で広く質問掲示板で利用されているものの、幾つかの問題点がある。


第一に、ファイル名・レジストリエントリ名などが既存のファイルと同じであった場合は、マルウェア配布者による偽装工作を見抜けない点だ。
擬態・偽装するマルウェア - ファイル名・エントリ名とHijackThisによる修復の難(2006年5月14日)(Semplice)
多くの場合、回答者は独自のネタ帳やデータベースを持ち、もしくはネット上で検索してHijackThisが提示した情報を判断する。
電子署名の有無などをチェックできないのは悪質なプログラムやファイルへの見逃しが生じる潜在的危険性が存在するし、また幾つかの事例で回答者の適切な活動を妨げる。まさか個別のファイルの電子署名を逐一相談者に確認させろとでも?


第二に、多くの悪質なソフトウェア配布者にとって目の上のタンコブであるし、HijackThisは悪質な業者にとって最も嫌がられるツールの一つである。Merijn Bellekom氏のサイトは幾度かDos攻撃で沈没しているし、HijackThisは多くのサイトにより二次配布されてかなり広く利用されている。
にも関わらず、悪質な業者よりの妨害工作への対策らしい対策がとられていないのだ。
HijackThisには、電子署名(コードサイニング証明書)が無い。だから誰かが改変し罠を仕込んだ偽HijackThisを配布したとしても、見分けようが無い。
民間有志によるマルウェア対策ツールは、有名になるほど大きな運用リスクを抱える(2006年11月23日)、及びウイルス対策ソフトメーカーは、デジタル署名・コードサイニング証明書が無いマルウェア対策ツールを配布するべきではない(2006年11月26日)(Semplice)

トレンドマイクロ社による新Trend Micro HijackThis v2.0.0(BETA)

コードサイニング証明書の利用

Trend Micro HijackThis v2.0.0(BETA)では、TrendMicro, Inc.の電子署名が利用されるようになった。
これでやっと安心して利用できるとこの場で述べても、過言ではない。

解析を補助するツール(Analysis of HijackThis log files)

License Agreementには、このような一文が掲載されている。


5. REPORTS AND PRIVACY.
At any time during the term of this Agreement, You may choose to send to Trend Micro a report of log files that may include personal information that the Software scanned on Your computer.
(和訳:Luca)
この契約における期間中であるならばいつでも、あなたのコンピュータのソフトウェアをスキャンした個人情報を含む情報であるログファイルの報告を、トレンドマイクロに送信すると望んだと判断される。
 Trend Micro Hijack This


何の事かと思いきや、スキャン後にAnalyzeThis(Upload to TrendSecure)を押したらば、トレンドマイクロ社が提供するログ解析支援サービスのようなものが表示された。この新サービスを指すのだろう。
AnalyzeThis - Analysis of HijackThis log filesでは、10000台のパソコン中にて何%確認されているログであるのかを表示するものであるため、個別のログへの危険性を判断するための確度が高い指標とまではならないが、幾らかの目安にはなる。
「Additional information will be provided as more HijackThis log files are added to the AnalyzeThis database.」とあるのだが、ログファイル中に表示されるファイルの電子署名の有無などを確認してはいないため、どう判断するべきなのかと。
どこかの著名なソフトウェアやゲームの実行ファイルと同名ファイルであったならばなどと、ふっと考えこんでしまった。

解説は今後補足されていくんだろうけど

(Merijn氏には何の責任も無い話であるが)幾つかのフォーラムやメーカーサイトにては、HijackThisの利用法としては不適切なガイドを掲載している。
最近、(トレンドマイクロではないが)某メーカーによる解説に重篤な問題があったので、連絡して修正させたばかりだ。
TrendMicro社による各項目を紹介するExplanation of the codesは、今後追記され新たな解説ページが作られるのかな?どのような内容となるのか、今後の経緯をじっくりと見守りたい。