Norton の SONAR 問題とは、悪さなどしない正常なプログラム または あなたのプログラム を指して 「ウイルスだ。セキュリティリスクだ。」と SONAR が誤認することです。
ここでは、こうした誤認識 (誤検知、誤検出) が発生した場合のシマンテック側の対応を問題にしています。 すなわち、SONAR に関する、まともな修正をしてくれるかどうか、を気にしているのです。
以下の表に該当する場合 (およびこれに準じる場合) には、アプリテック株式会社内に設けた SONAR 被害担当 にお知らせください。
いずれにしても、シマンテック側に SONAR の修正を強く要求することが重要です。
シマンテック側では 「テクニカルサポート」 あるいは 「カスタマーサポート」 が窓口になっているようですが、これ以外でも構いませんから、しっかりと要求を告げることです。
シマンテック側がそうした要求を受け付けないような場合にも、上記のアプリテック株式会社内の「SONAR 被害担当」にお知らせください。
なお、誤認問題などを告げた相手 (シマンテック側の対応者) の氏名、およびその日時などをできるかぎりメモしておいてください。
| 問題のステージ | 問題のある対応 | 注 |
|---|---|---|
| 初期対応の問題 | ◆ SONAR の誤認かどうかを判定してくれない、または判定してくれても結果を知らせてくれない。 ◆ シマンテック側は問題の発生したパソコンに個別に応急処置を施すだけで、SONAR の修正を始めようとしない。 応急処置とは SONAR が見つけた容疑プログラムを解放して、動作可能にすることです。 この操作方法を教えてくれる、またはこの操作をシマンテック側が代行してくれるようですが、いずれにしても下記のリスクがあり、いい加減な判定による 「容疑プログラムの解放」 は大変に危険です。 ◆ SONAR の修正要求の手続きの案内もなく、また SONAR を修正するとの約束もしてくれない。 |
SONAR が誤認をしているのか、そうでないのかを調べるのは、必須です。これを行うのは、SONAR 開発元のシマンテック側の責任です。 たとえ、あなたのプログラムであっても、一応 SONAR の判定を尊重して、シマンテック側にきちんと調べてもらうことが重要です。 応急処置と SONAR の修正とは、異なることです。 応急処置だけでは、修正したことになりません。 |
| 修正要求の手続きの問題 | SONAR の修正要求の手続きを案内されたとしても、 英語による修正要求でないと SONAR を修正してもらえないような場合には、 シマンテック側に日本語による対応を求めましょう。 ◆ これに対応してくれない、 すなわち日本語による修正要求を拒否された場合。 ◆ 修正要求をなかなか受け付けないとか、 修正要求の手続きを面倒にして、修正要求を間引くとか、 シマンテック側に修正をいやがる様子が感じられた場合。 |
Norton は日本でも販売されている商品ですから、シマンテック側は日本語で対応するのが当たり前です。 実際、東京都港区赤坂の本社などには、日本人のスタッフも抱えているのですから、なおさらです。 |
| 修正内容の問題 | 修正内容に問題があり、誤認されたプログラムに軽微な修正を施すと、また誤認が発生する場合には、 シマンテック側に n-gram という方法による修正を求めましょう。 ◆ これに対応してくれない、 すなわち n-gram という方法による修正を拒否された場合。 |
修正要求の際に、最初から n-gram による修正を求めた方がよいでしょう。 さもないと、軽微な修正を施すと、また誤認が発生することになりかねません。 |
★ リスク: もしも容疑プログラムがウイルスだった場合には、それを解放することになり、ウイルスの活動を許すことになります。 この意味でも、SONAR の誤認かどうかを判定することは必須なのです。
第 177 回国会 衆議院法務委員会 平成 23 (2011) 年 5 月 27 日 質疑応答より
─ いわゆるウイルス作成罪に関する審議で ─
大口委員:(・・・ 省略 ・・・。) それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。
そして、たとえば無料のプログラムですね、このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、
それを無視してですね、そのプログラムを公開し続けた場合は、それを知った時点で (注:それが発覚した時点で、という意味か)
少なくとも未必の故意があってですね 提供罪が成立するという可能性があるのか、おうかがいしたいと思います。
江田法務大臣:あると思います。
この質疑応答についてのアプリテック株式会社の見解
バグとウイルスとは、かなり明確に区別できるので、バグをウイルス関係の刑法の処罰対象にしないで欲しいというのが、ソフト業界の大半の人々の意見だと思われる。 ある日、突然に逮捕されるような事態は、避けたいからである。
しかし、バグかウイルスかの判別が難しいものが存在するのも事実である。 こうしたものに対して、「バグだ。」 という言い訳を許すのは問題だから、上記の答弁 (未必の故意でも犯罪成立。) は妥当であろう。 こうしないと、クラッカー (ウイルス作成の犯人) がバグだといえるようなウイルスを作成することに成功すると、それを罰することはできなくなるからである。
そもそも、販売されるようなソフトは、そのテストの段階で、ファイルを削除するなどのウイルスが行うような種類の悪行をしないように細心の注意を払うし、もしもこうしたバグが見つかったら、非常に重大なバグとして、すぐにアナウンスし修正するものである。 だから、大口委員が前述の事態を心配しているとすれば、そうしたことは少なくとも販売されるようなソフトにはないといえそうである。 つまり、そうした事態を心配するには及ばないのである。
しかし、素人の開発したフリーソフトウェアの場合など、開発者がこうしたプラクティス (作法) を知らないかもしれないので、「後は野となれ山となれ」とばかりにバグを放置すると、前述の事態があり得るということなのである。 ただし、大抵のバグは、バグが入っているプログラム自体が機能不全になるのであって、他のプログラムなどへの悪行という結果になることはまれだから、そう心配するには及ばない。
この論理を、ウイルスチェックソフト会社が販売するウイルスチェックソフトに適用すると、次のことがいえる。
ウイルスチェックソフトのバグまたは構造的な欠陥などによって、ウイルスチェックソフトが無実のプログラム (ウイルスではないプログラム) を勝手に削除したとしよう。
あるいは、ウイルスチェックソフトが相当の率で、誤認によって誤ったファイルを削除するなどの構造的な欠陥が明らかになったとしよう。
こうした問題に対して、修正するとか、撤収するとか、積極的に問題解決に取り組まないウイルスチェックソフト会社があれば、それは処罰の対象になり得るということである。
あわせて、刑法での解決という道があります というページもご覧ください。
Copyright © 2011 by AppliTech, Inc. All Rights Reserved.
AppliTech, MANDALA および workFrame=Browser は、アプリテック株式会社の登録商標です。
ここに掲載の社名、製品名には、各社の商標または登録商標があります。