シグネチャはセキュリティ業界の「MP3問題」、専門家が警鐘 － ＠IT

2010/02/02 アンチウイルス・ソフトウェア業界は、かつて音楽業界がMP3で経験したのと似た悪循環を抱えている。こう問題提起をするのはカスペルスキーのシニア・ウイルス・アナリストのマグヌス・カルカール氏だ。マルウェアを判定するための基本データとなる「シグネチャ」の無断コピーが新興のアンチウイルス企業の間で横行し、業界の健全性が損なわれているからだという。 かつてアンチウイルス・ソフトウェアの企業を立ち上げるには、膨大な技術投資や世界規模の配布、販売チャネルの構築が欠かせなかったが、今は非常に手軽にスタートできる。「安いサーバ、安いプログラマを探してきて、後はアンチ・ウイルスのスキャナを買って、PR会社に宣伝を頼めばおしまい」（カルカール氏）。ユーザーがアップロードするファイルをサーバ側で静的に解析する「オンデマンド型スキャンサービス」は、クラウドの中にあるので、利用しているソフトウェ

[itochan]

ウイルスシグネチャDBの著作権侵害問題　（なのかな）　／　クラウド型の試金石？　みんなの意見は案外正しい（が、他社のプロの意見も盗用した）

[Funmatu]

こんなことが常態化すれば，確実にプロダクトの品質は落ちるだろう．コンシューマ側からは判断できない部分なので，業界としてしっかりと対策して欲しい．

[neut]

ダミーのシグネチャーを流して調査したというのも面白い

[RELHAM]

今までなかったアジェンダ。クラウド化することでサービスの質が見えにくくなるのは確かにありえる。

[JULY]

わざと無害なコードのシグネチャを流した話は興味深い。締めの「静的なバイナリ解析は（中略）1機能に過ぎず」はその通りなんだけど、逆にそれ以外の機能に関して、客観的な評価があまり行われていない気がする。

[dmutaguchi]

シグネチャはセキュリティ業界の「MP3問題」、専門家が警鐘 － ＠IT

[jindai]

“マルウェアを判定するための基本データとなる「シグネチャ」の無断コピーが新興のアンチウイルス企業の間で横行”

[jtw]

「無意味な四則演算を繰り返すだけの小さなバイナリを20個ほど用意し、これを意図的に自分たちの分類で「マルウェア」としてデータベースに登録した。」/罠か。ひっかかったところ晒しあげたらいいのに。