初めて投稿します。

弊社ではEndpointProtenctionを使用していますが、クライアントの多くがNortonを

使用しており、こちらに投稿させていただきます。

昨年後半あたりから、InternetSecurity2010や2011、AntiVirus2011で（Norton360

でも発生）弊社開発アプリケーションファイル（*.exe）の誤検知が発生しており、ノートン

サポートに対応していただいている最中なのですが、一向に解決に向かっておらず、

どうにかならないかとこちらのコミュニティに投稿しています。

（誤検知：警告の表示がある場合とない場合があるようなのですが、SONARにより

ファイルが削除されてしまう状況です）

誤検知の対象となっているのは弊社で開発したソフトウェアで、起動直後にインターネット

へ接続したりファイルをダウンロードする機能があるため、動作的にはトロイの木馬のよう

ですが、当然ウィルスとして作成したものではありませんし、混入もしておりません。

一度ホワイトリストへの登録を行ったところ、セキュリティリスクは検出されずホワイトリストに

登録されたとセキュリティレスポンスから回答もありました。

しかし、

・様々なクライアント用に同様の仕組みのアプリケーションを開発しているため、提出の

作業をそのアプリケーション分（４０件以上、かつバージョンアップがあればその都度）

行わなければならないこと。

・他のセキュリティ関連ソフトでの同様の誤検知が全くないため、Symantec製品にのみ

このような「不要と思われる」作業を強いられること。

・サポート（メール対応）が２回前のやり取りを忘れて（それとも担当が替わって調べずに

回答しているのか）いるため、同じようなやり取りが１週間も続き、対応がなかなか進まないこと。

・ホワイトリストへの登録が完了したはずのファイルが再びSONARによって削除されたと

クライアントから報告があり、上記作業が無駄、かつ、クライアントにセキュリティソフトの

複雑な操作をさせずに使用できる環境にするための対策が取れないこと。

から、一向に解決に向かっておらず、零細ではありますが一企業として非常に困っています。

（さらに困ったことに、Symantec/Nortonは最大手のため、無視するわけにはいかないのです）

なお、デジタル署名（コードサイニング証明書）の付与を検討しているところです。

（どれだけ効果があるかについては現在サポートからの回答待ちです）

アドバイス等いただけましたらどうぞお願いいたします。

kawakami様

日頃は、弊社製品をご利用いただきありがとうございます。

まず最初に、ご迷惑をおかけして大変申し訳ございません。

さて、件のSONARですが、プログラムの疑わしいふるまいを見て脅威の可能性を分類します。脅威の可能性が高いと判断すると自動的に削除し、低いと判断すると通知するわけです。

つまり、御社の開発したアプリケーションが脅威の可能性が高いと判定されて自動的に削除されているという状況ですね。

最近のアプリケーションは、さまざまな通信を行いますので判断が難しくなっているの想像できます。

デジタル署名の付与による効果についてはサポートにお問い合わせ済みのようので、正式な回答をお待ちいただけますか？

ちなみに、私が以前開発グループに確認したところ、デジタル署名が付与されていれば削除されることは無いとの回答を得ていますので、同様の解答が届くと思われます。

同時に、サポートのメール対応については、非常に申し訳ございませんでした。

サポートチームに報告し、再発防止に努めたいと思います。

ホワイトリストに登録が完了したファイルが削除された件については、現在でも発生しているのでしょうか？

ホワイトリストが行き渡るまでのタイムラグではないかと感じています。

しばらくたっても、削除されるようであれば、セキュリティレスポンスに確認いただけないでしょうか？

現在ベータテスト中のノートン 2012では、SONARがより詳細に設定できるようになりました。

誤検知が多少なりにも少なくなればと思っています。

トキタ様

ご回答ありがとうございます。

確かに高リスクとして分類されていたということで、ご回答いただいた内容と動作が

一致しました。

ホワイトリストの件ですが、4月22日にホワイトリストへの追加が完了したとの回答メールを

受信しており、また、使用PCの定義ファイルも本日昼頃であったため、タイムラグによる

影響ではないのではないかと思われます。

念のため、セキュリティレスポンスに質問してみます。

また、デジタル署名についてですが、ノートンサポートからは「デジタル署名を付与すれば、

誤検知の可能性は減ります。」という中途半端な回答をいただいており、現在、可能性という

表現はどの程度を示すのか、また、CAによってそのリスクは変わるのかについて回答を

待っている状況です。

また何か情報がございましたらご教示いただけますと幸いです。

よろしくお願いいたします。

ノートンサポートから電話がありましたが、担当者が中国人で話がきちんと伝わったか不明なので、
こちらにも質問と経過を投稿します。マルチポストのようですが報告も兼ねておりますので、

ご容赦いただきたく存じます。

・ホワイトリストに登録したプログラムに関して、3日経過後の最新の定義ファイルでもSONARの誤検知があり、

削除されたが、なぜか？（セキュリティレスポンスからも回答なし。サポートに確認中）

・誤検出を回避するためのホワイトリストへの登録方法とノートンサポートへの連絡方法が不明。
１．ノートンサポートから回答があった誤認識の提出フォーム https://submit.symantec.com/dispute/false_positive/
からトラッキング番号をノートンサポートに連絡してほしいという連絡があるが、上記からはトラッキング番号が発行されない。
２．上記提出後、ホワイトリストへの登録完了メール本文に記載されていたホワイトリスト登録サイト

https://submit.symantec.com/whitelist  からもトラッキング番号が発行されない。
３．再度の問合せでサポートから回答があったフォーム https://submit.symantec.com/websubmit/retail.cgi から

提出するとトラッキング番号が発行されたが、ご認識しないようにホワイトリストへの登録をしたいのに、

ノートンサポートからは「再現環境、再現手順、定義ファイルのバージョン」を連絡するように回答された。
→ホワイトリストの目的を分かっていない。
→上記3つの手順どれが正しいのか、サポートに確認中。

・電子署名の有効性が不明。
他でも書込みがあるように電子署名を入れても誤検出されるプログラムがあるという。
事実、サポートからの回答は「プログラム（exeファイル）にデジタル署名を付与すれば、
誤検知の可能性は減ります。SONARにより検出される場合は、それをお薦めいたします。」
とあるが、先のトキタ様の回答では「デジタル署名が付与されていれば削除されることは無い」
ともあり、どちらが正しいのか判断ができない状態。
また、CA（認証局、ベリサインやグローバルサイン等）の違いによっても差があるのかどうかに
ついてサポートに確認中。

（ただし、電子署名、デジタル署名といっても通じていなかったようなので、期待する回答は

得られないのではないかと心配している）

・SONARの誤検出はプログラムをチェックしているものではないこと。（今回の弊社の場合）
実際にNorton Internet Security 2011がインストールされたPCにて、アプリケーション
（Delphiで作成した単一exeファイル）を実行すると、同様の製品のうち、約半数の
アプリケーションがSONARによって削除された。

（アプリケーション自体の動作は極端に言えばセキュリティリスクのような製品だが、

それは会社として出しているものであり、当然ながらリスクとして扱われるような危険な

動作は行わない。しかも同様の動作をするアプリケーションのうち、誤検出されるものと

されないものがあるのも疑問がのこる。単純にファイルサイズが関係しているのかとも

疑ったが、検証したところ一概にそうは言えないようである）

ところで、Delphiのプロジェクトオプションで「バージョン番号を含める」としてコンパイルを
行うと、そのexeファイルのプロパティに「バージョン情報」タブが追加されるが、
このファイルを実行したところ、SONARによる誤検出がなくなった。
会社名等の情報をいれず、当然プログラムも変更せず、「バージョン番号を含める」という
チェックを入れるだけで、SONARの誤検知がなくなったということは、単純にバージョン情報の
有無だけで誤検出されていたということになる。
はたしてこの検出方法は正しいのか？