シマンテック SONAR対策

最近、
自社内のシマンテックを最新に変更したところ、自社開発プログラムの一部にて
シマンテック．SONARが　リスク感知の警告を出し困っています。

この件について、詳しい情報があれば教えて頂けませんか？

シマンテックは バージョン12.1.1101.401 RU1 MP1。
開発環境はVB2010+Oracle11gで開発しており、
画面コントロールとして
VBで作られた自社製作のコントロールを利用しています。
レジストリの読込は行いますが、書き込みは行いません。
機能別の複数プログラム（数百個）が、専用のランチャ画面よりexe叩きで立ち上がる仕組みです。
（ランチャを通さない場合は、起動不可）


同様な形式で作られたEXE内でも
リスク指摘されるプログラムとされないプログラムが２つ存在します。
リスク指摘がされるプログラムをデバッグモードで動かした場合は、指摘がされません。

また、同じプログラムなのに
SONARにリスク通知が行われるPCと行われないPCが存在します。
(WinXP/Win7 32/64bit で起こるPCと起こらないPCが存在する)


ランチャを通さなければリスク通知されないように思えますが、
その場合、現象が発生するプログラムと発生しないプログラムの差の説明がつきませんし、
システム全体に関わる箇所な事、変更規模が大きいため、簡単には変更できません。


試しに、どこまで機能をそぎ落としたらリスク通知を行わなくなるか調べてみましたが無理でした。
（VB処理が空の状態でDLLリンクを最低限にしても、画面上コントロール配置次第で、リスク通知が走るというよく分らない結果です）


自社内だけであればシマンテック設定で解決しますが、
客先でも同様の現象が起こる可能性があるため
出来るだけプログラム内での解決を考えています。

また、
シマンテック社のホワイトリスト登録の方法は、
案件単位で数百ものexeに仕様変更が入るため現実的でありません。


対策が
わかる方がいればよろしくお願いします。

No.3 回答者： localica 回答日時： 2012/08/17 18:03

No2ですが、

>「シマンテックに仕様を変更」
>みたいな事はしてくれないみたいです。

間違った仕様なら変更してくれますよ。
ビジネスレベルなら基本だと思います。
シマンテック製品の購入先（サポート付）に問合せては如何でしょうか。
きちんとテクニカルサポートを契約しているところなら回答できるはずです。
#ただの販売店では無理です

>特定動作で判断されていると思いますが、その動作が何か知りたいだけです

サポートのチャネルがない、御社で特定できないなら下記のようなサービスがあります。
結構な金額を請求されるのでコストパフォーマンスが合うか難しいと思いますが、御社の仕様の問題かシマンテック製品の仕様の問題かを解決できると思います。

http://www.symantec.com/ja/jp/services/detail/de …

この回答への補足

ありがとうございます。
けど、まだその段階では無いので、もうしばらくは原因調査する予定です。


関係するかどうかわかりませんが、挙動が怪しいと判定されそうな箇所を補足で追加します。
オラクル接続は oo4o を用いており、その関係でプログラム自体X86でコンパイルしています。
また、.netフレームワークは3.5を用いて作成しています。
winapiをiniファイル読書で用いています。


後、気にかかっているのが、インサイト技術の件で
http://www.symantec.com/ja/jp/theme.jsp?themeid= …
この技術はソナーで用いられたりとか、していませんか？
けど、リスク判定で利用されていれば、個々で作成しているプログラムすべてOUTになりますよね、、。

補足日時：2012/08/17 18:37

この回答へのお礼

理由がわかりませんが、
マニュフェストを追加すると感知しなくなり、
とりあえず、今回はこれで対策する事になりました。

状況をまとめまて書くと、
VB2010フレームワーク3.5で作成した(2003からコンバートでUpdateしたプログラム)を
他プログラムからexe呼び出しで実行した場合、現在のSymantec Endpoint 12.1.110.401のバージョンでは
ソナーが誤認知する可能性があり、
その場合、
マニュフェストを追加してコンパイルし直せば、誤認知されなく
なるみたいです。

お礼日時：2012/08/25 14:12

No.2 回答者： localica 回答日時： 2012/08/17 12:52

>この件について、詳しい情報があれば教えて頂けませんか？

御社の仕様が分からないので正確な返答はできません。
Sonerはビヘイビア型の検知手法なので、御社の仕様を変更するか、シマンテックに仕様を変更してもらうのが現実的な回避策だと思います。

http://www.symantec.com/business/support/index?p …

>出来るだけプログラム内での解決を考えています。

プログラム的な修正の他の方法では、証明書を利用すると比較的改修要素が少ないと思います。
また、プログラム的にセキュリティリスクになる部分はございませんか？

>シマンテック社のホワイトリスト登録の方法は、

評価の閾値を変更する方法や他の手法もあります。

https://www-secure.symantec.com/norton-support/j …

この回答への補足

回答ありがとうございます。
ネット見る限り、シマンテックに問い合わせても（シマンテックのフォーラムの回答を見る限り）
「シマンテックに仕様を変更」
みたいな事はしてくれないみたいです。

>>評価の閾値を変更
は、すべての客先にセキュリティ下げてください、ってお願いする形になるので、
それを回避したいのです。

解決しなければ、最終的にそうなるかと思いますが。

補足日時：2012/08/17 14:11

No.1 回答者： wormhole 回答日時： 2012/08/17 12:29

プログラム内で解決できる方法があったら、それはそれで困りませんか？

ウイルスなどにもその仕組みを組み込めばSONARから関知できなくなるってことになりますし、そうなるとSONARは無用の長物と化しますが。

この回答への補足

挙動が怪しいという判断が、
特定動作で判断されていると思いますが、その動作が何か知りたいだけです。
たとえば、レジストリ読込が基点となっているのであれば
極力行わないよう修正する事で対処が出来ます。
共通処理に入っているようであれば、その処理を最低必要箇所に配置するようにするだけで
だいぶマシにはなります。
そう考えての質問です。

>>SONARは無用の長物と化
正直SONARは、今のままでは有害すぎますよ、、。

補足日時：2012/08/17 13:58