ChatGPTのデスクトップアプリがDefenderにマルウェア検出されたぞ…
なんかおかしいなぁ…OpenAIのサイトからリンクに飛んだ先の、Web版のWindowsストアにあるアプリと、そこからさらにストアアプリを開き、そこにあるアプリでバージョンが違う?
https://openai.com/chatgpt/desktop/
ここから、
https://apps.microsoft.com/detail/9nt1r1c2hh7j?hl=en-us&gl=US
ここに飛んで、View in storeの先に飛ぶと、ストアからOpenAI.ChatGPT-Desktop_1.2024.345.0_x64__2p2nqsd0c76g0というのがインストールされるんだけど、これがトロイの木馬として検出される。
どういうことなんだ?
winget list ChatGPTすると、
ChatGPT 9NT1R1C2HH7J 1.2024.345.0 msstore
というIDが出るし、これはWeb版ストアのIDと一緒だなあ。となると、変なバイナリを入れられたわけでもなさそう…
ChatGPT.exe、デジタル署名が付いてないな。ChatGPT Installer.exeには付いてるのだけど。
誤検出だとは思うんだけど、ChatGPT.exeの作りがなんか変なのは、確かにありそうな気はする。
ともかくキショいのでアンインストールはしよう…
というより、マルウェア検出するとWindowsバックアップができないので、消すしかないんや。
Microsoftストアからインストールしたアプリからマルウェア検出されるのはちょっと衝撃なんだけど、インストーラーが別のバイナリを拾ってくるタイプなら、可能性はあるということか。
https://github.com/lencx/ChatGPT
ChatGPT.exeの正体はこれじゃないかなあ。ストアにある公式版はこれのフォーク版なんじゃないか、って気がする。
lencx氏版のChatGPT.exeなら、Defenderにマルウェア検出された実績もある。私が見たやつと同じだ。
https://github.com/lencx/ChatGPT/issues/440
ストアで二種類のページが表示される理由だけは判明した。片方は英語版、片方は日本語版。ただしインストーラーのバイナリは同一。紛らわしいなあ。なんでこんなことになってんの
Malgent!MSR、pyinstallerでexe化するとDefenderで検出されることがあるらしい。ChatGPT.exeも同じパターンかもしれない。
ここまでの検証があってる保証はないし、大半が状況証拠に過ぎないけど、ChatGPTのデスクトップアプリはだいぶ微妙だな。
非公式クローンWebアプリをフォークして公式化し、非公開リポジトリで適宜、新機能対応などのメンテし、何らかの方法でexe化して(この時点でマルウェア誤検出するように)、そのインストーラーをMicrosoftストアに登録したということになる。
ストアアプリのインストールフォルダはユーザーはアクセスできないし、もしかしてDefenderも通常は走査対象外にしてるのかもしれないが、Windowsバックアップするとシャドウコピーされるんで、今回のはそのとき検出されたパターン。なので、最新の定義ファイルがぶっ壊れてて、誤検出されたけど、レアケースなので私くらいしか騒いでない、みたいなことだろうか。