ハクソク

世界を動かす技術を、日本語で。

HNに知らせる: Chromeが「疑わしいダウンロード」と表示して、yt-dlpのダウンロードができない

55日前

概要

  • yt-dlp の最新版ダウンロード時に 「Suspicious Download」 警告が表示
  • 警告の具体的な意味や理由は 明示されていない
  • この現象の背景や対処法について 解説
  • セキュリティリスクや 安全なダウンロード方法 の案内
  • 利用者が 安心して対応できる ための情報提供

yt-dlp最新版ダウンロード時の「Suspicious Download」警告について

  • yt-dlp はYouTube等の動画サイトから動画をダウンロードするための オープンソースツール
  • 最新版をダウンロードしようとした際、一部のブラウザやセキュリティソフトが 「Suspicious Download(不審なダウンロード)」 と警告表示
  • この警告は、ファイルが 一般的でない形式 や、ダウンロード数が少ない新しいバージョン、または デジタル署名がない 場合に自動的に表示されるケースが多い
  • yt-dlpのようなコマンドラインツールは、 セキュリティソフトの誤検知 対象になりやすい傾向

「Suspicious Download」警告の理由

  • 公式サイト以外 からのダウンロードや、 改ざんされたファイル のリスク
  • 新リリース直後で 信頼性評価が未確定 な場合
  • 実行ファイル(.exe等) が署名されていない、またはウイルス対策ソフトが未知の挙動を検出した場合
  • 一部の企業・学校ネットワークでは 管理者が制限 している場合も

安全なダウンロード方法

  • 公式GitHubリポジトリ(https://github.com/yt-dlp/yt-dlp) からのみダウンロード
  • ダウンロード後、 ハッシュ値(SHA256など) を公式リリースページで確認
  • セキュリティソフトの例外設定 を一時的に利用(自己責任)
  • 不明なサイトや 非公式な配布元は絶対に利用しない

警告が表示された場合の対応

  • ダウンロード元の確認 (公式かどうか)
  • ファイルのウイルススキャン 実施
  • 警告内容をよく読む (詳細情報がある場合は必ず確認)
  • どうしても不安な場合は ダウンロードを中止し、公式コミュニティやフォーラムで相談

まとめ

  • yt-dlpなどの コマンドラインツール は、セキュリティ上の理由から 警告が出やすい
  • 公式からのダウンロードと ファイル検証 で安全性確保
  • 警告を無視する前に、必ずリスクを確認し、自己責任で対応

Hackerたちの意見

そういえば、Googleのブラウザが「Googleのサーバーからファイルをダウンロードするツールをダウンロードするのは怪しい」って言ってるの?驚きはないね。

同じ基準で言うと、Chrome自体も「Googleのサーバーからファイルをダウンロードするツール」だよね。ChromeはGoogleのサーバーからだけじゃなくて、yt-dlpにも同じことが言える。彼らの悪行には全然驚かないけど、それでもGoogleが人を不正に誤解させたり、ブラウザの独占を悪用してることを非難するのはやめるべきじゃないよね。--- 追記:RIAAの弁護士を倫理的なロールモデルとして持ち上げるのは、俺の言いたいことを証明してるだけだね、ありがとう。

彼らが提供しているバイナリはPyInstallerを使ってコンパイルされてるから、アンチウイルスソフトで誤検知されることがあるんだよね。

なんでブラウザがそんなこと気にする必要があるの?

Googleは、yt-dlpがフォークされる前から反対してたよ。彼らはこの手のツールを拡張機能ストアやAndroidから排除するルールも持ってるけど、 enforcementが時々甘いんだよね。Googleはユーザーが自分の動画コンテンツをコントロールすることを恐れてる。

だから、Linuxディストリビューションのパッケージマネージャーからダウンロードしてる。Termuxでも使えるよ。

[遅延]

参考までに、githubから最新の.exeをダウンロードすると、Firefoxが「このファイルは一般的にダウンロードされていません」って言って、「ダウンロードを許可」を選ばなきゃいけないんだ。スキャンは問題ないけど、たぶんヒューリスティックによる誤検知で、Chromeの独占を悪用してるニュースにはならないだろうね。

FirefoxってGoogleの「安全なブラウジング」データベース使ってるんじゃないの?

BingのGoogle検索が、Google.comに似せたページに人を誘導するのを思い出す。大企業は信じられないよね。でも、他の人も指摘してるように、今回はたぶん偶然だろうけど。まあ、誰にもわからないけど。

「良い悲劇を無駄にするな」

そんな大企業が小さなツールを生かせないなんて面白いね。Googleは本当に悪い会社で、もう素晴らしいものを提供してない。反重力の有料プランはクソだし、GCPは請求が重い。今日のGoogleはほとんどのことがダメだね。彼らのAndroidのPlayストアは、統計を一日一回しか更新しないんだから、大データ企業としてはどうなのって感じだよね(笑)。

これを支えているヒューリスティックやWindows Defenderのホワイトリストはひどいね。特定のバイナリが人気になるまでフラグが立ち続けるって理解してる。これって鶏と卵の問題を生むんだよね。警告があるとユーザーはそのプログラムを使うインセンティブがない。でも、警告を外すには多くの人がその警告を無視しなきゃいけない。これはWindowsソフトウェアを書く人にとって大きな問題だよ。インディー開発者や小さなオープンソースプロジェクトには厳しい状況だね。

便利なことに、M$はこれを解決するために署名証明書を買わせてくれるよ。 https://stackoverflow.com/questions/48946680/how-to-avoid-th...

「特定のバイナリが人気になる必要があるって理解してる。それがフラグを外すための条件なんだ。これって鶏と卵の問題を生んでるよね。最近のnpm axiosの妥協を考えると、これはかなり賢い動きに聞こえる?」

競合の利益相反があって、独占禁止法がきちんと施行されてないのが問題だね。

Firefoxも似たような警告を出してるよ。

ダウンロード中に再現できるよ。https://github.com/yt-dlp/yt-dlp/releases/download/2026.03.1.... でも、一応説明の文が出たんだ。「危険なダウンロードがブロックされました。yt-dlp_win_x86.zipはあまりダウンロードされておらず、危険かもしれません。」 [破棄] [保持]

ChromeもYouTubeもGoogleのものだからね。あの拡張機能の使用を抑えたい理由は明らかだよね。