パスワードを忘れた? アカウント作成
13565187 story
Android

検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 26

ストーリー by headless
全滅 部門より
セキュリティ機能を一切搭載していないにもかかわらずGoogle Playで人気アプリとなっていたセキュリティアプリ「Virus Shield」が以前話題になったが、機能に疑問のあるセキュリティアプリは現在もGoogle Playで多数公開されているようだ。AV-ComparativesがGoogle Playで公開されているAndroid用セキュリティアプリ204本をテストしたところ、半数以上が怪しいアプリだったという(リポート: PDFBetaNewsの記事)。

テストは1月に実施され、2017年に最も広く出回っていたマルウェア2,000本のAPKファイルとGoogle Playで公開されている安全な人気アプリ50本のAPKファイルを検出サンプルに使用。 204本のセキュリティアプリを各1台のNexus 5(Android 6.0.1 Marshmallow)にインストールし、ChromeでAPKをダウンロード→ファイルマネージャーアプリでAPKを開く→アプリをインストール→アプリを起動、という一連の操作をテストフレームワークで自動処理している。

マルウェアは既知のものであり、いずれの段階でもブロックできれば検知成功としていることから高い検知率と低い誤検知率が期待される。しかし、誤検知0で検知率100%の製品は204本中28本に過ぎない。検知率90%以上では57本に増えるが、検知率30%以上まで広げても誤検知0の製品は84本にとどまる。残りの120本のうち41本は過去2か月の間に削除されており、あとの79本は検知率30%未満、もしくは誤検知率が非常に高かったという。信頼できるセキュリティ製品の中には、これらのアプリを怪しいアプリやトロイの木馬などとして検出するものもあるようだ。

誤検知率が非常に高い38本は多数のマルウェアをブロックしている。しかし調査の結果、信頼されるアプリのパッケージ名でホワイトリストを用意しており、リストにないアプリをすべてブロックしていることが判明する。中には自分自身をホワイトリストに入れておらず、ブロックしてしまうものもあったとのこと。なお、204本の大半はGoogle Playで4つ星以上のレーティングを獲得しているという。レーティングはユーザーの体験がもとになっているため、実際の効果とは必ずしも一致しない。また、Virus Shieldの例があるように、ダウンロード件数もあてにはできないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 機械翻訳?

  • by Anonymous Coward on 2018年04月01日 21時43分 (#3386288)

    ご使用者はセキュリティポリシもリテラシも不要です
    ってソフトな時点でダメだろ
    人を育てるのと一緒ですな

    # そういう社会を形成したほうが儲けやすいんだろうけれど

    • by Anonymous Coward

      Androidブラウザのポップアップ利用して「あなたのスマホはウィルスに感染してます」とか出して、似非セキュリティーソフトのインストールさせようとするのは、許容や容認はできないけど、本質的には昔からある手口だから、今更ではあるけど。

      その画面が出てパニクった人が携帯のキャリアショップ行くと、平気で「これはいけないですね、セキュリティー対策ソフト入れましょう」とか言って、ソフトの契約させちゃったりするからね。しかも割高なやつ。
      理想論で言えば、皆がリテラシーを持てばそれに越したことはない。でもそれはあくまで理想論の範疇。
      しかしリテラシーを持たない人を、マルウェア作者のようなアングラだけでなく、一般企業まで食い物にするような社会は、本当に何とかしないといけないと思う。

      ITのリテラシーに限った話じゃないけどね。法律関係のリテラシーとかも大切だし。

    • by Anonymous Coward

      >ご使用者はセキュリティポリシもリテラシも不要です
      >ってソフトな時点でダメだろ

      それが必要なソフトってどれ?

  • よくある評価買いや身内評価では?

  • by Anonymous Coward on 2018年04月02日 8時18分 (#3386374)

    耳垢みたいに
    PCでもただのCookieをマルウェアとして報告するのが流行ってたじゃん

  • by Anonymous Coward on 2018年04月02日 8時47分 (#3386376)

    信頼されるアプリのパッケージ名でホワイトリストを用意しており、リストにないアプリをすべてブロックしていることが判明する。

    セキュリティアプリとしては問題ない(というか正しい)ような、ストアがきちんと機能していれば必要無いような。

    パッケージ名よりは署名の方がふさわしいかも?

  • by Anonymous Coward on 2018年04月02日 8時54分 (#3386380)

    以前にセキュリティ機能を一切搭載していない偽セキュリティーアプリと報じられていたものが誤報だった。
    実際にはホワイトリストによる判定という稚拙な方法ながらも、ある程度の効果を有していた。

  • by Anonymous Coward on 2018年04月02日 9時15分 (#3386394)

    > 中には自分自身をホワイトリストに入れておらず、ブロックしてしまうものもあったとのこと。
    かわいい

    • by Anonymous Coward

      自分自身をブロックしたら、そのブロックする機能も動かなくなるわけで、
      そうなるとまた動作できるようになるわけで、
      それで自分自身をまたブロックして…と無限ループを繰り返すのだろうか?

  • by Anonymous Coward on 2018年04月02日 16時58分 (#3386609)

    いわゆるベースラインが非常に高い実験ってやつだね。
    何も考えずに全て弾いても、そこそこ良い検出率になるという。
    第一種誤りと第二種誤りで検出率に与える重みを変えないとね。

    #第一種誤りはこの場合、どっちだ?

  • by Anonymous Coward on 2018年04月03日 11時14分 (#3387019)

    日本語で「マル」には良い意味があるから、malwareは「モルウェア」とか別の表記にしたほうがいいのではないだろうか。
    #バツウェアとかペケウェアは極端にしても

typodupeerror

犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー

読み込み中...