検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2
全滅 部門より
テストは1月に実施され、2017年に最も広く出回っていたマルウェア2,000本のAPKファイルとGoogle Playで公開されている安全な人気アプリ50本のAPKファイルを検出サンプルに使用。 204本のセキュリティアプリを各1台のNexus 5(Android 6.0.1 Marshmallow)にインストールし、ChromeでAPKをダウンロード→ファイルマネージャーアプリでAPKを開く→アプリをインストール→アプリを起動、という一連の操作をテストフレームワークで自動処理している。
マルウェアは既知のものであり、いずれの段階でもブロックできれば検知成功としていることから高い検知率と低い誤検知率が期待される。しかし、誤検知0で検知率100%の製品は204本中28本に過ぎない。検知率90%以上では57本に増えるが、検知率30%以上まで広げても誤検知0の製品は84本にとどまる。残りの120本のうち41本は過去2か月の間に削除されており、あとの79本は検知率30%未満、もしくは誤検知率が非常に高かったという。信頼できるセキュリティ製品の中には、これらのアプリを怪しいアプリやトロイの木馬などとして検出するものもあるようだ。
誤検知率が非常に38本は多数のマルウェアをブロックしている。しかし調査の結果、信頼されるアプリのパッケージ名でホワイトリストを用意しており、リストにないアプリをすべてブロックしていることが判明する。中には自分自身をホワイトリストに入れておらず、ブロックしてしまうものもあったとのこと。なお、204本の大半はGoogle Playで4つ星以上のレーティングを獲得しているという。レーティングはユーザーの体験がもとになっているため、実際の効果とは必ずしも一致しない。また、Virus Shieldの例があるように、ダウンロード件数もあてにはできないとのことだ。