Kaciy Discovery

ソフトウェアの配布、プログラミング、セキュリティ、ソフトウェア紹介、など。

セキュリティソフトは初期設定で使うとマルウェアを検知できない場合がある

セキュリティソフトは初期設定で使うとマルウェアを検知できない場合があります。

なぜ検知できない場合があるのかを説明します。

 

署名されている場合は検査しない(スキャンしない)

セキュリティソフトは署名されているファイルやウェブサイトは、検査しないようになっている場合があり、マルウェア及び危険なウェブサイトを検知して防いでくれない可能性があります。これは、セキュリティ研究者による調査でも明らかになっています。

なぜ検査しないかですが理由はいくつかあると思いますが、動作負担の軽減や誤検知を防ぐため、などが理由だと思われます。

例えば、Windowsに標準で搭載されているセキュリティ機能のWindows Defenderは、署名されているファイルは調べないことが理由でマルウェアを検知できない場合が多いようです(セキュリティ研究者による調査の情報)。他のセキュリティソフトでも言えることですが、署名されているファイルやウェブサイトも調べるように設定変更ができるものもあります。Windows Defenderにはそのような設定ができません。

最近は盗まれた署名などを利用したマルウェアが増えていて、被害も増えているようです。ウェブサイトの署名(URLがhttpsになっている)に関しても、認証局が危険なウェブサイトかを判断せずに署名を発行している場合が多くあります。特にLet’s Encryptは無料でウェブサイトの署名を発行でき、審査の緩さや手軽に発行できるので、危険なウェブサイトで利用されることが多くなっているようです。

このように、署名されているから安全とは言えなくなっています。

 

初期設定だとリアルタイム保護とスキャンでは検出率に差がある

初期設定の状態だと、リアルタイム保護とスキャンの検知レベルや検査対象が違うセキュリティソフトがあります。

検知レベルはヒューリスティックなどで、どの程度厳しく判定するかを示します。検査対象は全てのファイルを検査対象にするのか、特定のファイルだけを検査対象にするのかを示します。

これらの設定の違いで数%から数十%の違いがあります。これは私が複数のセキュリティソフトで試して、その程度の検出率の差があることを確認しています。

リアルタイム保護の検知レベルや検査対象は、スキャンと比べて検知レベルが低く設定されていたり、検査するファイルがより限定されている場合があります。緩く設定されていればそれだけマルウェアを検知できる可能性が低くなります。

例えば、定期的なスキャンをした時に、リアルタイム保護で守られているのに、スキャンした時にマルウェアが検知されるのはこのことが理由です(理由は他にもあります)。

評価機関での検出率テストは初期設定でテストされています(違う場合もあるかもしれませんが)。リアルタイム保護だと評価機関でのテストのような結果にはなりません。検出率の順位は違ってくると思います。

 

ホワイトリストに登録し検知しないようにしている

怪しいアプリケーション(詐欺に近いなど、グレーゾーンのアプリケーション)程度であれば検知しなかったり、最初は検知していても基準に満たないなどで、検知しないように除外している場合があります。開発者の依頼で除外している場合もあるようです(真偽は分かりませんが)。

私の検出テストでは最初は検出していても、後日テストすると検出数が下がることがあり、除外しているのは間違いないと思います。