セキュリティソフトはマルウェアを検知できないようになっている

表現があまりいいとは言えませんが、セキュリティソフトはマルウェアを検知できないようになっている場合があります。

なぜ検知できないようになっているのかを説明します。

一部は推測の部分もあるので正しいとは言えないかもしれません。

 

署名されている場合は検査しない(スキャンしない)

セキュリティソフトは署名されているファイルやウェブサイトは、検査しないようになっている場合があり、マルウェア及び危険サイトでも検知して防いでくれない可能性があります。これは、セキュリティ研究者による調査でも明らかになっています。
なぜ検査しないかですが、推測ですが、動作負担の軽減や誤検知を防ぐため、などが理由です。
例えば、Windowsに標準で搭載されているセキュリティ機能のWindows Defenderは、署名されているファイルは調べないことが理由でマルウェアを見逃すようです。他のセキュリティソフトでも言えることですが、署名されているファイルやウェブサイトも調べるように設定変更ができるものもあります。Windows Defenderにはそのような設定変更ができません。
最近は盗まれた署名などを利用したマルウェアが増えているようです。ウェブサイトの署名(URLがhttpsになっている)に関しても、認証局が危険サイトかを判断せずに署名を発行している場合が多くあります。特にLet’s Encryptは無料でウェブサイトの署名を発行でき、審査の緩さや手軽に発行できるので、危険サイトで利用されることが多くなっているようです。
このように、署名されているから安全とは言えなくなっています。

 

初期設定だとリアルタイム保護とスキャンでは検出率に差がある

初期設定の状態だと、リアルタイム保護とスキャンの検知レベルや検査対象が違うセキュリティソフトがあります。
検知レベルはヒューリスティックなどで、どの程度厳しく判定するかを示します。検査対象は全てのファイルを検査対象にするのか、特定のファイルだけを検査対象にするのかを示します。
これらの設定の違いで数%から数十%の違いがあります。これは私が複数のセキュリティソフトで試して、その程度の検出率の差があることを確認しています。
リアルタイム保護の検知レベルや検査対象は、スキャンと比べて検知レベルが低く設定されていたり、検査するファイルがより限定されている場合があります。
一例ですが、Avast 無料 アンチウイルスはスキャンと比べて、リアルタイム保護の検知レベルや検査対象が緩く設定されています。緩く設定されていればそれだけマルウェアを検知できる可能性が低くなります。
例えば定期的なスキャンをした時に、リアルタイム保護で守られているのに、スキャンした時にマルウェアが検知されるのはこのことが理由でもあります(理由は他にもあります)。
評価機関での検出率テストは初期設定でテストされています(違う場合もあるかもしれませんが)。リアルタイム保護だと評価機関でのテストのような結果にはなりません。検出率の順位は違ってくるでしょう。
初期設定で使用せず、どの程度セキュリティを高めたいかで変更したほうがいいでしょう。

 

ホワイトリストに登録し検知しないようにしている

怪しいアプリケーション(詐欺に近いなど、グレーゾーンのアプリケーション)程度であれば、最初は検知していても基準に満たないなどで、検知しないように除外している場合があります。開発者の依頼で除外している場合もあるようです。
私の検知テストでは最初は検知していても、後日テストすると検出数が下がることがあり、除外しているのは間違いないと思います。

 

コメントする