ニュース

GoogleのAndroidマルウェア検知、既知マルウェアの8割以上がすり抜け

〜検知率がサードパーティー製を大きく下回る

 Googleが先月公開したAndroid 4.2の新しいマルウェアアプリ検知機能では、既知のマルウェアですらごく一部しか検知できないことが米セキュリティー研究者の報告によって明らかになった。

 このテストでは既知マルウェアの15%しか検知できず、サードパーティーのアンチウイルスアプリより検知率が大幅に劣ることが判明した。一方、Googleが既に保有する技術によって改良できる余地があることも判明した。

 現時点でユーザーはこの新機能に依存しないことが肝要と言えそうだ。

 この実験を行ったのは、ノースカロライナ州立大学(NC State University)コンピューターサイエンス学科准教授のXuxian Jiang氏だ。行われた2つの実験では、同学科プロジェクトが既に収集しているAndroidマルウェアのサンプルと、Android 4.2を搭載した「Nexus 10」タブレットを使用して半自動的に実施された。

 Google Play登録アプリについては既に2月以来マルウェア検知サービスがマーケット上で実施されているが、この新機能ではそれとは別に、Google Play以外のサードパーティー製マーケットや手動でサイドインストールするアプリがマルウェアかどうかを検知できることになっている。

 1つ目の実験では、Android4.2に組み込まれたマルウェアアプリ検知機能が試されたが、1260のマルウェアサンプルのうち、検知できたのはわずか193であり、検知率が15.32%だったとしている。

 2つ目の実験は、Googleが2012年9月に買収したVirusTotalサービスの検知率を測定するものだ。VirusTotal社のサービスはまだAndroidに組み込まれていない。テストは10種類のサードパーティー製アンチウィルスエンジンと検知率を比較する形式だ。アンチウイルスエンジン名は特定せずに検知率だけが明らかにされているが、これらサードパーティ製品の検知率は51.02%から100%まで。それに対して、VirusTotalの検知率は20.41%だったとしている。

 この結果を受けてJiang氏は問題点を2つ挙げる。1つ目は、このサービスがマルウェアを検知するためにハッシュ値(SHA1)とパッケージ名を使用していることだ。この方法は簡単に回避できることが知られているという。効率よく検知するためには、対象アプリ情報がさらに必要だが、プライバシーの問題などから、どのように情報を収集するのかについては難しい議論になりそうだ。 2つ目の問題は、サービスがマルウェアを検知するためにサーバー側に強く依存しすぎていることを挙げた。現時点でクライアント側には検知機能が実装されていない。ここに改良の余地があると指摘する。

 その上で、Googleが買収したVirusTotalサービスはAndroid 4.2で実装されたマルウェア検知機能より高い検知率を示したことを指摘。これはGoogleが9月に買収しているものの、まだ新機能としては統合されていないため、Google側にはまだ改良の余地があるとしている。

 Xuxian Jiang氏はこの結果について「新しいアプリ検知サービスをAndroid 4.2に導入することにより、GoogleはAndroidのセキュリティを改良し続けるという約束を守っていることを示した。しかしながら、我々の検証結果を見るに、サービスはまだ生まれたばかりであり、改良の余地があると感じている」とコメントしている。

 Xuxian Jiang氏の研究対象はセキュリティーであり、スマートフォン、マルウェア検知など様々な研究を行い、学会発表を行ってきた実績を持つ。

(青木 大我 taiga@scientist.com)