先日、実際にウイルスに感染したことで、ブラウザーにアカウントを保存することは非常に危ないことが分かったのですが、有名どころのセキュリティソフトも、セキュリティ対策としてはマズい状態であることが分かりました。
75ベンダーのスキャン性能比較サイト
先日、実際にパソコンがウイルスに感染したことで、ブラウザーにアカウント情報を記憶させておくことは危険であることが分かり、その理由を説明しました。
その記事へのコメントでLucifer様から、スキャン性能を比較できるサイトを教えて頂きました。
こちらのサイトは検体をアップロードすることで、75ベンダーのセキュリティソフトでスキャンを行うので、本当にウイルスを検出できるのか、その実力を知ることができます。
ただし、実際にウイルスを入手することは難しいです。感染しそうなサイトにアクセスするのは危険ですし、感染しそうになればセキュリティソフトが駆除していまいます。そのため、ウイルスを入手できたのは稀なケースです。
ここでは、既に検体(ウイルスまたはウイルスに感染したファイル)がある場合で説明します。
サイトにアクセスするとこの画面が表示されるので「Choose file」をクリックします。
ファイル選択のダイアログが表示されるので、検体(ウイルスまたはウイルスに感染したファイル)を選択して「開く」をクリックします。
するとこの画面が表示されるので、「Confirm upload」をクリックして検体(ウイルスまたはウイルスに感染したファイル)をアップロードします。すぐにスキャンが開始され、しばらくすると結果が表示されます。
意外なスキャン結果
今回感染したファイルをスキャンしたところ、このような結果になりました。これは2022年7月22日時点での結果です。
75ベンダーのセキュリティソフトのうち、64のセキュリティソフトでスキャンが実行できました。スキャンできなかったセキュリティソフトはZIPで圧縮されたファイルに対応していないようです。結果的に64のうち26のセキュリティソフトしか危険性を検出できていません。
表は小さいので以下に書き出しました。
| ベンダー | スキャン結果 |
|---|---|
| AhnLab-V3 | Adware/Win.Adware-gen.R503210 |
| ALYac | Gen:Variant.Cerbu.146333 |
| Arcabit | Trojan.Cerbu.D23B9D |
| Avast | Win32:Adware-gen [Adw] |
| AVG | Win32:Adware-gen [Adw] |
| BitDefender | Gen:Variant.Cerbu.146333 |
| ClamAV | Win.Adware.Generic-9954296-0 |
| Cyren | W32/Ekstak.CG.gen!Eldorado |
| Elastic | Malicious (moderate Confidence) |
| Emsisoft | Gen:Variant.Cerbu.146333 (B) |
| ESET-NOD32 | A Variant Of Win32/TrojanDropper.Agent.SLC |
| Fortinet | W32/Agent.SLC!tr.dldr |
| GData | Gen:Variant.Cerbu.146333 |
| Gridinsoft | Trojan.Win32.Wacatac.dd!n |
| Ikarus | Trojan-Dropper.Win32.Agent |
| Jiangmin | TrojanDropper.Inokrypt.b |
| K7AntiVirus | Trojan ( 005722f11 ) |
| K7GW | Trojan ( 005722f11 ) |
| Kaspersky | HEUR:Trojan.Win32.Ekstak.gen |
| Malwarebytes | Adware.DownloadAssistant |
| MAX | Malware (ai Score=89) |
| MaxSecure | Trojan.Malware.121218.susgen |
| Trellix (FireEye) | Gen:Variant.Cerbu.146333 |
| TrendMicro | HEUR_NAMETRICK.B |
| VIPRE | Gen:Variant.Cerbu.146333 |
| ZoneAlarm by Check Point | HEUR:Trojan.Win32.Ekstak.gen |
| Acronis (Static ML) | Undetected |
| Ad-Aware | Undetected |
| Alibaba | Undetected |
| Antiy-AVL | Undetected |
| Avast-Mobile | Undetected |
| Avira (no cloud) | Undetected |
| Baidu | Undetected |
| BitDefenderTheta | Undetected |
| CMC | Undetected |
| Comodo | Undetected |
| Cylance | Undetected |
| Cynet | Undetected |
| DrWeb | Undetected |
| eScan | Undetected |
| F-Secure | Undetected |
| Kingsoft | Undetected |
| Lionic | Undetected |
| McAfee | Undetected |
| McAfee-GW-Edition | Undetected |
| Microsoft | Undetected |
| NANO-Antivirus | Undetected |
| Panda | Undetected |
| QuickHeal | Undetected |
| Rising | Undetected |
| Sangfor Engine Zero | Undetected |
| SentinelOne (Static ML) | Undetected |
| Sophos | Undetected |
| SUPERAntiSpyware | Undetected |
| Symantec | Undetected |
| TACHYON | Undetected |
| Tencent | Undetected |
| TrendMicro-HouseCall | Undetected |
| VBA32 | Undetected |
| VirIT | Undetected |
| ViRobot | Undetected |
| Yandex | Undetected |
| Zillya | Undetected |
| Zoner | Undetected |
| BitDefenderFalx | Unable to process file type |
| CrowdStrike Falcon | Unable to process file type |
| Cybereason | Unable to process file type |
| Palo Alto Networks | Unable to process file type |
| SecureAge APEX | Unable to process file type |
| Symantec Mobile Insight | Unable to process file type |
| TEHTRIS | Unable to process file type |
| Trapmine | Unable to process file type |
| Webroot | Unable to process file type |
| Bkav Pro | - |
| Trustlook | - |
今回の結果で検出できた有名どころ
75のセキュリティソフトと言っても注目すべきは、日本では有名で、通販や量販店で買うことができる有名なセキュリティソフトでしょう。それらのセキュリティソフトの中で、自分が今使っているセキュリティソフトの実力は気になるのではないしょうか。
ESET-NOD32
ESETは「A Variant Of Win32/TrojanDropper.Agent.SLC」とトロイの木馬であることを検出しています。また、Windowsサンドボックス(Windows 11/10 Proで使えるテスト用の仮想環境)にESET体験版をインストールして検体をスキャンしてみたところ、ウイルスを検出しました。
ESETを使っていれば、インストールする前に感染するのを防げたはずです。
今使っているセキュリティソフトに不安を感じるなら、体験版で試してみるのがよいでしょう。体験版はメーカーサイトからダウンロードできます。ダウンロードにはメールアドレスが必要ですが、クレジットカードの登録などは必要ありません。体験版は30日試用できます。
ノートンはクレジットカードを登録しないと体験版が使えません。しかも30日以内に試用を止めないと、購入したとみなされてクレジットカードに課金されます。こういう点ではESETの方が試し易いです。
なお、前の記事で書いたようにブラウザのアカウント管理機能を使わず、セキュリティソフトのパスワード管理機能を使う場合、ESETでは3つのラインアップの中で「ESETスマートセキュリティプレミアム」が必要です。
Kaspersky
カスペルスキーは「HEUR:Trojan.Win32.Ekstak.gen」とトロイの木馬であることを検出しています。Windowsサンドボックスには体験版をインストールできませんでしたので、実際にウイルスを検出できるかはテストできませんでした。
同様にカスペルスキーを使っていれば、インストールする前に感染するのを防げたはずです。
KASPERSKYも無料体験版をメーカーサイトからダウンロードできます。30日試用できます。
なお、KASPERSKYでパスワード管理機能を行うにはセキュリティソフトである「カスペルスキーセキュリティ」とは別に、「カスペルスキーパスワードマネージャー」が必要です。
TrendMicro(ウイルスバスター)
ウイルスバスターは「HEUR_NAMETRICK.B」と危険性は検出していますが、トロイの木馬であることは判定できていません。
それでもウイルスバスターを使っていたら、インストールする前に感染するのを防げたはずです。
ウイルスバスターも30日無料体験版はこちらからダウンロードできます。
ウイルスバスターも3種類のラインアップがありますが、パスワード管理機能を使うには「ウイルスバスタークラウド スタンダードセット」または「プレミアムセット」が必要です。
3年版が無料で2か月延長されるキャンペーンは、2022年8月10日(水)17:00までとのことです。23:59ではないので気を付けてください。
G Data
G Dataは「Gen:Variant.Cerbu.146333」と危険性を検出しています。この場合も危険性があるというだけで、どのようなものかまでは明確にされていません。
G Dataは、クライアント向けに危険なポートを閉じないので、サーバーアプリケーションを使うには使いやすくてよいです。やっとWindows 11にも対応しましたので、パスワードマネージャー機能もEdgeで使えます。
私としては安価で使いやすいのでお勧めできます。
注意点
今回の結果では、意外にもF-Secure、McAfee、Microsoft(Windows Defender)、Symantec(ノートン)ではウイルスを検出できていません。
Windows 11/10に標準で搭載されているWindows Defenderを使っていたので、危険性に気付けなかったのも当然ということになります。
では、F-Secure、McAfee、Symantec(Norton)を使っていたら感染するのかというと、そとも言い切れません。
リアルタイムスキャンで検出される可能性もありますし、今後、パターンファイルが更新されれば検出されるかもしれません。
また、今回のウイルスはトロイの木馬でしたが、ランサムウエアではまた違った結果になるでしょう。
とは言え、実在するウイルスを検出できないのは致命的です。
「私はノートン以外は使いたくない」など強いこだわりがある方も多いと思います。それでもこの検出できないという事実は注意すべきでしょう。
その上で、前回の記事に書いたように、セキュリティソフトが破られた場合のことを考えておく必要があります。
今すべき対策、先のことを考えた対策、それぞれ検討してみてください。
無料ツール
Lucifer様から以下のツールも教えて頂きました。
パソコンが感染したと思われる場合は、スキャン専用ツールから起動して確認する方法もあります。
これらはブートメディアを作成してオフラインでWindowsが起動していない状態でスキャンしますので、ウイルスが妨害工作をするものでも対処できます。
Windows 11/10の「Windowsセキュリティ」でも「ウイルスと脅威の防止」「スキャンのオプション」Microsoft Defenderオフラインスキャン」で同様の機能が実行できますが、スキャン性能はそれぞれのメーカーのソフトに準ずるものとなります。
まとめ
今回の自分が感染したことで本物の検体(ウイルスまたはウイルスに感染したファイル)を入手できました。それを多数のセキュリティソフトでスキャンした結果は、日本で有名どころのセキュリティソフトで検出できないという意外な結果でした。
これがすべてではありませんが、やはりセキュリティソフトをインストールしていれば安全という考えは捨てた方がよいでしょう。
コメント