パスワードを忘れた? アカウント作成
15627923 story
クラウド

オフライン時に検知率が大幅に低下する Microsoft Defender 50

ストーリー by headless
低下 部門より
Microsoft Defender は近年大幅に性能が向上しているが、オフライン時には検知率が大幅に低下するようだ (AV-Comparatives の記事Neowin の記事Windows Central の記事)。

AV-Comparatives の 3 月分テストで Microsoft Defender は最高評価の Advanced+ を得ているが、オフラインでの検知率は 60.3 % にとどまる。これはテスト対象となった 18 製品中 16 位の検知率であり、Microsoft Defender よりも低いのは Panda Free Antivirus (40.6 %) と Trend Micro Internet Security (36.1 %)のみ。逆にオンラインでの検知率は98.8%で、NortonLifeLock Norton 360 Deluxe (99.6 %) と Avast Free (99.5 %)、AVG Free (99.5 %)、McAfee Total Protection (99.3 %) に次ぐ 5 番目の検知率となっている。オンラインに比べてオフラインでの検知率が大幅に低いのはクラウド依存が強いことを示し、AV-Compratives はクラウドに接続できない場合に大幅に検知率が低下することをベンダーがユーザーに警告すべきだと述べている。

AV-Comparatives のトータルの評価は検知率ではなく、保護率と誤検知数により決定する。検知率はマルウェアを実行前に検知した割合を示すのに対し、保護率は最終的にシステムの変更を防いだ割合を示す。Microsoft Defender のオンラインでの保護率は 99.96 % で 11 位だが、100 % で 1 位タイの NortonLifeLock と Panda、98.61 % で最下位の Trend Micro を除き、15 製品が 99 % 台後半で並んでおり、大きな差はみられない。なお、Panda は誤検知数が 96 と多く、Trend Micro とともに最低評価の「Tested」となった。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2022年04月16日 20時28分 (#4233815)

    ONLINE、OFFLINEともに低評価なんだけど、どうしてこっちが話題にならないの?

    • by Anonymous Coward on 2022年04月17日 2時12分 (#4233929)

      カネを払うことに価値がある世界だってあるんですよ。

      Defender使っててすり抜けた場合
          ・お前はタダで使えるようなものを我が社の重要なセキュリティ基盤として採用したのか!何を考えてるんだ!

      Trend Microを使っていた場合
          ・年間5000円も払ってこんな高機能な製品を導入してたのに攻撃されてしまったのか。仕方ないな。
                ※ 高機能と高品質は違うことを認識していない

      あと、ウイルスバスターは一時期、日本企業向けでは席巻してた時期があるので「変更すべき理由がない」って
      消極的理由で導入しているケースも多い。

      親コメント
      • by Anonymous Coward

        Forefrontでいいじゃん。Microsoft Defenderと同じエンジンでお金も払えて大満足でしょ

        • by Anonymous Coward

          世間一般に無名なソフトは論外です。

          有名な中で特に Trend Micro が採用されるのは「ウィルスバスター」という名前です。
          世間一般で最も[何するソフトかピンとくる]&[覚えられる]名前です。

          # 「ゴーストバスターズ」と語呂が似ていて馴染みやすいってのもあると思う

          • by Anonymous Coward

            昔PCをバスターされた身からするとなー

        • by Anonymous Coward

          おじいちゃん、それはもう一部を除いて開発終了していて、ブランドとして死んだんだよ。

          • by Anonymous Coward

            https://www.trendmicro.com/ja_jp/forHome/products/vb.html [trendmicro.com]

            やべぇこのジジイ違う世界線から来てるわwwwwwwww

            • by Anonymous Coward

              Forefrontの事を指しているのを理解できてないとは……
              # 2012からSystem Center Endpoint Protectionに変更

            • by Anonymous Coward

              そのリンクのどこにもForefrontが出てこないんだけど、どういうこと?

              あなたの世界線ではウイルスバスター=Forefrontってこと?

            • by Anonymous Coward

              よくわかんないけどApexOneとか2年前のエンジンだよね

      • by Anonymous Coward

        ウイルスバスターというかトレンドマイクロは、企業向け契約では、「非常時に人を出してくれる」って理由で導入していると思うけど。
        それか、過去のウイルス感染時にシステム復旧を手伝ってくれた恩義があるという理由もあると思う。つまり「製品ではなく人」って考え。
        個人的には、製品開発は止めて、セキュリティ支援サービス企業に生まれ変わった方が良いとは思う。

    • by Anonymous Coward on 2022年04月16日 23時29分 (#4233904)

      オンラインとオフラインの差が大きいという話だからでは

      親コメント
    • by Anonymous Coward

      そりゃあMicrosoft叩くのが主目的だからというしょーもない理由でしょうよ

    • by Anonymous Coward

      今更の話題だから。

    • by Anonymous Coward

      あればセキュリティ面がガバガバの会社が「対策はしっかりしてたんですよ!!」って言い訳するためにあるから、下手に強固だと狙われた際に他の金かけてない部分を標的にされると困る
      適度に役立たずでないと顧客のニーズが満たせない

    • by Anonymous Coward

      いちいち下を見るクセを治そう。TrendMicroは純正か?

      • by Anonymous Coward on 2022年04月16日 22時25分 (#4233882)

        純正じゃないから存在価値が疑問なんだろ?
        セキュリティ対策のための商品なのに、お金をかけて導入したほうがセキュリティリスクが上がるって状態が、ずっと続いてんだから。

        親コメント
        • by Anonymous Coward

          マイクロソフトがDefender開発した動機がブルースクリーンの原因の大半がアンチウイルスソフトだったと言われてるしな。

          セキュリティ企業には「問題がなく動いているシステムに導入するものなので自社製品が問題を起こすことは問題外である」自覚を持って欲しい。
          TrendMicro製品自体がセキュリティホール出すことも少なくないし技術者の質が低すぎないか?

      • by Anonymous Coward

        純正でも無く金払ってるのにDefenderより下なのが問題なんだが、それがご理解いただけないと?
        この場合Defenderを指摘する前にTrendは使う価値なしを最初に言わなきゃ意味が無い。

      • by Anonymous Coward

        言わなきゃ「DefenderヤバイからTrendMicro入れて対策しよう」なんて本末転倒の結論出してしまう人間が出かねないだろ。

    • by Anonymous Coward

      何かを取り上げたときに別の何かをなぜ取り上げないんだというこういう思考って陰謀論にハマる入り口だなって思ったね。
      例えば自動車事故なんかどこでも起きてるが、有名人が事故れば大きなニュースになる。
      それだけのこと。

    • by Anonymous Coward

      Defenderだって高価なWindowsの一部なわけだから有償でしょう。

      • by Anonymous Coward

        つまりcortanaとedgeとdefenderの分だけ値引きしてくれないmsが糞なんだな。

  • by Anonymous Coward on 2022年04月16日 20時34分 (#4233818)

    ネットにつながっていようとも設定で「クラウド提供の保護」をオフにしていればここで言うオフラインの精度になる
    もっとも重要な本質は組織外秘が規定されている場合は「クラウド提供の保護」をオフでなければならないということ

    商用利用や公的運用などポリシーある運用におけるMicrosoft Defenderの検出率は60.3 % にとどまり
    その反論に「クラウド提供の保護」をオンの98.8%を主張することは許されないということ

    # まぁシステムの安定性を踏まえればサードパーティ利用は避けたいところではあるのだが

    • by Anonymous Coward

      「windows updateを適用したら起動しなくなりました」
      の原因として挙げられるのは主にセキュリティソフトだよね
      なぜなのかはよく知らないけど

      • by Anonymous Coward

        誤検知でシステムファイルを隔離しちゃうからでしょ

        • by Anonymous Coward

          MSの署名があるファイルは問答無用で非隔離対象にすればいいのに

          • by Anonymous Coward

            たとえばストアアプリはサードパーティのものを含めてすべてMSの署名があるわけで

            • by Anonymous Coward

              OS公式とストアアプリでは署名キーセット同じにしてるの?

    • by Anonymous Coward

      もっとも重要な本質は組織外秘が規定されている場合は「クラウド提供の保護」をオフでなければならないということ

      気づいてない会社は気づいてはいけない奴~

    • クラウド保護オンだと、確かに疑わしいファイルが丸ごとセキュリティソフトの制作会社に送られる。
      しかし、これは絶対に漏洩させないように厳正に管理されるものであって、表ざたになっている漏洩事故はそこまで多くはない。

      尤も特許出願前の発明など、本当に重要な情報がセキュリティソフト会社に勤めるスパイによって盗み取られるリスクはないわけではないが、そのリスクよりも、クラウド保護を切ってセキュリティソフトのプロティションの検出率が大幅に下がって、標的型攻撃の悪意のあるマルウェアでその貴重なデータが犯罪者に盗まれるリスクの方がよっぽど高い。

      というか、そこまで重要な情報を扱っているなら、インターネットに接続しないオフライン環境にすべき。

       セキュリティソフト会社の社員が情報を盗むリスク > ウイルス対策ソフトの検出率が下がるリスク

      と考えるならば、そもそもその信頼できないセキュリティソフトは入れない方がいい。

      # VirusTotal のようにアップロードしたデータがあちこちにばらまかれるサービスは流石に使うべきではない。

      • by Anonymous Coward

        サンプルの自動送信ってのもあるけど

        ・これをOFFにするとクラウドがONでも検知は低くなる。
        ・これはなんか怪しいソフトあった時に送るもので検知率には関係ない。

        どっちなん?

      • by Anonymous Coward

        # VirusTotal のようにアップロードしたデータがあちこちにばらまかれるサービスは流石に使うべきではない。

        そのとおり、あそこはSHA256を"https://www.virustotal.com/gui/file/"の後のURLに突っ込んで確かめるところ。
        出てくれば、その内容を見て判断、出てこなければ疑わしきはとりあえず弾く方針で安全側に倒す。

      • by Anonymous Coward

        > しかし、これは絶対に漏洩させないように厳正に管理されるものであって、表ざたになっている漏洩事故はそこまで多くはない。

        いや、「漏洩事故はそこまで多くはない」って、その多くはない漏洩事故が自分のところのデータで起きたらアウトだろ。
        自分らのミスでお漏らししたならともかく、ちゃんと社員にセキュリティ教育もしてマルウェア対策としてMicrosoft Defenderで防御してたけど、スキャンのためにデータを預けたMicrosoft Defenderがデータをお漏らししましたってなったら、Microsoftが代わりに責任とって謝罪して補償してくれんの?
        確率の問題じゃなくて責任の問題だ。

        てか、でかいファイルなんかアップロードできなくてリモートスキャンの対象から外れるんだから全部をオフラインでスキャンできた方がいいし、他のセキュリティソフトがオフラインで高い検出率で検出できてるんだからMicrosoftだってやろうと思えばできるのにやってないだけだろ。

  • by Anonymous Coward on 2022年04月16日 21時27分 (#4233854)

    先ずLANケーブルを抜いてから、フルスキャンだったのだが、考え直さないといけないなぁ。

    • by Anonymous Coward on 2022年04月16日 21時39分 (#4233862)

      うちの会社にはupdate等最低限の通信しか出来ないlanが別にあって、そこに繋げてスキャンしてる。

      親コメント
    • by Anonymous Coward

      適時自動アップデートで最新状態にしていれば、何かある前に検知できることが多い。わざわざ隔離して古い状態のままにすることの方が危険なのだ。完全隔離なら安全なんて神話をいまだに信じている信者って面倒だ。

      • by Anonymous Coward
        #4233854 [it.srad.jp]の環境は、隔離されている訳でも、古い状態のままにしている訳でも無いみたいですが。
        • by Anonymous Coward

          Windows Defenderの場合、オフラインというのは、定義ファイルを更新できない状態であることと、ローカルで発見した有害なサンプルをアップロードできない状態であることであるだけです。リアルタイムでクラウド上のサーバーと通信しているわけではありません。Windows Updateで定義ファイルやWindows Defenderのアプリケーションを定期更新できる環境であれば、オフラインではないのです。

          • by Anonymous Coward

            >定義ファイルを更新できない状態であることと
            当方、ADSLが終わったんで従量課金の楽天モバイルで固定で使ってるが、月3G(1000円)に抑えるのに毎日の定義ファイル(mpam-fe.exe)が100Mバイトあるから毎日は更新していない。

        • by Anonymous Coward

          では、Windows Defenderのクラウド依存とは何を指しているのでしょうか?
          Windows Defenderはチェック時にはローカルにある定義ファイルを参照しているだけで、リアルタイムでクラウドのサーバーと通信しているわけではありません。Windows Defenderがネットワークに依存しているのは、定義ファイルの定期更新と、有害ファイルのサンプル収集だけです。

          Windowsのインストールメディアに添付されているオリジナルの古いバージョンで古い定義ファイルのままオフライン状態でアップデートされていないのであれば、当然のことながら新しいものには対応できていませんので検出率は下がります。Windows 10の場合、インストール後の初回アップデートをしないと、下手するとWindows 10が最初にリリースされた2015年当時のバージョンの定義ファイルやアプリケーションのバージョンであることがありますので、完全オフラインでアップデートしていないのであれば、検出率が低下するのは当然の結果です。

          • by Anonymous Coward

            大元のコメントで言ってる完全隔離は「普段オンライン、感染時オフライン」ですから、
            >Windowsのインストールメディアに添付されているオリジナルの古いバージョンで古い定義ファイルのままオフライン状態でアップデートされていないのであれば
            (中略)
            >完全オフラインでアップデートしていないのであれば、検出率が低下するのは当然の結果です。
            といった仮定は的外れでは?
            また調査の設定条件についても報告に書かれていて、

            All products were installed on a fully up-to-date 64-Bit Microsoft Windows 10 system. Products were tested at the beginning of March with default settings and using their latest updates.

  • by Anonymous Coward on 2022年04月17日 15時45分 (#4234067)

    上位3社は同一グループなので一纏めで良いのでは?
    オンラインの場合のMSはNorton、McAfeeに次いで実質3位。

    • by Anonymous Coward

      グループになったのは比較的近年の話で、製品の技術的バックグランドは全く異なるのでは?

    • by Anonymous Coward

      ブラウザー互換性テーブルもOperaをいつまで分けてるんだって思う

    • by Anonymous Coward

      同一じゃないぞ
      まだNortonによるAvastの買収が終わっていない
      イギリス政府から懸念が出てきたのでストップしてる
      https://gigazine.net/news/20220317-nortonlifelock-avast-uk-cma/ [gigazine.net]

  • by Anonymous Coward on 2022年04月17日 17時54分 (#4234105)

    そうか、オフラインだと認知症が酷くなるのか。俺のネット依存症もここまで重症化したのね。

  • by Anonymous Coward on 2022年04月17日 19時20分 (#4234153)

    一部のメーラーなどで MsMpEng.exe が糞重い

  • by Anonymous Coward on 2022年04月18日 6時34分 (#4234288)

    マルウェアやウィルスはまずネットワーク接続無効化を狙って、うまく無効化出来たらごそごそ活動すれば検出されにくくなるってことか
    ネットワーク接続無効化しようとして検出されちゃうかもしんないけど

    • by Anonymous Coward

      検出され難くはなるかも知れないけど、気付かれ易くはなるんじゃない?

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...