オフライン時に検知率が大幅に低下する Microsoft Defender 50
ストーリー by headless
低下 部門より
低下 部門より
Microsoft Defender は近年大幅に性能が向上しているが、オフライン時には検知率が大幅に低下するようだ
(AV-Comparatives の記事、
Neowin の記事、
Windows Central の記事)。
AV-Comparatives の 3 月分テストで Microsoft Defender は最高評価の Advanced+ を得ているが、オフラインでの検知率は 60.3 % にとどまる。これはテスト対象となった 18 製品中 16 位の検知率であり、Microsoft Defender よりも低いのは Panda Free Antivirus (40.6 %) と Trend Micro Internet Security (36.1 %)のみ。逆にオンラインでの検知率は98.8%で、NortonLifeLock Norton 360 Deluxe (99.6 %) と Avast Free (99.5 %)、AVG Free (99.5 %)、McAfee Total Protection (99.3 %) に次ぐ 5 番目の検知率となっている。オンラインに比べてオフラインでの検知率が大幅に低いのはクラウド依存が強いことを示し、AV-Compratives はクラウドに接続できない場合に大幅に検知率が低下することをベンダーがユーザーに警告すべきだと述べている。
AV-Comparatives のトータルの評価は検知率ではなく、保護率と誤検知数により決定する。検知率はマルウェアを実行前に検知した割合を示すのに対し、保護率は最終的にシステムの変更を防いだ割合を示す。Microsoft Defender のオンラインでの保護率は 99.96 % で 11 位だが、100 % で 1 位タイの NortonLifeLock と Panda、98.61 % で最下位の Trend Micro を除き、15 製品が 99 % 台後半で並んでおり、大きな差はみられない。なお、Panda は誤検知数が 96 と多く、Trend Micro とともに最低評価の「Tested」となった。
AV-Comparatives の 3 月分テストで Microsoft Defender は最高評価の Advanced+ を得ているが、オフラインでの検知率は 60.3 % にとどまる。これはテスト対象となった 18 製品中 16 位の検知率であり、Microsoft Defender よりも低いのは Panda Free Antivirus (40.6 %) と Trend Micro Internet Security (36.1 %)のみ。逆にオンラインでの検知率は98.8%で、NortonLifeLock Norton 360 Deluxe (99.6 %) と Avast Free (99.5 %)、AVG Free (99.5 %)、McAfee Total Protection (99.3 %) に次ぐ 5 番目の検知率となっている。オンラインに比べてオフラインでの検知率が大幅に低いのはクラウド依存が強いことを示し、AV-Compratives はクラウドに接続できない場合に大幅に検知率が低下することをベンダーがユーザーに警告すべきだと述べている。
AV-Comparatives のトータルの評価は検知率ではなく、保護率と誤検知数により決定する。検知率はマルウェアを実行前に検知した割合を示すのに対し、保護率は最終的にシステムの変更を防いだ割合を示す。Microsoft Defender のオンラインでの保護率は 99.96 % で 11 位だが、100 % で 1 位タイの NortonLifeLock と Panda、98.61 % で最下位の Trend Micro を除き、15 製品が 99 % 台後半で並んでおり、大きな差はみられない。なお、Panda は誤検知数が 96 と多く、Trend Micro とともに最低評価の「Tested」となった。
むしろ有償のTrend Microが下位な方がヤバくない? (スコア:3, 興味深い)
ONLINE、OFFLINEともに低評価なんだけど、どうしてこっちが話題にならないの?
Re:むしろ有償のTrend Microが下位な方がヤバくない? (スコア:3, 興味深い)
カネを払うことに価値がある世界だってあるんですよ。
Defender使っててすり抜けた場合
・お前はタダで使えるようなものを我が社の重要なセキュリティ基盤として採用したのか!何を考えてるんだ!
Trend Microを使っていた場合
・年間5000円も払ってこんな高機能な製品を導入してたのに攻撃されてしまったのか。仕方ないな。
※ 高機能と高品質は違うことを認識していない
あと、ウイルスバスターは一時期、日本企業向けでは席巻してた時期があるので「変更すべき理由がない」って
消極的理由で導入しているケースも多い。
Re: (スコア:0)
Forefrontでいいじゃん。Microsoft Defenderと同じエンジンでお金も払えて大満足でしょ
Re: (スコア:0)
世間一般に無名なソフトは論外です。
有名な中で特に Trend Micro が採用されるのは「ウィルスバスター」という名前です。
世間一般で最も[何するソフトかピンとくる]&[覚えられる]名前です。
# 「ゴーストバスターズ」と語呂が似ていて馴染みやすいってのもあると思う
Re: (スコア:0)
昔PCをバスターされた身からするとなー
Re: (スコア:0)
おじいちゃん、それはもう一部を除いて開発終了していて、ブランドとして死んだんだよ。
Re: (スコア:0)
https://www.trendmicro.com/ja_jp/forHome/products/vb.html [trendmicro.com]
やべぇこのジジイ違う世界線から来てるわwwwwwwww
Re: (スコア:0)
Forefrontの事を指しているのを理解できてないとは……
# 2012からSystem Center Endpoint Protectionに変更
Re: (スコア:0)
そのリンクのどこにもForefrontが出てこないんだけど、どういうこと?
あなたの世界線ではウイルスバスター=Forefrontってこと?
Re: (スコア:0)
よくわかんないけどApexOneとか2年前のエンジンだよね
Re: (スコア:0)
ウイルスバスターというかトレンドマイクロは、企業向け契約では、「非常時に人を出してくれる」って理由で導入していると思うけど。
それか、過去のウイルス感染時にシステム復旧を手伝ってくれた恩義があるという理由もあると思う。つまり「製品ではなく人」って考え。
個人的には、製品開発は止めて、セキュリティ支援サービス企業に生まれ変わった方が良いとは思う。
Re:むしろ有償のTrend Microが下位な方がヤバくない? (スコア:1)
オンラインとオフラインの差が大きいという話だからでは
Re: (スコア:0)
そりゃあMicrosoft叩くのが主目的だからというしょーもない理由でしょうよ
Re: (スコア:0)
今更の話題だから。
Re: (スコア:0)
あればセキュリティ面がガバガバの会社が「対策はしっかりしてたんですよ!!」って言い訳するためにあるから、下手に強固だと狙われた際に他の金かけてない部分を標的にされると困る
適度に役立たずでないと顧客のニーズが満たせない
Re: (スコア:0)
いちいち下を見るクセを治そう。TrendMicroは純正か?
Re:むしろ有償のTrend Microが下位な方がヤバくない? (スコア:3, すばらしい洞察)
純正じゃないから存在価値が疑問なんだろ?
セキュリティ対策のための商品なのに、お金をかけて導入したほうがセキュリティリスクが上がるって状態が、ずっと続いてんだから。
Re: (スコア:0)
マイクロソフトがDefender開発した動機がブルースクリーンの原因の大半がアンチウイルスソフトだったと言われてるしな。
セキュリティ企業には「問題がなく動いているシステムに導入するものなので自社製品が問題を起こすことは問題外である」自覚を持って欲しい。
TrendMicro製品自体がセキュリティホール出すことも少なくないし技術者の質が低すぎないか?
Re: (スコア:0)
純正でも無く金払ってるのにDefenderより下なのが問題なんだが、それがご理解いただけないと?
この場合Defenderを指摘する前にTrendは使う価値なしを最初に言わなきゃ意味が無い。
Re: (スコア:0)
言わなきゃ「DefenderヤバイからTrendMicro入れて対策しよう」なんて本末転倒の結論出してしまう人間が出かねないだろ。
Re: (スコア:0)
何かを取り上げたときに別の何かをなぜ取り上げないんだというこういう思考って陰謀論にハマる入り口だなって思ったね。
例えば自動車事故なんかどこでも起きてるが、有名人が事故れば大きなニュースになる。
それだけのこと。
Re: (スコア:0)
Defenderだって高価なWindowsの一部なわけだから有償でしょう。
Re: (スコア:0)
つまりcortanaとedgeとdefenderの分だけ値引きしてくれないmsが糞なんだな。
「オフライン」は語弊がある (スコア:3, 興味深い)
ネットにつながっていようとも設定で「クラウド提供の保護」をオフにしていればここで言うオフラインの精度になる
もっとも重要な本質は組織外秘が規定されている場合は「クラウド提供の保護」をオフでなければならないということ
商用利用や公的運用などポリシーある運用におけるMicrosoft Defenderの検出率は60.3 % にとどまり
その反論に「クラウド提供の保護」をオンの98.8%を主張することは許されないということ
# まぁシステムの安定性を踏まえればサードパーティ利用は避けたいところではあるのだが
Re: (スコア:0)
「windows updateを適用したら起動しなくなりました」
の原因として挙げられるのは主にセキュリティソフトだよね
なぜなのかはよく知らないけど
Re: (スコア:0)
誤検知でシステムファイルを隔離しちゃうからでしょ
Re: (スコア:0)
MSの署名があるファイルは問答無用で非隔離対象にすればいいのに
Re: (スコア:0)
たとえばストアアプリはサードパーティのものを含めてすべてMSの署名があるわけで
Re: (スコア:0)
OS公式とストアアプリでは署名キーセット同じにしてるの?
Re: (スコア:0)
気づいてない会社は気づいてはいけない奴~
クラウド保護オフはかえって危険 (スコア:0)
クラウド保護オンだと、確かに疑わしいファイルが丸ごとセキュリティソフトの制作会社に送られる。
しかし、これは絶対に漏洩させないように厳正に管理されるものであって、表ざたになっている漏洩事故はそこまで多くはない。
尤も特許出願前の発明など、本当に重要な情報がセキュリティソフト会社に勤めるスパイによって盗み取られるリスクはないわけではないが、そのリスクよりも、クラウド保護を切ってセキュリティソフトのプロティションの検出率が大幅に下がって、標的型攻撃の悪意のあるマルウェアでその貴重なデータが犯罪者に盗まれるリスクの方がよっぽど高い。
というか、そこまで重要な情報を扱っているなら、インターネットに接続しないオフライン環境にすべき。
セキュリティソフト会社の社員が情報を盗むリスク > ウイルス対策ソフトの検出率が下がるリスク
と考えるならば、そもそもその信頼できないセキュリティソフトは入れない方がいい。
# VirusTotal のようにアップロードしたデータがあちこちにばらまかれるサービスは流石に使うべきではない。
Re: (スコア:0)
サンプルの自動送信ってのもあるけど
・これをOFFにするとクラウドがONでも検知は低くなる。
・これはなんか怪しいソフトあった時に送るもので検知率には関係ない。
どっちなん?
Re: (スコア:0)
# VirusTotal のようにアップロードしたデータがあちこちにばらまかれるサービスは流石に使うべきではない。
そのとおり、あそこはSHA256を"https://www.virustotal.com/gui/file/"の後のURLに突っ込んで確かめるところ。
出てくれば、その内容を見て判断、出てこなければ疑わしきはとりあえず弾く方針で安全側に倒す。
Re: (スコア:0)
> しかし、これは絶対に漏洩させないように厳正に管理されるものであって、表ざたになっている漏洩事故はそこまで多くはない。
いや、「漏洩事故はそこまで多くはない」って、その多くはない漏洩事故が自分のところのデータで起きたらアウトだろ。
自分らのミスでお漏らししたならともかく、ちゃんと社員にセキュリティ教育もしてマルウェア対策としてMicrosoft Defenderで防御してたけど、スキャンのためにデータを預けたMicrosoft Defenderがデータをお漏らししましたってなったら、Microsoftが代わりに責任とって謝罪して補償してくれんの?
確率の問題じゃなくて責任の問題だ。
てか、でかいファイルなんかアップロードできなくてリモートスキャンの対象から外れるんだから全部をオフラインでスキャンできた方がいいし、他のセキュリティソフトがオフラインで高い検出率で検出できてるんだからMicrosoftだってやろうと思えばできるのにやってないだけだろ。
何かあった時の対応 (スコア:1)
先ずLANケーブルを抜いてから、フルスキャンだったのだが、考え直さないといけないなぁ。
Re:何かあった時の対応 (スコア:1)
うちの会社にはupdate等最低限の通信しか出来ないlanが別にあって、そこに繋げてスキャンしてる。
Re: (スコア:0)
適時自動アップデートで最新状態にしていれば、何かある前に検知できることが多い。わざわざ隔離して古い状態のままにすることの方が危険なのだ。完全隔離なら安全なんて神話をいまだに信じている信者って面倒だ。
Re: (スコア:0)
Re: (スコア:0)
Windows Defenderの場合、オフラインというのは、定義ファイルを更新できない状態であることと、ローカルで発見した有害なサンプルをアップロードできない状態であることであるだけです。リアルタイムでクラウド上のサーバーと通信しているわけではありません。Windows Updateで定義ファイルやWindows Defenderのアプリケーションを定期更新できる環境であれば、オフラインではないのです。
Re: (スコア:0)
>定義ファイルを更新できない状態であることと
当方、ADSLが終わったんで従量課金の楽天モバイルで固定で使ってるが、月3G(1000円)に抑えるのに毎日の定義ファイル(mpam-fe.exe)が100Mバイトあるから毎日は更新していない。
Re: (スコア:0)
では、Windows Defenderのクラウド依存とは何を指しているのでしょうか?
Windows Defenderはチェック時にはローカルにある定義ファイルを参照しているだけで、リアルタイムでクラウドのサーバーと通信しているわけではありません。Windows Defenderがネットワークに依存しているのは、定義ファイルの定期更新と、有害ファイルのサンプル収集だけです。
Windowsのインストールメディアに添付されているオリジナルの古いバージョンで古い定義ファイルのままオフライン状態でアップデートされていないのであれば、当然のことながら新しいものには対応できていませんので検出率は下がります。Windows 10の場合、インストール後の初回アップデートをしないと、下手するとWindows 10が最初にリリースされた2015年当時のバージョンの定義ファイルやアプリケーションのバージョンであることがありますので、完全オフラインでアップデートしていないのであれば、検出率が低下するのは当然の結果です。
Re: (スコア:0)
大元のコメントで言ってる完全隔離は「普段オンライン、感染時オフライン」ですから、
>Windowsのインストールメディアに添付されているオリジナルの古いバージョンで古い定義ファイルのままオフライン状態でアップデートされていないのであれば
(中略)
>完全オフラインでアップデートしていないのであれば、検出率が低下するのは当然の結果です。
といった仮定は的外れでは?
また調査の設定条件についても報告に書かれていて、
All products were installed on a fully up-to-date 64-Bit Microsoft Windows 10 system. Products were tested at the beginning of March with default settings and using their latest updates.
Norton、Avast、AVG (スコア:0)
上位3社は同一グループなので一纏めで良いのでは?
オンラインの場合のMSはNorton、McAfeeに次いで実質3位。
Re: (スコア:0)
グループになったのは比較的近年の話で、製品の技術的バックグランドは全く異なるのでは?
Re: (スコア:0)
ブラウザー互換性テーブルもOperaをいつまで分けてるんだって思う
Re: (スコア:0)
同一じゃないぞ
まだNortonによるAvastの買収が終わっていない
イギリス政府から懸念が出てきたのでストップしてる
https://gigazine.net/news/20220317-nortonlifelock-avast-uk-cma/ [gigazine.net]
認知率が低下と誤読してしまった (スコア:0)
そうか、オフラインだと認知症が酷くなるのか。俺のネット依存症もここまで重症化したのね。
特定のソフトで重い (スコア:0)
一部のメーラーなどで MsMpEng.exe が糞重い
つまり (スコア:0)
マルウェアやウィルスはまずネットワーク接続無効化を狙って、うまく無効化出来たらごそごそ活動すれば検出されにくくなるってことか
ネットワーク接続無効化しようとして検出されちゃうかもしんないけど
Re: (スコア:0)
検出され難くはなるかも知れないけど、気付かれ易くはなるんじゃない?