テスト結果ではSophosが一番
テスト結果ではSophosが一番
表3は、ウイルス対策ソフトの検知力ランキングである。テスト期間中にアークンに送信されてきた41種類のウイルスを、各社のウイルス対策ソフトで検知できたかどうかをまとめている。
表3: 検知力ランキング
| ソフト名 | 有効検体数 | 有効検知数 | 非検知数 | 誤検知数 | 検出率 |
|---|---|---|---|---|---|
| Sophos | 41 | 36 | 5 | 0 | 87.8% |
| GData | 41 | 33 | 8 | 1 | 78.6% |
| Ikarus | 41 | 32 | 9 | 0 | 78.0% |
| NOD32 | 41 | 31 | 10 | 0 | 75.6% |
| BitDefender | 41 | 30 | 11 | 0 | 73.2% |
| nProtect | 41 | 30 | 11 | 0 | 73.2% |
| F-Secure | 41 | 30 | 11 | 1 | 71.4% |
| Emsisoft | 41 | 29 | 12 | 0 | 70.7% |
| Microsoft | 41 | 29 | 12 | 0 | 70.7% |
| Sunbelt | 41 | 29 | 12 | 0 | 70.7% |
| Panda | 41 | 27 | 14 | 0 | 65.9% |
| Comodo | 41 | 26 | 15 | 1 | 61.9% |
| eTrust-Vet | 41 | 25 | 16 | 0 | 61.0% |
| TrendMicro | 41 | 25 | 16 | 0 | 61.0% |
| K7AntiVirus | 41 | 24 | 17 | 0 | 58.5% |
| McAfee | 41 | 34 | 7 | 20 | 55.7% |
| Authentium | 41 | 22 | 19 | 0 | 53.7% |
| Fortinet | 41 | 22 | 19 | 0 | 53.7% |
| F-Prot | 41 | 22 | 19 | 0 | 53.7% |
| TrendMicro-HouseCall | 41 | 17 | 16 | 0 | 51.5% |
| Avast5 | 41 | 21 | 20 | 0 | 51.2% |
| McAfee-GW-Edition | 41 | 21 | 20 | 0 | 51.2% |
| Kaspersky | 41 | 21 | 20 | 0 | 51.2% |
| ClamAV | 41 | 21 | 20 | 1 | 50.0% |
| DrWeb | 41 | 20 | 21 | 0 | 48.8% |
| Avast | 41 | 20 | 21 | 0 | 48.8% |
| VirusBuster | 41 | 16 | 17 | 0 | 48.5% |
| AVG | 41 | 21 | 20 | 3 | 47.7% |
| TheHacker | 41 | 20 | 21 | 2 | 46.5% |
| VBA32 | 41 | 15 | 18 | 0 | 45.5% |
| ViRobot | 41 | 15 | 18 | 0 | 45.5% |
| AntiVir | 41 | 17 | 24 | 0 | 41.5% |
| Antiy-AVL | 41 | 17 | 24 | 0 | 41.5% |
| Norman | 41 | 17 | 24 | 0 | 41.5% |
| AhnLab-V3 | 41 | 16 | 25 | 0 | 39.0% |
| PCTools | 41 | 16 | 25 | 0 | 39.0% |
| Symantec | 41 | 16 | 25 | 0 | 39.0% |
| Jiangmin | 41 | 13 | 28 | 0 | 31.7% |
| Prevx | 41 | 13 | 28 | 0 | 31.7% |
| CAT-QuickHeal | 41 | 12 | 29 | 0 | 29.3% |
| Rising | 41 | 11 | 30 | 0 | 26.8% |
| eSafe | 41 | 10 | 31 | 1 | 23.8% |
| SUPERAntiSpyware | 41 | 9 | 32 | 0 | 22.0% |
表の中で「有効検体数」とは、重複していないユニークなMD5値を持つ、ウイルス感染ファイルの数である。すなわち、今回検知対象となった41種類の異なる新種ウイルスのことである。「有効検知数」とは、そのベンダーのウイルス対策ソフトが「有効検体」に対してウイルス名を表示して検知した数である。一方、「非検知数」とは、有効検体に対してウイルスを検知しなかった数である。すなわち、「有効検体数」= 41 =「有効検知数」+「非検知数」となる。「誤検知数」とは、未感染ファイルに対して、誤って何らかのウイルス名を表示した数である。
「検出率」とは、単なる「有効検知数」を「有効検体数」で割った数ではない。「誤検知」を犯したペナルティとして「有効検知数」から「誤検知数」を引いたものを「有効検体数」で割った数である。特に、McAfeeは「誤検知数」が20と多かった。「有効検知数」は34とSophosに次ぐ第2位であるにも関わらず検知力ランキングの順位を大きく下げた理由である。
未知ウイルスと誤検知との関係
今回のテストで分かるように、新種ウイルスは日々生まれており、ウイルス対策ソフトを最新版にバージョンアップしていても、リアルタイムでは検知できないこともしばしばある。つまり、新種ウイルスの出現に各社のバージョンアップが間に合っていないのである。そこで、各社は未知ウイルスであっても検知できるように、さまざまな新技術を開発し、製品に実装している。しかし、この設定を高くしすぎると、かえって誤検知が多くなるというジレンマを抱えている。
その例が、McAfeeである。McAfeeとMcAfee-GW-Editionでは、検知数や誤検知数が異なる。McAfeeでは、検知数が多い一方で誤検知も多い。これは、未知のUSB感染型ウイルスを検知する機能が動作しているためでである。このチューニングが高すぎることが原因であると思われる。一方、McAfee-GW-Editionは、ゲートウエイ型であるため、パフォーマンスを劣化させる可能性のある、未知ウイルスを検知するための動的解析や静的解析の機能を利用することは難しい。このため、既知ウイルスを検知するだけの従来の技術しか利用できず、結果として、誤検知が出ない一方で検知数は少なくなったと思われる。
バックナンバー
この記事の筆者
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
