2007年01月27日 - ウェブルート(Webroot)によるWindows Defenderの検出力評価テスト
スパイウェア対策ソフトとして近年著名なSpy SweeperのメーカーであるWebroot(ウェブルート社)は、2007年1月25日にVISTAのマルウェア対策に欠陥があるとの主旨のレポートを掲載した。
だが元々中立的な立場ではない上に詳細が不明で、単なる比較広告の域を超えない内容であった。
原文より抜粋して紹介する。
(Webroot社の責任ではないのだが、このレポートを紹介する日本のニュースポータルの記事がどうもおかしいため、ここでは紹介しない。)
(以下に和訳する)
貧弱なスパイウェアブロック能力
Webrootの脅威調査チームによる継続的なテストの一部として、Windows Defenderは(もっともありふれたスパイウェアとマルウェアの15変種を含むテストサンプルにて)84パーセントのテストサンプルをブロックできなかったのを発見した。
ユーザーのマシンに感染する前にスパイウェアとマルウェアをブロックする能力評価において、Webrootの脅威調査チームはWindows Defenderプログラムの性能は、多くのサードパーティのセキュリティアプリケーション(Webrootの受賞しているアンチスパイウェアプログラムであるSpy Sweeperを含めて)と並ぶようなものではなかったと見出した。
アドウェアを含む様々なタイプの脅威、潜在的に望ましくないプログラム(Potentially Unwanted Programs :PUPs)、システムモニター、キーロガー、トロイの木馬などは、Windows Vistaによって検出されなかったテスト環境に存在できた。
ある(一つの)潜在的に望ましくないプログラム(PUP)はアドミニストレーター権限の下でインストールされ、動作し、そしてWindows XP オペレーティングシステム環境よりのいかなるアプリケーションも用いずにキーストロークをキャプチャした。Defenderはインストールもアプリケーションの稼動も検出しなかった。
普通ならばテストに供試した検体の総数は提示するだろう、だが原文には記載されていない。
「もっともありふれたスパイウェアとマルウェアの15変種を含むテストサンプル」と記載されている部分に引っかかりを感じるのだ。
たったの15ではなく、より多くの「ありふれた変種」を利用しなかったのは何故なのだろうか。桁を多くし150や1500としてもおかしくないずだ。
実際には供試されたサンプルの数は極めて少ないのでは?
誤解を招いているので、コメントより修正して転載し追記(2007年1月30日)。
最終行を再訂正(2007年1月31日)
例えばサンプルの総数が20-30で、とりこぼした84%のうち15サンプルが「阻止して当然の物」だったとする。
ならばどうしょうも無いし、論ずるに値しない。
それとは逆にやたらと多いサンプル数ならば、「十分なサンプルサイズであり、客観的なテストが行われた」と誤解されそうなんだけど、そうではない。
例としてサンプルの総数が10000ならば(1000でもあまり変わりが無いけど)、「阻止して当然のもの」がわずか15サンプルと極めて少なく、抽出した標本に偏りがある可能性がある。
つまりウェブルート社以外の製品は対応しない可能性があるものを多く含むと。
(次の見出し「本当に検出対象とすべきものだったのか?」へ続く)
それでですね。
「もっともありふれた」ものは総数が多かろうが少なかろうが、わずか15サンプルであまりにも少なすぎるし、話が最初からおかしいのだよ。
アドウェアや脅威の度合いが低いスパイウェア、潜在的に望ましくないプログラム(PUP)を検出対象とすべきか否かは、メーカー側の判断基準に依存する部分が大きい。
元々ウェブルート社が検出対象とするスパイウェア・マルウェア(と彼らが呼称するもの)は、他のセキュリティ対策ソフトウェアメーカーとややズレがある。
ウェブルート社によるテストは、スパイウェア対策製品をリリースする他社としての視点になってしまっているのだから、テストを始める前より公正さを欠いているのだが。
ウェブルート社(もしくは少数のスパイウェア対策ソフトウェアメーカー)が独自の・独特の判断基準にて検出対象とするものばかりをテストサンプルに含めているのではないかと疑ってはいないが、引っかかりを感じている。
サンプルの内訳を記載せずに「84パーセントのテストサンプルをブロックできなかった」と書かれても、説得力が薄いのだ。
ウェブルート社はテストサンプルの中身 - 供試したプログラムのリストを公開すべきだ。
今回のプレスリリースは、ウェブルート社にとっては明らかなミスリードであったと自分は確信している。
主たる理由として、ウェブルート社の視点は単なる比較広告に過ぎず、中立な立場よりの非難ではない。
MicrosoftのOperating systemやブラウザの瑕疵や問題点の指摘について言及するならばまだしも。
MicrosoftのWindows Defenderについてウェブルート社が言及し、マルウェア対策ソフトウェア提供者である競合他社としてのMicrosoftになってしまっている。
「だからうちの製品を購入してね!」と行間で促す広告や宣伝に過ぎないのだ
海外では著名な炭酸入り清涼飲料水メーカーは互いに相手を非難し潰しあうような内容の比較広告を掲載しているし、いつぞやの大統領選挙では「共和党は伝統を破壊する」とのスローガンで象にグラスや家具を破壊させるテレビCMを放映させた(象は共和党のシンボルである)。
だが全ての消費者が比較広告を歓迎するのではないし、日本では拒否感を示す層が多いものだ。このレポートは日本語に訳されて紹介されたりするのかなと。
Microsoftはウイルス対策のために、2003年にルーマニアのGeCAD Software(RAV AntiVirusで著名)を買収した。
ネット上では様々な議論 - Microsoftがアンチウイルスソフト産業に進出するのは、既存のサードパーティ製品市場を圧迫すると多くのブロガーやニュースポータルが非難したのを覚えているだろうか?
悪質なソフトウェア駆除ツール (KB890830)は2005年1月にリリースされたが、以前Microsoftが大規模感染時にリリースしていた個別の修復プログラムをまとめた程度のもので、あまり目新しいものではなかった。
Windows Defenderは、どうも事情が異なる。
スパイウェア対策としては、2004年12月に米国のGIANT Company Softwareを買収。
リリースされたスパイウェア対策サービスは、Windows AntiSpywareから現在ではWindows Defenderに名称が変更されている。
検索エンジンの全面的な差し替えなどのアップデートは行われたものの、有料版ではなく無料サービスとして運用されている。
Windows Defenderの検出力がそれほど高くないのは、幾つかの事例にて明らかではあるんだけど。
Windows Defenderが、既存のスパイウェア対策ソフト以上の性能を発揮したとしたらば、あちらこちらのスパイウェア対策ソフトメーカーや欧州委員会より独占禁止法ネタで訴えられるだろう。
テストの結果、自社製品以上の性能であったと判明したらばどうするつもりなのだろうか。
一部のニュースにてVISTA上でキーロガーがと記載しているが、ウェブルート社によるテストでは「without any adaptation from its Windows® XP operating environment」とされているので、VISTAではなくXPでは?
2007年1月28日の追記事項があまりにも長く文書全体が雑然としていたために、再編集。
2007年1月30日、サンプルサイズと客観性について追記。
だが元々中立的な立場ではない上に詳細が不明で、単なる比較広告の域を超えない内容であった。
テストの概要が全くわからない - 検体は何で、何が検出されなかったのか?
原文より抜粋して紹介する。
(Webroot社の責任ではないのだが、このレポートを紹介する日本のニュースポータルの記事がどうもおかしいため、ここでは紹介しない。)
Weak Spyware Blocking Capability
As part of the ongoing testing performed by Webroot’s Threat Research team, it was discovered that Windows® Defender failed to block 84 percent of a testing sample–set that included 15 of the most common variations of existing spyware and malware.
In evaluating its ability to block spyware and malware before it has infected a user’s machine, Webroot’s Threat Research Team found the Windows® Defender program’s performance was not in keeping with many third–party security applications, including Webroot’s own award–winning anti–spyware program, Spy Sweeper®.
Threats of various types – including adware, Potentially Unwanted Programs (PUPs), system monitors, keyloggers and trojans – were able to reside on the testing environment undetected by Windows Vista™.
One PUP tested was able to install under administrator privileges, run and capture keystrokes without any adaptation from its Windows® XP operating environment, and Defender did not detect the installation or the running application.
WEBROOT DISCOVERS POTENTIAL WEAKNESSES IN VISTA MALWARE PROTECTION (Webroot software Inc.)
(以下に和訳する)
貧弱なスパイウェアブロック能力
Webrootの脅威調査チームによる継続的なテストの一部として、Windows Defenderは(もっともありふれたスパイウェアとマルウェアの15変種を含むテストサンプルにて)84パーセントのテストサンプルをブロックできなかったのを発見した。
ユーザーのマシンに感染する前にスパイウェアとマルウェアをブロックする能力評価において、Webrootの脅威調査チームはWindows Defenderプログラムの性能は、多くのサードパーティのセキュリティアプリケーション(Webrootの受賞しているアンチスパイウェアプログラムであるSpy Sweeperを含めて)と並ぶようなものではなかったと見出した。
アドウェアを含む様々なタイプの脅威、潜在的に望ましくないプログラム(Potentially Unwanted Programs :PUPs)、システムモニター、キーロガー、トロイの木馬などは、Windows Vistaによって検出されなかったテスト環境に存在できた。
ある(一つの)潜在的に望ましくないプログラム(PUP)はアドミニストレーター権限の下でインストールされ、動作し、そしてWindows XP オペレーティングシステム環境よりのいかなるアプリケーションも用いずにキーストロークをキャプチャした。Defenderはインストールもアプリケーションの稼動も検出しなかった。
テストした検体の数は、実際にはかなり少ないのでは?
普通ならばテストに供試した検体の総数は提示するだろう、だが原文には記載されていない。
「もっともありふれたスパイウェアとマルウェアの15変種を含むテストサンプル」と記載されている部分に引っかかりを感じるのだ。
たったの15ではなく、より多くの「ありふれた変種」を利用しなかったのは何故なのだろうか。桁を多くし150や1500としてもおかしくないずだ。
実際には供試されたサンプルの数は極めて少ないのでは?
誤解を招いているので、コメントより修正して転載し追記(2007年1月30日)。
最終行を再訂正(2007年1月31日)
例えばサンプルの総数が20-30で、とりこぼした84%のうち15サンプルが「阻止して当然の物」だったとする。
ならばどうしょうも無いし、論ずるに値しない。
それとは逆にやたらと多いサンプル数ならば、「十分なサンプルサイズであり、客観的なテストが行われた」と誤解されそうなんだけど、そうではない。
例としてサンプルの総数が10000ならば(1000でもあまり変わりが無いけど)、「阻止して当然のもの」がわずか15サンプルと極めて少なく、抽出した標本に偏りがある可能性がある。
つまりウェブルート社以外の製品は対応しない可能性があるものを多く含むと。
(次の見出し「本当に検出対象とすべきものだったのか?」へ続く)
それでですね。
「もっともありふれた」ものは総数が多かろうが少なかろうが、わずか15サンプルであまりにも少なすぎるし、話が最初からおかしいのだよ。
テストサンプルの内訳が記載されていない - 本当に検出対象とすべきものだったのか?
アドウェアや脅威の度合いが低いスパイウェア、潜在的に望ましくないプログラム(PUP)を検出対象とすべきか否かは、メーカー側の判断基準に依存する部分が大きい。
元々ウェブルート社が検出対象とするスパイウェア・マルウェア(と彼らが呼称するもの)は、他のセキュリティ対策ソフトウェアメーカーとややズレがある。
ウェブルート社持込みの検体は、フェアではない
ウェブルート社によるテストは、スパイウェア対策製品をリリースする他社としての視点になってしまっているのだから、テストを始める前より公正さを欠いているのだが。
ウェブルート社(もしくは少数のスパイウェア対策ソフトウェアメーカー)が独自の・独特の判断基準にて検出対象とするものばかりをテストサンプルに含めているのではないかと疑ってはいないが、引っかかりを感じている。
サンプルの内訳を記載せずに「84パーセントのテストサンプルをブロックできなかった」と書かれても、説得力が薄いのだ。
ウェブルート社はテストサンプルの中身 - 供試したプログラムのリストを公開すべきだ。
マーケティング戦略を誤りつつあるウェブルート社 - 比較広告の穴
今回のプレスリリースは、ウェブルート社にとっては明らかなミスリードであったと自分は確信している。
主たる理由として、ウェブルート社の視点は単なる比較広告に過ぎず、中立な立場よりの非難ではない。
MicrosoftのOperating systemやブラウザの瑕疵や問題点の指摘について言及するならばまだしも。
MicrosoftのWindows Defenderについてウェブルート社が言及し、マルウェア対策ソフトウェア提供者である競合他社としてのMicrosoftになってしまっている。
「だからうちの製品を購入してね!」と行間で促す広告や宣伝に過ぎないのだ
海外では著名な炭酸入り清涼飲料水メーカーは互いに相手を非難し潰しあうような内容の比較広告を掲載しているし、いつぞやの大統領選挙では「共和党は伝統を破壊する」とのスローガンで象にグラスや家具を破壊させるテレビCMを放映させた(象は共和党のシンボルである)。
だが全ての消費者が比較広告を歓迎するのではないし、日本では拒否感を示す層が多いものだ。このレポートは日本語に訳されて紹介されたりするのかなと。
Appendix - マイクロソフトと独占禁止法
Microsoftはウイルス対策のために、2003年にルーマニアのGeCAD Software(RAV AntiVirusで著名)を買収した。
ネット上では様々な議論 - Microsoftがアンチウイルスソフト産業に進出するのは、既存のサードパーティ製品市場を圧迫すると多くのブロガーやニュースポータルが非難したのを覚えているだろうか?
悪質なソフトウェア駆除ツール (KB890830)は2005年1月にリリースされたが、以前Microsoftが大規模感染時にリリースしていた個別の修復プログラムをまとめた程度のもので、あまり目新しいものではなかった。
Windows Defenderは、どうも事情が異なる。
スパイウェア対策としては、2004年12月に米国のGIANT Company Softwareを買収。
リリースされたスパイウェア対策サービスは、Windows AntiSpywareから現在ではWindows Defenderに名称が変更されている。
検索エンジンの全面的な差し替えなどのアップデートは行われたものの、有料版ではなく無料サービスとして運用されている。
Windows Defenderの検出力がそれほど高くないのは、幾つかの事例にて明らかではあるんだけど。
Windows Defenderが、既存のスパイウェア対策ソフト以上の性能を発揮したとしたらば、あちらこちらのスパイウェア対策ソフトメーカーや欧州委員会より独占禁止法ネタで訴えられるだろう。
テストの結果、自社製品以上の性能であったと判明したらばどうするつもりなのだろうか。
Appendix2 - VISTAでなくXPでは
一部のニュースにてVISTA上でキーロガーがと記載しているが、ウェブルート社によるテストでは「without any adaptation from its Windows® XP operating environment」とされているので、VISTAではなくXPでは?
更新履歴
2007年1月28日の追記事項があまりにも長く文書全体が雑然としていたために、再編集。
2007年1月30日、サンプルサイズと客観性について追記。
この記事へのコメント
うさんくささの根拠として、84%というのがそれですね。
15x0.84=12.6個!?
検出されないものを選んだとか、100%検出しなかつたとはさすがに言うのははばかられたとか?
本当15個なら、端数が出るのはなぜなんでしょう?
まるで、通常1%しかつかないセールポイントを本日は5倍ですよ〜、お買い得ですよ〜とでも言っているようなものかも?
15x0.84=12.6個!?
検出されないものを選んだとか、100%検出しなかつたとはさすがに言うのははばかられたとか?
本当15個なら、端数が出るのはなぜなんでしょう?
まるで、通常1%しかつかないセールポイントを本日は5倍ですよ〜、お買い得ですよ〜とでも言っているようなものかも?
Posted by ベルモンツ
at 2007年01月28日 23:34
あ、そうではなくて。
サンプルサイズは(15 + X )であり、実際のXは少ないのではとの仮定です。
もしも逆にXの数がやたらと多いならば、ウェブルート社が入手したマイナーなものばかりをテストに用い、結果を誘導できたのではと疑ってしまいがちで。
(「最もありふれた検体」がわずか15に過ぎないため)
どちらにしても、ウェブルート社はテストの詳細を公表すべきです。
サンプルサイズは(15 + X )であり、実際のXは少ないのではとの仮定です。
もしも逆にXの数がやたらと多いならば、ウェブルート社が入手したマイナーなものばかりをテストに用い、結果を誘導できたのではと疑ってしまいがちで。
(「最もありふれた検体」がわずか15に過ぎないため)
どちらにしても、ウェブルート社はテストの詳細を公表すべきです。
Posted by Luca
at 2007年01月29日 07:41
なんか変だなと思い、日本語版記事を読んでみました。
http://www.itmedia.co.jp/enterprise/articles/0701/26/news034.html
取りこぼしの84%の中に、「ありふれたspyware、malwareの亜種」が15個も入っていたよ、という話ですので問題ないような気がします。
具体的に例を出すと、全部で1000個テストして、840個とりこぼして、その840個の中の15個は阻止して当然の物だったんじゃないの?
というような話ですね。
総数が何個かは知りませんが。
http://www.itmedia.co.jp/enterprise/articles/0701/26/news034.html
取りこぼしの84%の中に、「ありふれたspyware、malwareの亜種」が15個も入っていたよ、という話ですので問題ないような気がします。
具体的に例を出すと、全部で1000個テストして、840個とりこぼして、その840個の中の15個は阻止して当然の物だったんじゃないの?
というような話ですね。
総数が何個かは知りませんが。
Posted by itochan
at 2007年01月29日 19:33
総数が20-30で、とりこぼした84%のうち15が「阻止して当然の物」だったらば?
逆に総数が10000ならば、「阻止して当然のもの」がわずか15サンプルと極めて少なく、抽出した標本に偏りがある可能性があります。
>総数が何個かは知りませんが。
サンプルサイズ次第で、幾らでも解釈は変わりますよ。
逆に総数が10000ならば、「阻止して当然のもの」がわずか15サンプルと極めて少なく、抽出した標本に偏りがある可能性があります。
>総数が何個かは知りませんが。
サンプルサイズ次第で、幾らでも解釈は変わりますよ。
Posted by Luca
at 2007年01月29日 22:10
サンプルサイズ = 供試した検体数、ね。
Posted by Luca
at 2007年01月29日 22:12
どうも目が曇っていたみたいで、そのサンプルサイズ以外のところ。
Microsoft側が、Windows Defenderでは100%検出するとして用意したスパイウェア・マルウェア群を、Spy Sweeper(Webroot)が100%検出するとは限らない
でしたよねw
(スパイウェアだってことが抜け落ちてました。)
Microsoft側が、Windows Defenderでは100%検出するとして用意したスパイウェア・マルウェア群を、Spy Sweeper(Webroot)が100%検出するとは限らない
でしたよねw
(スパイウェアだってことが抜け落ちてました。)
Posted by itochan
at 2007年01月31日 00:27
いずれにしてもWindows Defenderは実績がないと判断していますので、主力にはなり得ないと考えています。
しかし、サンプルサイズ = 供試した検体数を公表しないのは、意図的なものを感じるわけで、別にMSを擁護はしませんが、攻撃する側の姿勢にもいつも問題あるなあと感じていることは事実です。
しかし、サンプルサイズ = 供試した検体数を公表しないのは、意図的なものを感じるわけで、別にMSを擁護はしませんが、攻撃する側の姿勢にもいつも問題あるなあと感じていることは事実です。
Posted by ベルモンツ
at 2007年01月31日 01:00
昨日追記部分最終行をもう少しストレートな内容へ修正しました。
>itochanさん
原文中では所謂「広義のスパイウェア」でありますし。
検出対象とすべきなのか否かも、メーカーにより判断が分かれそうな部分で。
付け足すと「キーロガー」にしたって、商業的もしくは不審ではない製品である可能性もありますので。
テストしたものが何であるのか明らかではない状況では、鵜呑みにできません。
>itochanさん
原文中では所謂「広義のスパイウェア」でありますし。
検出対象とすべきなのか否かも、メーカーにより判断が分かれそうな部分で。
付け足すと「キーロガー」にしたって、商業的もしくは不審ではない製品である可能性もありますので。
テストしたものが何であるのか明らかではない状況では、鵜呑みにできません。
Posted by Luca
at 2007年01月31日 09:21
>ベルモンツさん
VISTA発売直前で発表するには大変効果的な時期だったため、慌てて公表されたのかしらと。
よく個人による検出力テストにて議論を呼ぶポイントですよね、検体の数と中身は何なのかと。
いずれ機会がありテストを行う際には細心の注意を払わねばと、他所の話ながら自戒するのです。
VISTA発売直前で発表するには大変効果的な時期だったため、慌てて公表されたのかしらと。
よく個人による検出力テストにて議論を呼ぶポイントですよね、検体の数と中身は何なのかと。
いずれ機会がありテストを行う際には細心の注意を払わねばと、他所の話ながら自戒するのです。
Posted by Luca
at 2007年01月31日 09:32
そう、それそれ。追加変更部分の囲み、ばっちりです。
なるほどそうですよね、「ありふれた15サンプル」は、ブロックできなかった84%という広範囲ですから、もっとあってもいいですよね。
スパイウェアですから。「メーカー側の判断基準に依存する部分が大きい。」ですよね。
検体が元々少数の場合についてですが、例として、
16/0.84=19 なので、
19 * 84% =16
これ以下はないですwww
なるほどそうですよね、「ありふれた15サンプル」は、ブロックできなかった84%という広範囲ですから、もっとあってもいいですよね。
スパイウェアですから。「メーカー側の判断基準に依存する部分が大きい。」ですよね。
検体が元々少数の場合についてですが、例として、
16/0.84=19 なので、
19 * 84% =16
これ以下はないですwww
Posted by itochan
at 2007年01月31日 12:36
自分もまさかと思いつつ、16説が最低ラインと。
Posted by Luca
at 2007年02月01日 21:28
多少ゴタついておりまして。
昨日、他の方にも読んでもらう目的で冗長な解説コメントを掲載し、懇切丁寧に説明いたしました。
当人より理解が得られたとの連絡があり、また削除してもらいたいとの要望もありましたので、こちらのコメントを一時的に非表示(下書き)と変更いたしました。
自身が理解できない事柄に対してまず行うべきアクションは質問であるべきです。
「自身が理解できないから間違っている」との主張による非難や攻撃はおかしいですよ。
昨日、他の方にも読んでもらう目的で冗長な解説コメントを掲載し、懇切丁寧に説明いたしました。
当人より理解が得られたとの連絡があり、また削除してもらいたいとの要望もありましたので、こちらのコメントを一時的に非表示(下書き)と変更いたしました。
自身が理解できない事柄に対してまず行うべきアクションは質問であるべきです。
「自身が理解できないから間違っている」との主張による非難や攻撃はおかしいですよ。
Posted by Luca
at 2007年02月02日 22:41
御意。
Posted by ベルモンツ
at 2007年02月03日 00:11
