Android 4.2の「Verify Apps」、マルウェア検出率は15％：ハッシュ値とパッケージ名による検出ではすり抜け可能？

米ノースカロライナ州立大学コンピュータサイエンス学部の准教授のチームが、Android 4.2（Jelly Bean）に搭載された不正アプリチェック機能の「Verify Apps」に関する検証結果を発表した。

[鈴木聖子，＠IT]

　Android 4.2（Jelly Bean）に搭載された不正アプリチェック機能の「Verify Apps」で検出できるのは、既知のマルウェアの約15％どまり――。米ノースカロライナ州立大学コンピュータサイエンス学部の准教授のチームがそんな検証結果を発表した。

　Verify Appsの機能は、Googleが11月にリリースしたAndroid最新バージョンの4.2に、セキュリティ機能強化の一環として搭載された。この機能を有効にすると、アプリをインストールする前に有害な挙動がないかどうかをチェックして、マルウェアなどが見つかった場合はインストールを阻止する。

　この機能の導入に伴い、サードパーティのセキュリティアプリは不要になったのではないかとの疑問も浮上したことを受け、研究チームではVerify Apps機能の仕組みを調べ、既存のウイルス対策エンジンと比べてどの程度効果があるかを検証した。

　実験は11月30日に実施し、研究者の間で広く共有されているマルウェアのサンプル1260件について、Android 4.2を搭載したタブレット端末「Nexus 10」を使って検出率を調べた。その結果、検出できたのは1260件中の193件のみで、検出率は15.32％にとどまった。

　さらに、無作為に抽出したマルウェアのサンプルの検出率を、主要セキュリティソフトメーカーのウイルス対策エンジン（Avast、AVG、TrendMicro、Symantec、BitDefender、ClamAV、F-Secure、Fortinet、Kaspersky、Kingsoft）と比較した結果、主要メーカーのウイルス対策エンジンは51.02〜100％の確率でマルウェアを検出できたのに対し、Verify Appsの検出率は20.41％だった。

　この結果を受けて研究チームは、「Googleのサービスはまだ未熟であり、改善の余地がある」と結論付けている。具体的には、Verify Appsのサービスがアプリのハッシュ値（SHA-1）とパッケージ名を使って危険性があるかどうかを判断していることを挙げ、この仕組みは脆弱で、簡単にかわされてしまうと指摘した。

　さらに、マルウェアかどうかの判断の大部分を、Googleクラウドのサーバコンポーネントに頼っていることも問題として挙げ、既知の全マルウェアのサンプルがサーバサイドに存在していると想定するのは現実的ではないと解説。Googleが買収したVirusTotalをVerify Appsに統合すれば、検出率の改善に役立つはずだと提言している。