スマートフォンのウイルス対策アプリは問題だらけである。それが“悪者”を追い払い、アクセス権を乱用することはないと信じて、あなたはデヴァイスに招き入れているかもしれない。だがAndroid端末の場合は、単に役に立たないだけでなく、まったくいんちきなアプリがたくさんある──。

それが、ウイルス対策アプリをテストするAV-Comparativesによる最新の結論だ。このほど同社がわざと2,000種の有害なアプリを投入して検査したところ、「Google Play ストア」にある250のウイルス対策アプリのうち、有害ウイルスの30パーセント以上を検知したのは80製品のみだった。

残りはその基準に達していなかったり、害のないアプリをしょっちゅう有害なマルウェアと間違えたり、ストアから削除されてしまったりした。要するに、うさんくさいアプリだったのである。

「わが社もほかの企業も、これまで悪意のあるアプリや機能していないアプリを見つけてきました。いんちきなウイルス対策アプリを見つけても驚きはしませんでした」と、AV-Comparativesの最高執行責任者（COO）ピーター・ステルツハマーは言う。「不良品のウイルス対策ソフトが出回る時代です。あらゆるものに気をつけていなければなりません」

「ホワイトリスト」方式の致命的な欠点

それらのいんちきアプリの不具合にも、いろいろなものがある。AV-Comparativesが試験したウイルス対策アプリのなかには、悪意のあるアプリをブロックするという本来の仕事をきちんとこなしているものの、そのアプリ自身が新たなリスクの可能性を持ち込むものもあった。

「ホワイトリスト」方式のアプローチをしている製品が何十もあったが、怪しいことにどれも似たようなユーザーインターフェースを使っていた。ホワイトリストとは、ある特定の名前をもつアプリだけをデヴァイス上で動くようにするものだ。

これは非常に厳密なリストで来店客を管理しているクラブの用心棒を思い浮かべればいいだろう。怪しい人物でないかどうかは問題ではない。リストに名前が載っていなければ、入れてもらえないのだ。

こうした方法をとればどういう結果になるか、それはわかりきったことである。ホワイトリスト方式のウイルス対策アプリは、完全にまともな多くのアプリをブロックしてしまう。AV-Comparativesの研究によると、これらのアプリはときに、自分自身をホワイトリストに載せるのを忘れてしまい、自分自身を尻尾から食べようとしている蛇のような状態になってしまうという。

目的はデータを盗むこと

このようなホワイトリスト方式には、さらに派生的な問題も生じる。こうしたアプリは特定の文字列で始まるソフトなら、どれでも信用するようにプログラムされている。例えば「com.adobe.」とか「com.facebook.」といったものだ。そうなると、ハッカーたちも自分たちのつくるマルウェアに「com.facebook.bigbadvirus」などという名前をつければ、“ウイルス対策アプリ”にブロックされずに通り抜けてしまう。

さっきのクラブの用心棒を思い出してほしい。人気俳優のジョン・ステイモスが来たら、いつでもクラブに入れるように指示を受けていたとしよう。もし、トレンチコートを着た3匹のアライグマが来て、「ジョン・ステイモス・アライグマです」と言ったら、われらが用心棒は喜んで通してしまうのだ。

こうしたアプリの開発者たちは、なぜわざわざ、いんちきだったり欠陥があったりするウイルス対策アプリを使わせようとするのだろうか。もちろん、ユーザーの個人データを盗むためだ。ウイルス対策アプリはその性質からしてユーザーに高度の許可を求め、そしてたいていは許可を与えられる。

「Android用のこのようなアプリは、スマートフォンにいろいろなコンテンツを押しつけてきます。しかしそれ以上に、スマートフォンからデータを集めるために使われることでも悪名高いのです」と、セキュリティ企業のRiskIQで脅威リサーチ主任研究者を務めるヨナサン・クリンズマは言う。

「盗むデータはスマートフォンの機種のような基本的な情報から、GPSのリアルタイムな位置情報、電話番号、そのほか個人を特定できるあらゆる情報などいろいろですが、簡単に盗むことができます」

ストア運営者としてのグーグルの限界

グーグルはこれらの詐欺アプリの多くを削除しているが、いまだになくなってはいない。それに、グーグルがこうした動きに対策をとることを期待していいものかもはっきりしない。

「こうしたアプリの問題について、グーグルに何を期待したらいいのかわかりません」と、コンピューター学者としてウイルス対策ソフトの研究に取り組んできたコンコルディア大学のモハメド・マナンは言う。「一般論として言えば、マーケットを運用する立場としてのグーグルは、すべてのアプリが自社の基準に合格しているのかチェックすることなどできないでしょう」

Play ストアから欠陥のあるウイルス対策アプリを締め出すためにどんな措置をとっているかについて、グーグルはコメントしていない。「ある意味、退屈なゲームなのに『最高にエキサイティング！』と宣伝するアプリを罰しようとするようなものです」と、マナンは説明する。

信頼できる対策アプリも存在する

しかし、いい知らせもある。Android用ウイルス対策アプリのすべてが役立たずではないということだ。

AV-Comparativesの実験では、マルウェアのサンプルを100パーセント検知したウイルス対策アプリは23製品あり、それに近い性能のものも複数あったという。

信頼性が比較的高い製品に共通点があるとすれば、例えばエフセキュア、Bitdefender、シマンテックなど、名前を聞いたことのある企業のものが多いということである。Androidのスマートフォンにウイルス対策アプリをインストールしたいなら、それを目安にすればいいだろう。

「ダウンロード数やレヴューはあてにしてはなりません」と、AV-Comparativesのステルツハマーは言う。「レヴューを読んでわかるのは使い勝手のよさだけで、ウイルスに対する防御の質はわからないのです。そのアプリを使って十分に保護されるとは限りませんし、そもそもレヴュー自体がいんちきかもしれませんから」

「対策しない」という選択肢

ウイルス対策アプリをインストールしないという選択肢もある。優秀なウイルス対策アプリでも騙されることがあるからだ。特にAndroidのような“寛大”なプラットフォームではそうだろう。

悪質なウイルス対策アプリは、腹が立つほどに端末のリソースを消費する。それに、こうした対策アプリによる保護の多くは、そもそも非公式なアプリストアを利用しなければ済むのだ。

ウイルス対策アプリは、うまくいけばいくらかは役に立つ。しかし運が悪ければ、とてつもない害を及ぼすのである。