疑惑を検証！ Windows 11の「Microsoft Defenderオフライン」は“いざ”というときに役に立つのか？：その知識、ホントに正しい？ Windowsにまつわる都市伝説（207）

Windows 10とWindows 11には、マルウェア対策として「Microsoft Defender Antivirus」（旧称、Windows Defender）が標準搭載されています。そのスキャンオプションの一つ、「Microsoft Defenderオフラインスキャン」は、“いざ”というときに何の役にも立ってくれないかもしれないという疑惑を検証してみました。

[山市良，テクニカルライター]

Windowsにまつわる都市伝説

Microsoft Defenderオフラインスキャンとは？

【注】今回の記事は、2022年3月の累積更新プログラムが適用されたWindows 11 バージョン21H2、Windows 10 バージョン21H2、Windows 10 バージョン1909（いずれもEnterpriseエディションでサポート期間中）で検証したものです。今後の更新プログラムによって挙動が変わる（期待した動作に修正される）可能性があることに留意してください。

　「Windows 10」と「Windows 11」に標準搭載されている「Microsoft Defenderオフラインスキャン」は、PCにインストールされているWindowsとは別のOSインスタンスとして実行される、「Windowsプレインストール環境（Windows PE）」ベースのMicrosoft Defenderです。

　PCにインストールされているWindows上のMicrosoft Defenderでは検出できないマルウェアが潜んでいる場合（例えば、既にMicrosoft Defender自身にウイルスが感染していて、そのスキャンが信頼できない状態になっている場合など）、別のOSインスタンスでMicrosoft Defenderのスキャンを実行することで、隠れているマルウェアを検出、駆除しようというものです。

　その前身は、「Windows 7」および「Windows 8.1」向けに「Windows Defenderオフライン」という無料のスタンドアロンツールとして提供されていたものです（後述するように現在でも提供されています）。

　前身バージョンは、Windows PEでPCを起動し、Windows Defenderと同じGUIを使用してローカルディスクのスキャンを開始し、スキャンの完了後は、オンラインのWindows Defenderの場合と同じように、Windows PE環境で検出結果の確認や駆除を行えるものでした。

　Windows 10以降の現在のMicrosoft Defenderオフラインスキャンは、Windowsの機能として統合されており、「Windowsセキュリティ」のスキャンオプションの一つから、またはPowerShellの「Start-MpWDOScan」コマンドレットを使用して開始することができます。

　Microsoft Defenderは、サードベンダーのマルウェア対策ソフトウェアを導入している場合、既定で無効になりますが、Microsoft Defenderによる「定期的なスキャン」をオンにすることにより、Microsoft Defenderオフラインスキャンも利用可能になります（画面1）。

画面1　Microsoft Defenderオフラインスキャンは、Microsoft Defenderのスキャンオプションの一つ。サードベンダーのマルウェア対策ソフトを導入済みの場合でも、「定期的なスキャン」をオンにすることで利用可能に

　Microsoft Defenderオフラインスキャンを開始すると、PCが再起動され、Windows PEベースの「Microsoft Defender Offline」がロードされ、その後、スキャンが実行されます。スキャンが完了すると、マルウェアの検出の有無に関係なく、PCが自動的に再起動して通常起動します。そのため、スキャン中の画面をよく見ていないと、Windows Defenderオフラインの場合とは異なり、スキャンの状況を見逃してしまいます。以下の記事で紹介したように、この制約はWindows 10バージョン1903で検出結果が「保護の履歴」に報告されるようになり、見逃すことがないように改善された“はず”でした。

• Windows 10 バージョン1903のWindows Defender新機能（2）──保護の履歴（連載：企業ユーザーに贈るWindows 10への乗り換え案内 第58回）

Windows 11の場合、検出はしたが、駆除してくれなかった

　新しいOSとしてWindows 11がリリースされたので、この機能がまさかダウングレードして、Windows 10 バージョン1809以前のもの（スキャン中の検出を見逃すと、以後スキャン結果を知る方法がないもの）ではないか、害のない「EICARテストファイル」（EICARが開発したアンチウイルスソフトウェアの応答をテストするためのファイル）で試してみました。

　まず、Microsoft Defenderのリアルタイム保護を無効にした状態で（有効な場合、保存時に検出、駆除されてしまうため）、EICARテストファイルのパターンの文字列を記述したテキストファイル（ファイル名や拡張子はご自由に）をデスクトップに保存します（画面2）。

画面2　リアルタイム保護を無効にしてから、EICARテストファイルのパターン文字列を記述したファイルをデスクトップ上に作成する

　Microsoft Defenderのリアルタイム保護を有効に戻し、スキャンオプションから「Microsoft Defenderオフラインスキャン」を選択して再起動を開始します。なお、このオプションを選択してもうまく反応しない場合は、代わりに「Start-MpWDOScan」コマンドレットを実行すれば始まります（画面3）。

画面3　スキャンオプションから「Microsoft Defenderオフラインスキャン」を選択するか、「Start-MpWDOScan」コマンドレットを実行して、オフラインスキャンのための再起動を開始する

　PCでWindows PEベースのMicrosoft Defenderオフラインスキャンが起動し、スキャンが自動開始します。今回、デスクトップにテストウイルスを配置しましたが、90％を超えたあたりでこれを検出したようです（画面4）。何か検出したことは分かりますが、何を検出したのかは分かりません。スキャンが完了すると、すぐにPCが再起動し、Windows 11が通常起動します。

画面4　オフラインスキャンが、何を検出したのかまでは分からないが、何かを検出している。スキャンが完了すると、すぐに再起動してしまう（見逃し注意）

　Windows 11にサインインして、デスクトップを見ると、配置しておいたテストウイルスのファイルはそのままそこにあります。そして、「保護の履歴」を開いてみると、何も報告されていません（画面5）。

画面5　テストウイルスのファイルはデスクトップ上に残っており、保護の履歴も空っぽ

　ここでデスクトップ上のテストウイルスのファイルを開いてみます。すると、この時点で初めてリアルタイム保護がその操作をマルウェア（脅威）として検出し、駆除（ファイルが削除）されました。

　つまり、Microsoft Defenderオフラインスキャンは、検出しただけで、駆除していなかったことになります（画面6）。Microsoft Defenderオフラインスキャンのための再起動とスキャンにかかった時間は、全く無駄な時間を過ごしたということです。

画面6　テストウイルスを開こうとすると、リアルタイム保護により検出、駆除された（つまり、オフラインスキャンでは駆除されなかったということ）

Windows 10で確認してみると、駆除してくれるけど、報告はなし

　同じテストをWindows 10 バージョン21H2（画面7）とWindows 10 バージョン1909で実施してみました。Microsoft Defenderオフラインスキャンはスキャン中、検出したすぐ後に「検出された脅威を取り除いています」と表示しました。しかし、「保護の履歴」に報告は全くありません（画面の通知は「Microsoft OneDrive」のセットアップを促すただの案内）。

画面7　Windows 10の場合、駆除はしてくれるが、報告はなし

　Windows 10 バージョン1903の新機能として改善された“はず”の「保護の履歴」との連携も、Windows 10のその後のバージョン（または更新プログラム）で正常に機能しなくなったようです。駆除してくれるのはありがたいことですが、報告がなければ（スキャン中目を凝らしていない限り）、褒めようがありません。何もなかったと安心するでしょう。あるいは何かファイルが消えたという違和感が残るかもしれません。

　セキュリティ対策の最新の中核は「ゼロトラスト」（信頼しない、常に検証する）といわれていますが、現在のMicrosoft Defenderオフラインスキャンは別の意味で信頼できません。

　最後に付け加えるなら、Windows 10やWindows 11に標準搭載されているMicrosoft Defenderオフラインスキャンを利用するよりも、Windows 7やWindows 8.1向けに提供されているスタンドアロンツールでオフラインスキャン用の起動メディアを作成し、Windows 10やWindows 11がインストールされているPCをそのメディアで起動してスキャンした方が、確実です（インターネット接続が有効なら最新の定義ファイルを使用してスキャンできるはずです）。

• Microsoft Defenderオフラインを使ってPCを保護する（Microsoftサポート）

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP 2009 to 2022（Cloud and Datacenter Management）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker＆Windowsコンテナーテクノロジ入門』（日経BP社）、『ITプロフェッショナル向けWindowsトラブル解決 コマンド＆テクニック集』（日経BP社）。