Windows 10とWindows 11には、マルウェア対策として「Microsoft Defender Antivirus」(旧称、Windows Defender)が標準搭載されています。そのスキャンオプションの一つ、「Microsoft Defenderオフラインスキャン」は、“いざ”というときに何の役にも立ってくれないかもしれないという疑惑を検証してみました。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
【注】今回の記事は、2022年3月の累積更新プログラムが適用されたWindows 11 バージョン21H2、Windows 10 バージョン21H2、Windows 10 バージョン1909(いずれもEnterpriseエディションでサポート期間中)で検証したものです。今後の更新プログラムによって挙動が変わる(期待した動作に修正される)可能性があることに留意してください。
「Windows 10」と「Windows 11」に標準搭載されている「Microsoft Defenderオフラインスキャン」は、PCにインストールされているWindowsとは別のOSインスタンスとして実行される、「Windowsプレインストール環境(Windows PE)」ベースのMicrosoft Defenderです。
PCにインストールされているWindows上のMicrosoft Defenderでは検出できないマルウェアが潜んでいる場合(例えば、既にMicrosoft Defender自身にウイルスが感染していて、そのスキャンが信頼できない状態になっている場合など)、別のOSインスタンスでMicrosoft Defenderのスキャンを実行することで、隠れているマルウェアを検出、駆除しようというものです。
その前身は、「Windows 7」および「Windows 8.1」向けに「Windows Defenderオフライン」という無料のスタンドアロンツールとして提供されていたものです(後述するように現在でも提供されています)。
前身バージョンは、Windows PEでPCを起動し、Windows Defenderと同じGUIを使用してローカルディスクのスキャンを開始し、スキャンの完了後は、オンラインのWindows Defenderの場合と同じように、Windows PE環境で検出結果の確認や駆除を行えるものでした。
Windows 10以降の現在のMicrosoft Defenderオフラインスキャンは、Windowsの機能として統合されており、「Windowsセキュリティ」のスキャンオプションの一つから、またはPowerShellの「Start-MpWDOScan」コマンドレットを使用して開始することができます。
Microsoft Defenderは、サードベンダーのマルウェア対策ソフトウェアを導入している場合、既定で無効になりますが、Microsoft Defenderによる「定期的なスキャン」をオンにすることにより、Microsoft Defenderオフラインスキャンも利用可能になります(画面1)。
Microsoft Defenderオフラインスキャンを開始すると、PCが再起動され、Windows PEベースの「Microsoft Defender Offline」がロードされ、その後、スキャンが実行されます。スキャンが完了すると、マルウェアの検出の有無に関係なく、PCが自動的に再起動して通常起動します。そのため、スキャン中の画面をよく見ていないと、Windows Defenderオフラインの場合とは異なり、スキャンの状況を見逃してしまいます。以下の記事で紹介したように、この制約はWindows 10バージョン1903で検出結果が「保護の履歴」に報告されるようになり、見逃すことがないように改善された“はず”でした。
新しいOSとしてWindows 11がリリースされたので、この機能がまさかダウングレードして、Windows 10 バージョン1809以前のもの(スキャン中の検出を見逃すと、以後スキャン結果を知る方法がないもの)ではないか、害のない「EICARテストファイル」(EICARが開発したアンチウイルスソフトウェアの応答をテストするためのファイル)で試してみました。
Copyright © ITmedia, Inc. All Rights Reserved.