年明け早々の大騒動 “企業向け”Microsoft Defenderで起きたショートカット消失問題――その対処方法を検証してみた：山市良のうぃんどうず日記（249）

既に影響を受けた企業は回復に大変なご苦労をされた（されている）と思いますが、2023年1月13日夜〜深夜に提供された「Microsoft Defenderウイルス対策」のインテリジェンスの更新プログラムが原因で、企業向けMicrosoft Defenderでプログラムのショートカット（.lnk）がデスクトップやタスクバー上から削除されてしまうという、大事件が発生したようです。

[山市良，テクニカルライター]

山市良のうぃんどうず日記

ショートカットを勝手に削除、その挙動はまるでマルウェア？

　スタートメニューやタスクバー上のショートカットが利用できなくなるという今回の問題は、既に発生してから時間が経過しているため、IT系メディアの記事やSNSなどを通じて知っている人は多いと思います。影響を受ける可能性がある企業向け「Microsoft Defender」の管理者であれば、「Microsoft 365」の管理ポータルでインシデントをいち早く確認したでしょう（画面1）。

画面1　スタートメニューやタスクバー上のショートカットが利用できなくなるという問題のインシデント

　“Microsoft Defender”という製品名を目にして、Windows標準搭載のウイルス対策ソフトウェアの問題と勘違いした人もいるかもしれません。そう思わせるようなタイトルのメディア記事も幾つか見掛けました。先に指摘しておくと、“個人ユーザーには影響しない”問題です。

• Recovering from Attack Surface Reduction rule shortcut deletions［英語］（Microsoft Defender for Endpoint Blog）

　この問題の原因は、2023年1月13〜14日（インシデントのタイムフレームは「19：00〜0：53」）に提供された「Microsoft Defender Antivirusのインテリジェンスの更新プログラム」のバージョン「1.381.2134.0」〜「1.381.2134.0」にあり、影響を受けたのは企業向けMicrosoft Defenderである「Microsoft 365 Defender」「Microsoft Defender for Endpoint P1/P2」で、「攻撃面の縮小（Attack Surface Reduction、ASR）ルール」の「OfficeマクロからのWin32 API呼び出しをブロックする（Block Win32 API calls from Office macro）」を有効にしていた一部の企業ユーザーです。

　インシデントの対象サービスには含まれていませんが、「Microsoft Defender for Business」のも「攻撃面の縮小」機能が含まれているため、影響する可能性があります。個人で「Windows 10」や「Windows 11」標準搭載のMicrosoft Defenderウイルス対策を使用している場合には全く影響しません（現時点で、個人向けMicrosoft Defender《Microsoft Defender for Individuals》に影響するという情報は出ていません）。

　幸いなことに、日本時間では金曜日の夜から深夜にかけて配布された更新プログラムなので、影響を受ける可能性があった企業でも、実際に影響を受けたデバイスは少数だったかもしれません。1月14日未明（3時ごろ）には更新プログラムの問題は解消されたため、「OfficeマクロからのWin32 API呼び出しをブロックする」が有効になっていても影響は受けませんでした。

　更新プログラムの問題が解消されたとはいっても、この問題の影響を受けて削除されてしまったショートカットがユーザーのデスクトップに戻ってくることはありません。IT管理者が自分の手で復元してあげるしかないのです。

　もちろん、「Microsoft Intune」や「グループポリシー」を利用して作業を自動化することもできるかもしれませんが、そう簡単にいかないのがこの問題の厄介なところです。実際のところ、直前のフルバックアップが利用可能でない限り、完全に元に戻すのは不可能かもしれません。