オンラインで駆除できないマルウェアをオフラインでやっつける：ITプロ必携の超便利システム管理ツール集（5）

Windows PCにマルウェア対策ソフトを入れることは、PCやデータを保護するための常識です。しかし、それで全てのマルウェアを排除できるとは限りません。すでに入り込んだマルウェアが、対策ソフトを欺きながらPCに居座り続けているかもしれませんよ。

[山市良，テクニカルライター]

連載目次

今回紹介するツール

［ツール名］Windows Defender Offline

［対象］Windows

［提供元］マイクロソフト

［ダウンロード先］［URL］http://windows.microsoft.com/ja-jp/windows/what-is-windows-defender-offline

オフライン＆タダで使えるMS純正のマルウェア駆除ツール

　「Windows Defender Offline」は、マイクロソフトがWindows向けに無償提供しているCD／DVDメディアまたはUSBメモリから起動可能なマルウェア駆除ツールです。

　マルウェア対策ソフトの導入は、Windows PCを安全に使う上でもはや常識です。しかし、定義ファイルの更新が間に合わず、対策ソフトを欺くような新種のマルウェアに感染しまうと、稼働中（オンライン）のPCでは検出や駆除が困難な場合があります。

　そのような場合でもWindows Defender Offlineを使えば、マルウェアに感染の疑いがあるPCをリムーバブルメディアから起動したOS環境（詳細は後述）で操作して、最新の定義ファイルを用いて“起動していない（オフラインの）Windows”に対してマルウェアのスキャンと駆除を実行することができます（画面1）。

画面1　Windows Defender Offlineで起動していない（オフラインの）Windowsをスキャンし、マルウェア（画面はテストウイルスファイルである「Eicar」）を駆除しているところ

　マイクロソフトは、個人ユーザーおよび10台のPCまでの小規模環境向けに「Microsoft Security Essentials」を無償提供しています。また、Windows 8およびWindows 8.1は、マルウェア対策機能を含む「Windows Defender」（Windows 7以前のWindows Defenderはスパイウェア対策のみ）を標準搭載しています。そして、一般的な企業向けには有償の「System Center Endpoint Protection」や「Windows Intune Endpoint Protection」を提供しています。

　実は、これらのマルウェア対策ソフトのエンジン、定義ファイル、およびスパイウェア対策定義ファイルは全て共通です。そして、Windows Defender Offlineもまた、同じエンジン、同じ定義ファイルで動作します。

Windows Defender Offline起動用のメディアを作成するには

　それでは、Windows Defender Offlineを起動するためのメディア（CD／DVDメディア、USBメモリ）の作成方法を紹介しましょう。

　まずは、Windows Defender Offlineのダウンロードページで、「32ビットバージョンのダウンロード」または「64ビットバージョンのダウンロード」ボタン（リンク）をクリックします。

　「mssstool32.exe（32ビットバージョン）／mssstool64.exe（64ビットバージョン）を実行または保存しますか？」というダイアログが表示されるので、「実行」をクリックします。

　Windows Defender Offlineの作成ウィザードが起動するので、空のCD／DVDメディア、USBメモリ、またはISOイメージ（あとで空のCD／DVDメディアに書き込んだり、仮想マシンで使用したりすることができます）を指定します（画面2）。これだけで、簡単にWindows Defender Offline起動用メディアを作成することができます（画面3）。

画面2　Windows Defender Offlineの起動イメージの作成ツールを使用して、CD/DVDメディア、USBメモリ、またはISOイメージを作成する

画面3　作成したWindows Defender Offlineのメディアを使用して、PCを起動しているところ

　注意点は、スキャン対象のPCのプロセッサーアーキテクチャ（32bitまたは64bit）に一致するバージョンを選択すること。そして、本稿執筆時点（2014年8月中旬）では、Windows 8.1の場合は「Windows Defender Offline Beta」を使用することです。

“CD／DVDメディアは再利用できない”の誤解

　Windows Defender Offlineの「FAQ」（よくある質問）ページには、次のように説明されています。そのため、Windows Defender Offlineの起動イメージをCD／DVDメディアに作成した場合、作成してから時間が経過すると、定義ファイルが古くなって使い物にならなくなると誤解してしまうかもしれません。

• Windows Defender Offline：FAQ（Windowsヘルプ）

以前Windows Defender Offlineを使ったときに作成したCDまたはDVDを再利用できますか？

以前作成したCDまたはDVDは再利用しないでください。このCDまたはDVDには、マルウェアを検出するための定義が含まれています。定義は頻繁に更新されているため、CDまたはDVDの定義ファイルは古くなっています。USBフラッシュドライブの場合は、再利用できます。Windows Defender Offlineでウィザードを再実行すると、定義が更新されます。

　Windows Defender Offlineのベースは「Windowsプレインストール環境」（Windows Preinstallation Environment：Windows PE）であり、インボックスのドライバーで対応できればネットワーク（ただし、有線）も利用可能です。そのため、CD／DVDメディアで作成した場合でも、起動したPCのネットワークが利用可能であれば、最新の定義ファイルをインターネットからダウンロードして更新してから、PCのスキャンを開始することができます（画面4）。

• 【参考記事】管理者必携のトラブルシューティングツール「Windows PE 5.0」の起動用USBメモリを作成する（＠IT：Windows Server Insider）

画面4　CD／DVDメディアのWindows Defender Offlineで起動して、エンジンや定義ファイルを更新しているところ

　ただし、作成したメディアがあまりにも古いと、マルウェア対策ソフトが新しいものに差し替えられているかもしれないので、再作成した方がよいでしょう。

　最近のPCは無線LANのみで、有線LANポートを備えていないものもあります。有線LANポートがない場合は、Windows PEのネットワーク機能は利用できないため、更新は失敗します。感染の疑いのあるPCとは別のPCでCD／DVDメディアをその都度作成して、利用するのがよいでしょう。

　一方、USBメモリで作成した場合は、Windows Defender Offlineの作成ツールを再実行して、同じUSBメモリを指定します。これで最新の定義ファイルをダウンロードして更新し、起動イメージの部分だけを書き換えることができるので、短時間でUSBメモリを最新状態にすることができます。

　もう少し詳しく説明すると、Windows Defender Offlineのメディアを作成した際、最新の定義ファイルのインストーラー（mpam-fe.exeまたはmpam-fex64.exe）がダウンロードされ、メディアのルートに配置されます（画面5）。

画面5　同じUSBメモリに対してWindows Defender Offlineの作成ツールを再実行すると、定義ファイルのインストーラー（mpam-fe.exeまたはmpam-fex64.exe）が最新版に更新される

　Windows Defender Offlineは起動するたびに、この定義ファイルのインストーラーを使用して、定義ファイルを作成時点のバージョンに更新しています。ちなみに、定義ファイルのインストーラーは、以下のページからダウンロードできるものと同じものです。

• Updating your Microsoft antimalware and antispyware software［英語］（Microsoft Malware Protection Center）

　USBメモリから起動した場合も、ネットワークが利用可能であれば、最新状態に更新できるのは同じです。ただし、読み書き可能なUSBメモリだからといって、更新した定義ファイルが起動メディアに保存されることはなく、次回起動時にはまた作成時の状態に戻ります。これは、Windows Defender Offlineの実体が、起動時にRAMディスク（メモリの一部）にロードされるWindows PEだからです。

「ITプロ必携の超便利システム管理ツール集」バックナンバー

• 最強のトラブルシューティングツール、それはWindowsの「インストールメディア」
• MBSAでWindowsのセキュリティチェックと構成の見直しを
• いつでも、どこでも、どのデバイスからでも同じWindowsデスクトップにアクセス
• アプリ開発者御用達の画像処理ツール「ImageMagick」を普段使いに
• バッチやスクリプトのコピペをもっと簡単にするには
• メール通知テストに便利な“ダミー”のSMTPサーバー「smtp4dev」
• WindowsでもUNIX／Linuxのようにログをリアルタイムで見たいなら
• RDP、VNC、SSH、Web管理……リモートコンソールをまとめると「Terminals」に
• マイクロソフト純正「ネットワークモニター」はこんなに進化しました
• 使い方をマスターすれば、怖いものなし〜最強のネットワークツール「Wireshark」
• AndroidがWindowsタブレットで目覚める！〜LinuxLive USB Creatorって何者？
• 新しい仲間「Sysmon」はトラブルシューティングの必携ツールになりそうな予感
• オンラインで駆除できないマルウェアをオフラインでやっつける
• 「NETSTAT」をGUIにすると、見えないものが見えてくるかも……
• 背景に情報を表示するだけが能じゃない！「BgInfo」でインベントリ収集
• 「Autoruns」の膨大な情報から本当に怪しいヤツをあぶりだすテク
• 進化を続ける“高機能タスクマネージャー”「Process Explorer」を使いこなせ

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Hyper-V（Oct 2008 - Sep 2014）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。