疑惑を検証! Windows 11の「Microsoft Defenderオフライン」は“いざ”というときに役に立つのか?:その知識、ホントに正しい? Windowsにまつわる都市伝説(207)
Windows 10とWindows 11には、マルウェア対策として「Microsoft Defender Antivirus」(旧称、Windows Defender)が標準搭載されています。そのスキャンオプションの一つ、「Microsoft Defenderオフラインスキャン」は、“いざ”というときに何の役にも立ってくれないかもしれないという疑惑を検証してみました。
Microsoft Defenderオフラインスキャンとは?
【注】今回の記事は、2022年3月の累積更新プログラムが適用されたWindows 11 バージョン21H2、Windows 10 バージョン21H2、Windows 10 バージョン1909(いずれもEnterpriseエディションでサポート期間中)で検証したものです。今後の更新プログラムによって挙動が変わる(期待した動作に修正される)可能性があることに留意してください。
「Windows 10」と「Windows 11」に標準搭載されている「Microsoft Defenderオフラインスキャン」は、PCにインストールされているWindowsとは別のOSインスタンスとして実行される、「Windowsプレインストール環境(Windows PE)」ベースのMicrosoft Defenderです。
PCにインストールされているWindows上のMicrosoft Defenderでは検出できないマルウェアが潜んでいる場合(例えば、既にMicrosoft Defender自身にウイルスが感染していて、そのスキャンが信頼できない状態になっている場合など)、別のOSインスタンスでMicrosoft Defenderのスキャンを実行することで、隠れているマルウェアを検出、駆除しようというものです。
その前身は、「Windows 7」および「Windows 8.1」向けに「Windows Defenderオフライン」という無料のスタンドアロンツールとして提供されていたものです(後述するように現在でも提供されています)。
前身バージョンは、Windows PEでPCを起動し、Windows Defenderと同じGUIを使用してローカルディスクのスキャンを開始し、スキャンの完了後は、オンラインのWindows Defenderの場合と同じように、Windows PE環境で検出結果の確認や駆除を行えるものでした。
Windows 10以降の現在のMicrosoft Defenderオフラインスキャンは、Windowsの機能として統合されており、「Windowsセキュリティ」のスキャンオプションの一つから、またはPowerShellの「Start-MpWDOScan」コマンドレットを使用して開始することができます。
Microsoft Defenderは、サードベンダーのマルウェア対策ソフトウェアを導入している場合、既定で無効になりますが、Microsoft Defenderによる「定期的なスキャン」をオンにすることにより、Microsoft Defenderオフラインスキャンも利用可能になります(画面1)。
画面1 Microsoft Defenderオフラインスキャンは、Microsoft Defenderのスキャンオプションの一つ。サードベンダーのマルウェア対策ソフトを導入済みの場合でも、「定期的なスキャン」をオンにすることで利用可能に
Microsoft Defenderオフラインスキャンを開始すると、PCが再起動され、Windows PEベースの「Microsoft Defender Offline」がロードされ、その後、スキャンが実行されます。スキャンが完了すると、マルウェアの検出の有無に関係なく、PCが自動的に再起動して通常起動します。そのため、スキャン中の画面をよく見ていないと、Windows Defenderオフラインの場合とは異なり、スキャンの状況を見逃してしまいます。以下の記事で紹介したように、この制約はWindows 10バージョン1903で検出結果が「保護の履歴」に報告されるようになり、見逃すことがないように改善された“はず”でした。
- Windows 10 バージョン1903のWindows Defender新機能(2)──保護の履歴(連載:企業ユーザーに贈るWindows 10への乗り換え案内 第58回)
Windows 11の場合、検出はしたが、駆除してくれなかった
新しいOSとしてWindows 11がリリースされたので、この機能がまさかダウングレードして、Windows 10 バージョン1809以前のもの(スキャン中の検出を見逃すと、以後スキャン結果を知る方法がないもの)ではないか、害のない「EICARテストファイル」(EICARが開発したアンチウイルスソフトウェアの応答をテストするためのファイル)で試してみました。
まず、Microsoft Defenderのリアルタイム保護を無効にした状態で(有効な場合、保存時に検出、駆除されてしまうため)、EICARテストファイルのパターンの文字列を記述したテキストファイル(ファイル名や拡張子はご自由に)をデスクトップに保存します(画面2)。
Microsoft Defenderのリアルタイム保護を有効に戻し、スキャンオプションから「Microsoft Defenderオフラインスキャン」を選択して再起動を開始します。なお、このオプションを選択してもうまく反応しない場合は、代わりに「Start-MpWDOScan」コマンドレットを実行すれば始まります(画面3)。
画面3 スキャンオプションから「Microsoft Defenderオフラインスキャン」を選択するか、「Start-MpWDOScan」コマンドレットを実行して、オフラインスキャンのための再起動を開始する
PCでWindows PEベースのMicrosoft Defenderオフラインスキャンが起動し、スキャンが自動開始します。今回、デスクトップにテストウイルスを配置しましたが、90%を超えたあたりでこれを検出したようです(画面4)。何か検出したことは分かりますが、何を検出したのかは分かりません。スキャンが完了すると、すぐにPCが再起動し、Windows 11が通常起動します。
Windows 11にサインインして、デスクトップを見ると、配置しておいたテストウイルスのファイルはそのままそこにあります。そして、「保護の履歴」を開いてみると、何も報告されていません(画面5)。
ここでデスクトップ上のテストウイルスのファイルを開いてみます。すると、この時点で初めてリアルタイム保護がその操作をマルウェア(脅威)として検出し、駆除(ファイルが削除)されました。
つまり、Microsoft Defenderオフラインスキャンは、検出しただけで、駆除していなかったことになります(画面6)。Microsoft Defenderオフラインスキャンのための再起動とスキャンにかかった時間は、全く無駄な時間を過ごしたということです。
Windows 10で確認してみると、駆除してくれるけど、報告はなし
同じテストをWindows 10 バージョン21H2(画面7)とWindows 10 バージョン1909で実施してみました。Microsoft Defenderオフラインスキャンはスキャン中、検出したすぐ後に「検出された脅威を取り除いています」と表示しました。しかし、「保護の履歴」に報告は全くありません(画面の通知は「Microsoft OneDrive」のセットアップを促すただの案内)。
Windows 10 バージョン1903の新機能として改善された“はず”の「保護の履歴」との連携も、Windows 10のその後のバージョン(または更新プログラム)で正常に機能しなくなったようです。駆除してくれるのはありがたいことですが、報告がなければ(スキャン中目を凝らしていない限り)、褒めようがありません。何もなかったと安心するでしょう。あるいは何かファイルが消えたという違和感が残るかもしれません。
セキュリティ対策の最新の中核は「ゼロトラスト」(信頼しない、常に検証する)といわれていますが、現在のMicrosoft Defenderオフラインスキャンは別の意味で信頼できません。
最後に付け加えるなら、Windows 10やWindows 11に標準搭載されているMicrosoft Defenderオフラインスキャンを利用するよりも、Windows 7やWindows 8.1向けに提供されているスタンドアロンツールでオフラインスキャン用の起動メディアを作成し、Windows 10やWindows 11がインストールされているPCをそのメディアで起動してスキャンした方が、確実です(インターネット接続が有効なら最新の定義ファイルを使用してスキャンできるはずです)。
- Microsoft Defenderオフラインを使ってPCを保護する(Microsoftサポート)
筆者紹介
山市 良(やまいち りょう)
岩手県花巻市在住。Microsoft MVP 2009 to 2022(Cloud and Datacenter Management)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows版Docker&Windowsコンテナーテクノロジ入門』(日経BP社)、『ITプロフェッショナル向けWindowsトラブル解決 コマンド&テクニック集』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Windows 11一般提供開始、企業での導入/展開時に注意すべきポイントは?
MicrosoftはWindowsデスクトップOSの最新バージョンである「Windows 11」を正式にリリースし、Windows 11対応ハードウェアを搭載したWindows 10デバイスに対して、無料アップグレードの段階的なロールアウトを開始しました。
Windows 11登場! 11で変わること、思ったほど変わらないこと
新しいWindows OS「Windows 11」の正式出荷が2021年10月5日に開始された。Windows 10からの無償アップグレードが可能であるため、どのような新機能が実装されたのか気になる人も多いのではないだろうか。そこで、本稿ではWindows 11の新機能、削除された機能などを簡単にまとめてみた。
買って、試して分かったWindows 365(契約・セットアップ編)
Microsoftからクラウド上でWindows 10が動く「クラウドPC」の利用可能なサブスクリプションサービス「Windows 365」の提供が開始された。早速、サブスクリプションを契約し、クラウドPCの設定を行ってみた。契約からセットアップまでで見えてきた便利な点、不便な点などをまとめてみた。
いよいよ完全終了へ。Internet Explorer(IE)サポート終了スケジュール
長らくWindows OSに標準装備されてきたInternet Explorer(IE)。その「寿命」は各種サポートの終了時期に左右される。Windows OSごとにIEのサポート終了時期を分かりやすく図示しつつ、見えてきた「終わり」について解説する。