Vistaの地平
第9回 スパイウェアからコンピュータを保護するWindows Defender

2.Windows Defenderの機能概要

Microsoft MVP
Windows Server - Networking
NTTデータ関西 永尾 幸夫
2007/04/26

 Windows Defenderの一連の処理の基本となる、スパイウェアの検出について、この項で述べる。

Windows Defenderの定義ファイルとその更新

 Windows Defenderでは、検出エンジンを用いて、コンピュータ上で起動するプログラムやインストールされたソフトウェアをスキャンし、定義ファイルと照合して「正当なソフトウェア」「悪意のあるソフトウェア」「未知のソフトウェア」の3つに分類する。また、その結果を基にユーザーへの報告とその後に行う操作の選択肢を提供する。

 Windows Defenderの定義ファイルには、スパイウェアやそのほかの迷惑ソフトウェアに関して、マイクロソフト側(「アナリスト」としている)で分析された情報を基に作成された「スパイウェア定義ライブラリ」が格納されている。分析に関する詳細については、以下のページにまとめられている。

 なお、ユーザーがWindows Defenderでの検出項目に対して行った操作(「削除」「ブロック」「許可」の3つ)の選択は、「SpyNet」と呼ばれる仕組みでほかのユーザーへも参考情報として提供される。この機能はWindows Vistaではデフォルトで有効になっている。SpyNet での投票結果は、マイクロソフト側でも定義ファイル更新の参考情報として利用している。

 Windows Defenderでは、「Windows Update」と同じ仕組みを用い、オンラインで定義ファイルの更新を実施する。Windows Updateの「自動更新」と同様に最新の定義ファイルを自動取得することもできる。また、スケジュールされた自動スキャンが開始される前に、更新された定義ファイルがあるかどうかを確認するオプションが、デフォルトで選択されている。

ディスク・スキャン

 Windows Defenderにおけるコンピュータのスキャン処理では、スパイウェア感染の可能性が高い領域のみをチェックする「クイック スキャン」と、すべてのハードディスク領域をスキャンする「フル スキャン」、および特定のドライブとフォルダを選択してスキャンを実施する「カスタム スキャン」の3つから選ぶことができる。

 また、クイック・スキャンかフル・スキャンのいずれかをスケジュール実行するよう設定することができ、併せてスキャン開始前に定義ファイルの更新を行うかどうか、検出された項目に既定の動作を割り当てるかどうかも設定できる。

リアルタイム保護

 Windows Defenderには、ディスクのスキャンによる検出のほかに、コンピュータにスパイウェアや迷惑ソフトウェアがインストールされようとしたとき、あるいはそのようなソフトウェアが実行されそうになったときに、これをリアルタイムに検知し、警告を通知する保護機能がある。

 リアルタイム保護では、「エージェント」と呼ばれる9種類のオプションがあり、それぞれコンピュータの保護に重要な役割を持っている。必要なら、エージェントごとに処理の有効化/無効化を設定できる。

リアルタイム保護エージェント 監視対象
自動的に開始 コンピュータ起動時に自動起動されるプログラムの一覧。スタートアップ・フォルダならびに“autorun”のレジストリ値を持つレジストリ・キー
システムの構成(設定) Windowsにおけるセキュリティ設定
Internet Explorerのアドオン Internet Explorerの起動時に実行されるプログラム
Internet Explorerの構成(設定) ブラウザのセキュリティ設定
Internet Explorerのダウンロード ActiveXコントロールなどがダウンロードされ実行されるかどうか
サービスとドライバ Windowsサービスあるいはデバイス・ドライバ
アプリケーションの実行 プログラムの起動や付随する処理の状況
アプリケーションの登録 プログラムを登録して実行するOSのツールおよびファイル
Windowsのアドオン アドオンプログラム
リアルタイム保護のエージェント
Windows Defenderのリアルタイム保護で選択可能な項目。同様の説明がWindows Defenderのヘルプにも記載されている。

 これらの監視項目では、主にWindowsのシステム保護領域にあるファイルやレジストリをそれぞれ監視し、構成に変更があった場合に検知して警告を発する仕組みになっている。

Windows Defenderのオプションにおけるエージェントの設定
リアルタイム保護のオプションを個別に設定できる。
  リアルタイム保護を有効にする。
  個別の保護内容。
  通知内容の設定。

 冒頭で示した、スパイウェア検知のダイアログ・メッセージは、リアルタイム・スキャンの結果によるものである。このうち、スパイウェアのインストール検知は、起動プロセスの監視から得られたプロセス名を基に、定義ファイルを検索した結果からプログラムの素性を確認している。また、Internet Explorerのダウンロードではファイル名を元基に照合が行われ、「保存先への格納時」に警告が表示される。これは、Internet Explorerのダウンロード時には、Temporary Internet Files配下のフォルダに「007install[1].exe」といった別の一時ファイル名で保存されるため、検出できないからだ。


 INDEX
  Vistaの地平
  第9回 スパイウェアからコンピュータを保護するWindows Defender
    1.スパイウェアとは何か
  2.Windows Defenderの機能概要
    3.システムのスキャン
    4.スキャン・オプションとソフトウェア・エクスプローラ
    5.Windows Defenderをグループ・ポリシーで管理する
 
 「 Vistaの地平 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間