<設定>望ましくない可能性のあるアプリ検出方法 Windows Defender

Windows 10/11のMicrosoft Defenderセキュリティで「望ましくない可能性のあるアプリ」不必要なアプリケーションPUA/PUP広告表示ソフトウェア検出駆除削除の有効化。「Windows Defenderでの処置が必要です Windows Defenderウイルス対策でPUA:Win32が.exeに見つかりました」

セキュリティの脅威 「望ましくない可能性のあるアプリ」 とは何…?

コンピュータ ウイルス、スパイウェア、トロイの木馬、バックドア、ランサムウェアなどの脅威に対抗するため Windows 10/11 に実装されている十分なセキュリティソフト Windows セキュリティPUA という脅威を検出できます。

Windows Defender での処置が必要です Windows Defender ウイルス対策で PUA:Win32/EICAR_Test_File が ProtectionUnwanted{1].exe に見つかりました
Windows Defender EICAR PUA テストファイル検出

【PUA とは何?】
頭文字で 「Potentially Unwanted Application」 の略称
・ potentially … 意味 「~かもしれない」 「~の可能性がある」
・ unwanted … 意味 「望まれていない」 「不要な」 「不必要な」 「無用の」
・ application … 意味 「アプリケーション」 「アプリ」

一般的に脅威の分類では PUA は、グレー領域ということでマルウェアには該当しません。

他のセキュリティソフトでは PUAPUP (「Potentially Unwanted Program」 の略称) と表現したり、アドウェア (広告的なソフトウェア) と呼んでいますが、分類上の意味は同じと考えていいでしょう。

なお、この PUA を日本語版 Windows は 「望ましくない可能性のあるアプリ」 と表記しています。


望ましくない可能性のあるアプリ例

マイクロソフトが 「望ましくない可能性のあるアプリ」 (PUA) に分類するソフトウェアの例がコチラ♪

望ましくない可能性のあるアプリケーションの検出とブロック
望ましくない可能性のあるアプリケーション (PUA) は、マシンの動作を遅くしたり、予期しない広告を表示したり、最悪の場合は予期せず不必要な他のソフトウェアをインストールする可能性があるソフトウェアのカテゴリです。
https://docs.microsoft.com/ja-jp/windows/security/threat-protection/microsoft-defender-antivirus/detect-block-potentially-unwanted-apps-microsoft-defender-antivirus

  • 広告を表示するソフトウェア
    広告や宣伝を表示するソフトウェア
    自社以外のソフトウェアで他社製品やサービスのアンケートに回答するよう促すソフトウェア

  • torrent クライアント
    torrent や P2P ファイル共有技術で使われるファイルを作成してダウンロードするソフトウェア

  • 仮想通貨マイニング (*Miner)
    使用端末のリソースを消費して暗号通貨を採掘するソフトウェア Firefly

  • 不必要なアプリを導入する 「バンドル インストーラー」 (*BundleInstaller)
    別の製作者が開発していてソフトウェアの実行に必要のない他のソフトウェアの同時導入を提案する
    └ 名の知れた 海外製フリーソフト の配布手段として採用されている場合あり

  • マーケティング ソフトウェア
    市場活動の調査のため、利用者の行動を監視して自分自身以外のアプリやサービスに情報を送信する

  • 回避ソフト
    セキュリティ製品の有無で動作が変化するようなセキュリティ製品の検出の迂回を意図する

Windows 10/11 の生産性やパフォーマンスに影響を及ぼすことで、ユーザーさん次第では導入したり使用する必要性のない余計なソフトウェアとなります。

逆に、それを納得して自己責任で使うユーザーさんからすると、『Microsoft Defender が ○○○ をウイルスとして勝手に削除した!!!』 という不平が挙がるかもしれません。 <削除されたファイルの復元や除外の説明は↓


「望ましくない可能性のあるアプリ」 の検出名

Windows セキュリティ (Microsoft Defender ウイルス対策) が次ののような名称で検出する脅威が 「望ましくない可能性のあるアプリ」 です。

  • PUA:Win32/ ~
  • PUABundler:Win32/ ~
  • Program:Win32/ ~
  • App:[ソフトウェア名]
  • App:[ソフトウェア名]_BundleInstaller
  • PUADlManager:Win32/ ~
  • PUADlManager:Win32/ ~


《仮想通貨マイニング》

PUA:Win32/CoinMiner
PUA:Win64/CoinMiner
App:XMRigMiner Firefly


《バンドル インストーラー》 … アドウェアや迷惑ソフトを同意の上で同時導入するインストーラー

PUABundler:Win32/ICBundler
Program:Win32/Uwamson.A!ml
Program:Win32/Wacapew.B!ml
Program:Win32/Wacapew.C!ml
PUADlManager:Win32/InstallCore
PUADlManager:Win32/OfferCore
PUADlManager:Win32/DomaIQ
PUADlManager:Win32/Amonetize
PUADlManager:Win32/iBryteInstaller
PUADlManager:Win32/Ogimant
PUADlManager:Win32/Einstall
PUADlManager:Win32/AirInstaller
PUADlManager:Win32/DownloadBaby


《ブラウザ ハイジャッカー》 … ブラウザのホームページや検索エンジンを変更する拡張機能

PUA:Win32/MyWebSearch
App:MyWebSearch
PUA:Win32/AskToolbar Firefly
App:AskToolbar


《Piriform 開発ソフトウェアのインストーラー》



《マーケティング ソフトウェア》



《エクスプローラーのタブ化》



《怪しい PC メンテナンスソフト》 … 誇張した警告やエラーを表示してライセンスの購入を誘う

PUA:Win32/SpeedingUpMyPC … 「Driver Downloader」 「PC Cleaner」 「PC HelpSoft Driver Updater」 「Device Doctor」 「PC Speed MaximizerFirefly
PUA:Win32/Reimage … 「Reimage Repair
PUA:Win32/Systweak Firefly
PUA:Win32/SpeedChecker … 「PC Speedup
PUA:Win32/PcMechanic
PUA:Win32/ByteFence … 「ByteFence Anti-MalwareFirefly
PUA:Win32/SystemCleaner
PUA:Win32/Slimware … 「Slimware DriverUpdater」 「SlimCleaner Plus
PUA:Win32/DriverBooster Firefly
PUA:Win32/DriverToolkit
PUA:Win32/DriverUpdater
App:​Avanquest_OneSafe_PC_Cleaner
App:SlimWare_DriverUpdate



望ましくない可能性のあるアプリ検出設定

巷では十分な評価がある Windows セキュリティ (Microsoft Defender ウイルス対策) の性能を存分に引き出す方法として 「望ましくない可能性のあるアプリ」 を検疫する ”隠し機能” をパ~ッと開放しましょう。

※ 2021 年 8 月に配信された Windows Defender (マルウェア対策クライアントのバージョン 4.18.2107.4) から 「望ましくない可能性のあるアプリ」 の検出は規定でオンになりました。

望ましくない可能性のあるアプリが見つかりました Windows Defender ウイルス対策により、デバイス上で望ましくない操作を実行する可能性のあるアプリが検出されました
望ましくない可能性のあるアプリが見つかりました

アプリがブロックされました Windows Defender ウイルス対策により、デバイス上で望ましくない操作を実行する可能性のあるアプリがブロックされました
Windows 10 通知 アプリがブロックされました

「Windows セキュリティ」 のメイン画面の [アプリとブラウザー コントロール] をクリックし、[評価ベースの保護設定] → [望ましくない可能性のあるアプリ] をオン、またはオフにします。

windows-security-pua

  • アプリをブロックする
    「望ましくない可能性のあるアプリ」 のファイルを検出する動作を有効にする

  • ダウンロードをブロックする
    (Microsoft Edge ブラウザのみ) ネットから 「望ましくない可能性のあるアプリ」 のダウンロードを阻止する

オフだと 「望ましくない可能性のあるアプリ」 は検出することなくスルーします。

望ましくない可能性のあるアプリ復元方法

次のスクリーンショットは、アドウェアや迷惑ソフトを Windows ユーザーさんに対して同意の上で同時導入する仕組みを持つ 「バンドル インストーラー」 を正常に検出しています。 <セキュリティ会社によって検出するか対応は割れる

Microsoft Windows Defender アプリが見つかりました アプリが検疫されました PUA:Win32/ICBundler
PUA:Win32/ICBundler アプリが見つかりました

誤検知ではないものの 「望ましくない可能性のあるアプリ」 と判定された実行ファイルを元に戻したい?

Windows のスタートメーニュー → アプリ一覧の [Windows セキュリティ] を開き、[ウイルスの脅威と防止] → [保護の履歴] を確認して、「アプリが検疫されました」 「アプリが見つかりました」 の項目を選択します。

そして、右下の [操作] オプション → [削除] [検疫] [デバイスで許可] を選択しましょう。

  • 削除
    実行ファイルを PC から完全に削除する

  • 検疫
    実行ファイルを隔離フォルダーへ移動する
    → さらに、[操作] オプションで削除された実行ファイルを復元できる

  • デバイスで許可
    実行ファイルを再ダウンロードすると、以降は検出の扱いから外れる

そして、Microsoft Defender の除外設定で 「ファイル」 か 「フォルダー」 を例外 に登録しておくと、以降も 「望ましくない可能性のあるアプリ」 は通常どうりに使用できます。

関連するブログ記事






Windows Defender 保護の履歴の削除方法