<感染>PUA:Win32/PiriformBundler正体はCCleanerウイルス?

Microsoft Defenderが「PUA:Win32/PiriformBundler」「Win32/Bundled.Toolbar.Google.D」「App:Piriform_CCleaner」と検出する問題。CCleaner、Recuva、Defragglerのインストーラーを不必要なアプリ。

え、えー?

Windows 10/11 に標準で実装されているセキュリティソフト Windows セキュリティ (Microsoft Defender ウイルス対策) が PC メンテナンスソフト CCleaner のインストーラーを検疫して駆除するってー!?

別に偽物ではない CCleaner の正規インストーラーをダウンロードしてきて、手元でも検出されることを確認できました。

アプリが検疫されました PUA:Win32/PiriformBundler 警告レベル 重大 望ましくない可能性のあるソフトウェア このプログラムは望ましくない動作をする可能性があります
Windows セキュリティ アプリが検疫されました

【ウイルス検出名例】
PUA:Win32/PiriformBundler
PUA:Win32/CCleaner
FireflyFramer
App:Piriform_CCleaner
App:Piriform_Defraggler_BundleInstaller
App:Piriform_Recuva_BundleInstaller
App:Piriform_Speccy_BundleInstaller

フリーソフト CCleaner 以外でも、Piriform Software Ltd. が開発する Piriform RecuvaDefragglerSpeccy のインストーラーを Microsoft Defender ウイルス対策 が物申すかもしれません。 <公式サイトからダウンロードしているのに

いずれも、その開発元が明らかで、そこまで怪しくないソフトウェアのはずだけど、問題の脅威 「PUA:Win32/PiriformBundler」 「App:Piriform_CCleaner」 とは何モノ?


注目ポイントとして、マイクロソフトは意図的にグレー領域の 「PUA: 望ましくない可能性のあるソフトウェア」 に分類していて、Windows が 「トロイの木馬」 「スパイウェア」 に感染したワケではありません。

焦ってウイルス感染と誤解するユーザーさんが出現しそうだけど、はっきり言って Microoft Defender ウイルス対策 が曰くところの 「重大」 という表現に反して 「PUA:Win32/PiriformBundler」 「App:Piriform_CCleaner」 の危険性は低いからご安心を~。

CCleaner 「PUA:Win32/PiriformBundler」 検出の理由

知名度のあるフリーソフト CCleanerMicrosoft Defender ウイルス対策 が脅威とした理由は何?

マイクロソフトの説明によると、インストーラーの実行ファイル (拡張子 .exe) を起動した直後に表示されたインストール画面に 余計なソフトウェアの同時導入提案 があるからアカンで~、と指摘しています。

recuva-chrome
Recuva × Google ツールバー

ccleaner-chrome
CCleaner × Google Chrome

ccleaner-avast
CCleaner × Avast Antivirus

CCleaner の無料版や 14 日間の試用版、Defraggler、Recuva、Speccy のインストーラーには、同じ開発元である Piriform が開発した不必要なアプリケーションを含む、バンドルされたアプリケーションがあります。バンドルされているアプリケーション自体は正当なものですが、特に他の提供元のソフトウェア製品が同封されていると、予期せぬ動作が発生し、ユーザー体験に悪影響をもたらす可能性があります。Microsoft Defender ウイルス対策 は、Windows ユーザーを保護するため、このような動作をする Piriform アプリケーションのインストーラーを、望まない可能性のあるアプリケーション (PUA) と検出します。
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=PUA:Win32/PiriformBundler

同時導入の余計なソフトウェアたちは、明らかに怪しいシロモノではなく、Windows ユーザーさんに無断で勝手に強制インストールされる流れではありません。

  • インターネットブラウザ
    Google Chrome

  • Google ツールバー

  • セキュリティソフト
    Avast Free Antivirus 、AVG Antivirus Free

デフォルト状態で導入のチェックマークが入っていてイヤらしいという意見は分かるけれど、インストール画面のライセンス契約書の確認場面において 同時導入を何なりと拒否できる ところがミソです。


セキュリティソフトの検出対応はビミョー

Microsoft Defender ウイルス対策 が 「PUA:Win32/PiriformBundler」 と検出する CCleaner のインストーラー (旧バージョン) を他のセキュリティ会社はどう扱うのか、オンラインスキャンサイト VirusTotal の検出状況を見てみましょう。

【CCleaner インストーラーの検出状況】
https://www.virustotal.com/gui/file/810d4b0d8f4171b13f6d5a4c5c6c5e33209af7af6c378a2218007caae12dc2d6/detection
https://www.virustotal.com/gui/file/c0ea5b0a8c1f2f1bf0eed8e688ea60fc48f6f953f46e7df40bc26cb8de4585f3/detection
https://www.virustotal.com/gui/file/7f6b831129ce21153e83fc2b27c4b3236927b310c1fbdaf95755ce4eac223431/detection
---
ESET Win32/Bundled.Toolbar.Google.D
Microsoft PUA:Win32/PiriformBundler

「bundled toolbar google」 というウイルス検出名からも明らかだけど、同じような理由で検出する ESET が存在するだけで、だいぶ ビミョーな対応状況 です。

よくよく考えてみると、マイクロソフト的には競合する関係の Google に横槍を入れているように見えなくもない?