クラウド保護ウイルス対策強化メリット・デメリットMicrosoft Defender

クラウド保護ウイルス対策強化メリット・デメリットMicrosoft Defender

Windows 10/11ウイルス対策セキュリティWindows Defender動作を重い遅い→軽量化・高速化で軽くする設定おすすめ。クラウド無効、タスクバーのアイコン非表示、高いCPU使用率の調整、圧縮ファイルのスキャン無効、拡張子やフォルダー除外おすすめ

安全なファイルか？
危険なファイルか？

Windows 10/11 パソコンのセキュリティソフト Microsoft Defender （Windows Defender ウイルス対策）に実装されている「クラウド提供の保護」（クラウド保護）は、米国マイクロソフトのクラウド・サーバーにファイルの真正を問い合わせて脅威を判定するセキュリティ保護層です。

Emotet ウイルス感染対策で活躍も

Microsoft Defender クラウド保護によって、感染被害者 1 人から自動送信された怪しいファイルをマルウェア Emotet と認識し、他の複数の Windows パソコンの感染を防いだ成功例をマイクロソフトが紹介しています。

マイクロソフト「Emotet」の大規模感染を阻止した人工知能のしくみ
https://msrc-blog.microsoft.com/2018/04/12/

2018 年 2 月 3 日午前 12 時 46 分（現地時間）、米ノースカロライナ州に住む Windows 7 Pro のお客様が Trojan:Win32/Emotet と呼ばれる新手のマルウェアキャンペーンの攻撃の最初の犠牲者になりました。
その後 30 分の間に 1,000 人以上に攻撃が仕掛けられましたが、Microsoft Defender ウイルス対策の瞬時の自動保護により、すべてのお客様が被害を免れました。無題な濃いログ

Microsoft Defender ウイルス対策を使用するコンピュータから 1 日に数十億件の処理を受け取り、シグナルを分類しているクラウド保護サービスは、1 日に数百万ものマルウェアをブロックして、数億人のお客様を保護することができます。
現在、Microsoft Defender ウイルス対策のクラウド保護サービスは、約 30 の強力なモデルが並列で実行されています。各モデルには数百万の特性が組み込まれており、その大半が毎日更新されて、急速に変化する脅威に適応しています。無題な濃いログ

Emotet の事例では、お客様からの処理を最も多く受信したのは、最初の攻撃が開始された北米地域にあるクラウド機械学習サーバーの 1 つでした。9 つ以上のクラウドベースのリアルタイムな機械学習の分類器によって、そのファイルがマルウェアであると適切に識別しました。
シグナルを受け取ったクラウド保護サービスは、Trojan:Win32/Fuerboos.C!cl と Trojan:Win32/Fuery.A!cl という 2 つの機械学習ベースの脅威の情報に基づき、Microsoft Defender ウイルス対策を使用するコンピュータに攻撃をブロックするように指示しました。

現在進行系で活発に活動している攻撃者はセキュリティソフトに攻撃を妨害されないよう努力していて、時としてセキュリティソフトの対応は後手に回る現実があります。

ウイルス定義データ、スパイウェア定義データ
→ 先手を行く攻撃者との「イタチごっこ」で対応が間に合わず
クラウド保護
→ クラウド保護で Microsoft Defender の検出性能を強化する

クラウド保護の仕組みは…

Windows Defender が稼働する PC から判断不能な未知のファイルが送信される
マイクロソフトのクラウド上で稼働するマルウェア解析器によってファイルが振り分けられる
黒と判定された脅威が世界中の Windows Defender のユーザーに即反映される

Microsoft Defender クラウド保護の設定

ウイルス検出率を犠牲にしたクラウド保護の設定

● [アルタイム保護] 設定 → クラウド保護と関係なし

リアルタイム保護を一時的にオフにできる
基本的にリアルタイム保護はオンにしておくオプション
→ ユーザーの心を操る「ソーシャル・エンジニアリング」に注意

狡猾な攻撃者は、Windows パソコンで稼働しているセキュリティソフトを無効化させるため、このリアルタイム保護をオフに切り替えるよう誘導する場合があります。

たとえば、オンラインゲームの「チートツール」に偽装したマルウェア RedLine Stealer を配布する攻撃者が、『特殊なプログラムなのでセキュリティソフトが検出するけれど誤検知です。あらかじめセキュリティソフトの設定を変更して、実行ファイルを開いてください。』といった嘘の指示で騙します。

Windows で Windows Defender を完全にオフにする方法 [スタート] を選択し、「Windows セキュリティ」と入力してアプリを検索します。検索結果から「Windows セキュリティ」アプリを選択し、[ウイルスと脅威の防止] に進んで [ウイルスと脅威の防止の設定] の [設定の管理] を選択します。[リアルタイムの保護] をオフに切り替えます。

セキュリティソフトの無効化方法を案内するマルウェア配布ページ

● 〔クラウド提供の保護〕〔サンプルの自動送信〕

Microsoft Defender のクラウド保護を有効化するオプションです。

Microsoft Defender のウイルス検出率に大きく差が出る
→ クラウド保護の「メリット」と「デメリット」を知って託すかどうか判断すべき
サンプル送信
クラウド保護の強化に協力する一環でオフにしておいても問題なし

Microsoft Defender クラウド保護のメリットとデメリット

〔1〕「クラウド提供の保護」のメリットは？

ウイルス検出率に差が出る

「クラウド提供の保護」（クラウド保護）の機能により、従来の Microsoft Defender （Windows Defender ウイルス対策）のウイルス・スパイウェア定義データでは間に合わない現在進行系の 先鋭的な攻撃と脅威 に対抗できます。

ウイルスメールの拡散が観測されていて深刻な被害が招くトロイの木馬 Emotet ウイルス、情報窃取に特化していて YouTube 乗っ取りの立役者でもある RedLine Stealer ウイルスを早期に検出したい？

そんな場合に、Microsoft Defender のクラウド保護が重要です。

Microsoft Defender がウイルス・スパイウェアを検出する性能を飛躍的に向上できる
ほぼ対応が後手に回る活発な脅威に Microsoft Defender で対抗できる

〔2〕「クラウド提供の保護」のデメリットは？

無害なファイルの誤検知が増える

Microsoft Defender （Windows Defender ウイルス対策）のウイルス検出率が上がる一方、「クラウド提供の保護」（クラウド保護）によって無害なファイルを誤って脅威と判定する 誤検知（誤検出） のトラブルが増加します。

Microsoft Defender で誤検知するお話を見かけると、クラウド保護でマルウェア扱いにされたファイルが検疫（削除）されていることが多いでしょうか？

Microsoft Defender が無害なファイルを誤検知する場面が増える
Microsoft Defender によりマイクロソフトと外部通信する処理の発生
→ Windows エクスプローラーで ファイルの表示に若干の遅延 が起こる

製作者がハッキリしていて無害と確定している実行ファイルを Microsoft Defender が駆除するなら、Microsoft Defender の設定でファイルやフォルダーを除外する対処方法で解決です。

Microsoft Defender クラウド保護でファイル送信

「クラウド提供の保護」（クラウド保護）を有効にすると、怪しい不審なファイルと判断したものをマイクロソフトに送信していいか Windows の通知ポップアップで確認されることがあります。

Windows Defender が Microsoft に送信するファイルを確認する通知

Windows セキュリエィウイルスと脅威の防止
Windows Defender が Microsoft に送信するファイルを確認する
この情報を Microsoft に送信すると、Microsoft Defender ウイルス対策によるデバイス保護の向上に役立てられます。 [ファイルを送信する] [確認]

これが自分が開発した実行ファイルに対しての通知だったら、意図せずマイクロソフトに実行ファイルが漏洩・流出する形なので右上の×ボタンを押して拒否しましょう。

Microsoft Defender クラウド保護によるウイルス検出名

【クラウド保護ウイルス検出名の例】
Backdoor:Win32/*!ml
Behavior:Win32/*!ml
BrowserModifier:Win32/*!cl BrowserModifier:Win32/*!ml
Firefly:Win32/*!cl
Program:Win32/*!ml
PUA:Win32/*!ml
Trojan:O97M/*!cl Firefly
Trojan:PDF/*!cl Trojan:PDF/*!ml
Trojan:Script/Phonzy.C!ml Trojan:Script/Sabsik.FL.A!ml Trojan:Script/Wacatac.B!ml Trojan:Script/Phonzy.A!ml Trojan:Script/*!ml Trojan:Script/*!cl
Trojan:Java/*!cl
Trojan:JS/*!ml Firefly
Trojan:Win32/*!cl Trojan:Win32/*!ml
Trojan:Win32/Wacatac.B!ml Trojan:Win32/Sehyioa.A!cl Trojan:Win32/AgentTesla!ml Trojan:Win32/Sabsik.FL.B!ml Trojan:Win32/Azden.*!cl Trojan:Win32/Casur.*!cl Trojan:Win32/CryptInject!ml Trojan:Win32/Fuery.*!cl Trojan:Win32/Spursint.*!cl Trojan:Win32/Wacatac.*!ml
Trojan:Win32/Tiggre!rfn Trojan:Win32/Tnega!ml
TrojanDownloader:JS/*!cl Firefly
TrojanDownloader:Win32/*!cl TrojanDownloader:Win32/*!ml
VirTool:Win32/*!ml
Worm:VBS/*!cl
Worm:Win32/*!cl Worm:Win32/*!ml