Microsoft Defenderクラウド保護でウイルス検出率👍メリット・デメリット

Windows 10/11無料ウイルス対策ソフトMicrosof Defender実装のクラウド保護機能によるウイルス・マルウェア・トロイの木馬を検出する性能の向上メリット、無害ファイル検出で誤検知が増えるデメリット。

このファイルは安全?
… それとも危険なファイル?

Windows 10 や Windows 11 に組み込まれている無料セキュリティソフト Microsoft Defender (Windows Defender ウイルス対策) の クラウド提供の保護 (以下、クラウド保護) とは、どのようなセキュリティ機能でしょうか?

Windows クラウド保護 Emotet ウイルス対策に効果あり

Microsoft Defender クラウド保護は、米国マイクロソフトがネットワーク構築したクラウド・サーバーにファイルの真正を問い合わせて、人工知能 AI も活用しつつ脅威かどうかを判定するセキュリティ機能です。

クラウド保護の成功例として、感染した 1 台の Windows パソコンから自動送信された怪しいファイルの正体を脅威 (マルウェア Emotet) と認識して、他の Windows パソコンへの感染を防いだ事例をマイクロソフトが紹介しています。

マイクロソフト Emotet の大規模感染を阻止した人工知能のしくみ
https://www.microsoft.com/en-us/security/blog/2018/02/14/

2018年2月3日午前12時46分 (現地時間)、米国ノースカロライナ州に住む Windows 7 Pro のお客様が Trojan:Win32/Emotet と呼ばれる新手のマルウェア キャンペーンの攻撃の最初の被害者になりました。
その後の 30 分の間に 1,000 人以上に攻撃が仕掛けられましたが、Microsoft Defender ウイルス対策 の瞬時の自動保護により、すべてのお客様が被害を免れました。 無題な濃いログ

Microsoft Defender ウイルス対策 を使用するコンピューターから 1 日に数十億件の処理を受け取り、シグナルを分類している クラウド保護 のサービスは、1 日に数百万ものマルウェアをブロックし、数億人のお客様を保護することができます。

現在、Microsoft Defender ウイルス対策  の クラウド保護 のサービスは、約 30 種の強力なモデルが並列で実行されています。各モデルには数百万の特性が組み込まれていて、その大半が毎日更新されて急速に変化する脅威に適応しています。 無題な濃いログ

Emotet の事例では、お客様からの処理を最も多く受信したのは、最初の攻撃が開始された北米地域にあるクラウド機械学習サーバーの 1 つでした。9 つ以上のクラウド ベースのリアルタイムな機械学習の分類器によって、そのファイルがマルウェアであると適切に識別しました。

シグナルを受け取った クラウド保護 のサービスは、Trojan:Win32/Fuerboos.C!cl と Trojan:Win32/Fuery.A!cl という 2 つの機械学習ベースの脅威の情報に基づいて、Microsoft Defender ウイルス対策 を使用するコンピュータに攻撃をブロックするように指示しました。

現在進行系で攻撃活動する詐欺師は、セキュリティソフトに補足されて攻撃を邪魔されないよう努力しているはずで、時として セキュリティソフトの対応が後手に回る厄介な現実 に出会います。

Microsoft Defender 保護層 2 つ
ウイルス定義データ
スパイウェア定義データ
先手を行く詐欺師とセキュリティ会社の 「イタチごっこ」 の様相が展開される
クラウド保護
脅威に対抗する保護層として Microsoft Defender のウイルス検出率の向上が期待できる

クラウド保護により Microsoft Defender のウイルス検出率の性能アップに繋がる流れはこんな感じでしょうか。

  1. Windows Defender が動作している PC から怪しい未知のファイルがマイクロソフトに送信される

  2. マイクロソフトのクラウド・サーバー上で稼働するマルウェア解析器が未知のファイルが分析する

  3. 黒と判定された脅威を阻止できるよう世界中の Windows ユーザーに即反映される

Microsoft Defender クラウド保護を有効化する方法


microsoftdefender
ウイルス検出率を犠牲にしたクラウド保護の設定


● 〔リアルタイム保護〕 → クラウド保護と関係なし

  • Microsoft Defender のリアルタイム保護を一時的にオフにするオプション

  • リアルタイム保護は基本的にオンを維持しておくこと
    → ユーザーの心を操りリアルタイム保護に無効に切り替えるよう誘惑する詐欺に注意

狡猾な詐欺師は、Windows パソコンで動作するセキュリティソフトを故意に無効化させようと企み、このリアルタイム保護のオプションをオフに切り替えるよう案内する手口が存在します。

次のスクリーンショット画像は、オンラインゲームの 「チートツール」 に偽装してダウンロードさせる情報窃取型マルウェア RedLine Stealer の攻撃例で、詐欺師が嘘の指示で Windows ユーザーを騙そうとします。

Windows Defenderの無効化2
Microsoft Defender を無効にするよう指示する危険なウイルスサイト

Our client uses various Anti-Anti-Cheat techniques that might make it wrongly detected as a virus. You need to tweak your Anti-Virus protection to allow the client to be downloaded and run. How to disable Windows Defender

〔意味〕
私たちのクライアント  (=ゲームのチートツール)  は、様々なアンチチート回避技術を使用しており、誤ってウイルスと検出される可能性があります。クライアントのダウンロードと起動を許可するため、ウイルス対策の保護を調整する必要があります。Windows Defender を無効化する方法 動画リンク

Windows Defenderの無効化1
Microsoft Defender の無効化を案内するウイルスサイト

Turn Off Your Antivirus / How to Completely Turn Off Windows Defender in Windows 10?

〔意味〕
ウイルス対策ソフトを無効にする
Windows Defender を完全に無効化する方法とは?


● 〔クラウド提供の保護〕 〔サンプルの自動送信〕

この記事のテーマである Microsoft Defender クラウド保護を有効化 or 無効化するオプションです。

  • Microsoft Defender のウイルス検出率を上げる
    → クラウド保護の 「メリット」 と 「デメリット」 を知って託すかどうか判断を

  • サンプル送信はクラウド保護の性能向上に協力するオプション
    → 未知のファイルの送信は任意なのでオフにしても問題ない

Microsoft Defender クラウド保護のメリットとデメリット

〔1〕 「クラウド提供の保護」 のメリット

ウイルス検出率の向上が期待できる

クラウド保護のメリットは、従来の Microsoft Defender (Windows Defender ウイルス対策) の ウイルス・スパイウェア定義データ では間に合わない 進行系の先鋭的な攻撃や脅威 に対抗できます。


こういう脅威に Microsoft Defender クラウド保護の出番です。

  • Microsoft Defender による検出性能の向上が期待できる

  • 対応が後手に回る活発な脅威に Microsoft Defender で少なからず対抗できる


〔2〕 「クラウド提供の保護」 のデメリット

無害なファイルの誤検知が増加する
ファイルの表示に遅延が発生する

Microsoft Defender (Windows Defender ウイルス対策) のウイルス検出率が上がる一方、デメリットとしてクラウド保護により無害なファイルを誤って脅威と判定する 誤検知 (誤検出) が増加します。

Microsoft Defender が誤検知するお話を目にすると、たいていクラウド保護でマルウェア扱いになっているパターンが多い印象を受けます。

  • Microsoft Defender が無害なファイルを誤検知する場面が明らかに増える

  • Microsoft Defender によりマイクロソフトと外部通信するため、Windows エクスプローラーでファイルの表示処理に若干の遅延が発生する


Microsoft Defender クラウド保護が機能不全に陥る弱点

Microsoft Defender クラウド保護も完璧なセキュリティ機能ではなく、そこを突破できる弱点が存在します。

  • マルウェアのファイルサイズを意図的に巨大化させて配布する
    → Microsoft Defender クラウド保護をうまく迂回されうる

具体的にファイルサイズが 「数百メガバイト」 (*** MB) の場合、ファイルがあまりにも大きすぎるため Microsoft Defender クラウド保護は機能不全に陥ります。


無害なファイルを Microsoft Defender で除外する

製作者がハッキリしていて無害と確信できる実行ファイルが検疫 (削除) されてしまうならば、Microsoft Defender の設定でファイルやフォルダーを除外 する対処方法で解決できます。

Microsoft Defender クラウド保護でファイル送信

クラウド提供の保護」 (クラウド保護) を有効にしていると、怪しい不審なファイルと判断したものをマイクロソフトに送信して問題ないか Windows の通知ポップアップで確認されることがあります。

Windows Defender が Microsoft に送信するファイルを確認する通知

Windows セキュリエィ ウイルスと脅威の防止
Windows Defender が Microsoft に送信するファイルを確認する
この情報を Microsoft に送信すると、Microsoft Defender ウイルス対策によるデバイス保護の向上に役立てられます。 [ファイルを送信する] [確認]

もし、自分が開発した実行ファイルに対しての通知だった場合は、意図せず実行ファイルがマイクロソフトに流出する流れなので、通知の右上の×ボタンを押して拒否することができます。

Microsoft Defender クラウド保護のウイルス検出名


【クラウド保護ウイルス検出名の例】
Backdoor:Win32/*!ml
Behavior:Win32/*!ml
BrowserModifier:Win32/*!cl BrowserModifier:Win32/*!ml
Firefly:Win32/*!cl
Program:Win32/*!ml
PUA:Win32/*!ml
Trojan:O97M/*!cl Firefly
Trojan:PDF/*!cl Trojan:PDF/*!ml
Trojan:Script/Phonzy.C!ml Trojan:Script/Sabsik.FL.A!ml Trojan:Script/Wacatac.B!ml Trojan:Script/Phonzy.A!ml Trojan:Script/*!ml Trojan:Script/*!cl
Trojan:Java/*!cl
Trojan:JS/*!ml Firefly
Trojan:Win32/*!cl Trojan:Win32/*!ml
Trojan:Win32/Wacatac.B!ml Trojan:Win32/Sehyioa.A!cl Trojan:Win32/AgentTesla!ml Trojan:Win32/Sabsik.FL.B!ml Trojan:Win32/Azden.*!cl Trojan:Win32/Casur.*!cl Trojan:Win32/CryptInject!ml Trojan:Win32/Fuery.*!cl Trojan:Win32/Spursint.*!cl  Trojan:Win32/Casur.A!cl
Trojan:Win32/Wacatac.*!ml
Trojan:Win32/Tiggre!rfn Trojan:Win32/Tnega!ml
TrojanDownloader:JS/*!cl Firefly
TrojanDownloader:Win32/*!cl TrojanDownloader:Win32/*!ml
VirTool:Win32/*!ml
Worm:VBS/*!cl
Worm:Win32/*!cl Worm:Win32/*!ml
Trojan:Win32/Woreflint.A!cl

関連するブログ記事
NFT イラスト制作やゲームのテストプレイでウイルス感染