Microsoft Defender(旧称: Windows Defender)は、パソコンの安全を守るために欠かせない標準のセキュリティ機能です。特定のファイルやフォルダーを除外設定に追加することでシステムの動作を軽くすることができますが、誤った拡張子や広範囲すぎる設定を行うと、マルウェアの侵入を許す原因になります。
本記事では、テキストファイルを巧妙に悪用する最新の「分割型ステルスマルウェア」の手口を踏まえ、除外設定に追加してはいけない拡張子リストとその理由、そして推奨されない除外設定の手法について詳しく解説します。
除外設定に追加してはいけない拡張子リスト
以下に挙げる拡張子は、サイバー攻撃で悪用されやすいため、 Microsoft Defender の除外設定に追加することは推奨されません。
実行ファイル群
- .exe(実行ファイル)
- .com(コマンドファイル)
- .scr(スクリーンセーバー)
理由:これらはプログラムとして直接実行されるファイルです。マルウェアの大部分は .exe 形式で配布されるため、これらを除外するとウイルスが検知されずに自由に活動できる状態になります。
スクリプトファイル群
- .bat(バッチファイル)
- .cmd(コマンドスクリプト)
- .vbs(VBScript)
- .ps1(PowerShell スクリプト)
- .js(JavaScript)
理由: Windows システムを自動操作するためのスクリプトです。ランサムウェアのダウンローダーや、システム設定を改ざんする目的で頻繁に悪用されます。
システムおよびライブラリファイル群
- .dll(動的リンクライブラリ)
- .sys(システムファイル)
理由:他のプログラムから呼び出されて動作するファイルです。正常なプロセスに悪意のある .dll ファイルを読み込ませる「DLL ハイジャッキング」という攻撃手法が存在するため、監視の対象から外すのは危険です。
マクロ有効ドキュメント
- .docm(マクロ有効 Word 文書)
- .xlsm(マクロ有効 Excel ブック)
理由:業務で頻繁に使用される形式ですが、不正なマクロ(VBA)が埋め込まれている場合、ファイルを開いただけでマルウェアに感染する恐れがあります。
推奨しない危険な除外設定
拡張子以外にも追加すべきではない除外設定の対象や方法があります。一般的なセキュリティのベストプラクティスにおいても、以下の設定は避けるべきとされています。
1つの拡張子全体の一括除外(.txt や .log など)
テキストファイルである .txt や .log などの一見無害な拡張子であっても、システム全体で一括除外することは推奨されません。セキュリティスキャンを回避するために、これら実行不可能な形式のファイルを悪用する手法が存在するためです。
ドライブ全体の除外
C ドライブ(C:\)などのドライブ全体を除外設定に追加すると、 Microsoft Defender が実質的に無効化され、システム全体が危険にさらされます。
システムフォルダーの除外
Windows フォルダーや System32 などのシステム領域は、 Windows の根幹を担う重要な場所です。マルウェアがシステムファイルに偽装して侵入する標的になりやすいため、ここを除外すると致命的な被害を招く可能性があります。
ダウンロードフォルダーの除外
インターネット上から保存されたファイルが最初に置かれる場所であり、マルウェアの入り口として最もリスクが高いフォルダーです。このフォルダーを除外設定に追加することは絶対に避けてください。
脅威となる「分割型ステルスマルウェア」の詳細
近年、セキュリティ企業の報告により、テキストファイルやログファイルを巧みに悪用した「分割型ステルスマルウェア」の存在が明らかになっています。
従来のマルウェアは、 PHP や JavaScript といった実行可能なファイルに不正なコードを直接記述していました。しかし、セキュリティソフトがこれらを重点的に監視するようになったため、攻撃者は検出を回避する新しい対抗策としてこの手法を開発しました。
分割型ステルスマルウェアの仕組み
この手法では、攻撃者は悪意のあるコードをそのまま配置するのではなく、主に以下のステップを用いて潜伏します。
- コードの断片化:悪意のあるコードを 2つ以上のパーツにバラバラに分解し、それ単体ではプログラムとして成立しない「ただの文字列」に変形させます。
- 非実行ファイルへの隠蔽:分解した文字列を、セキュリティソフトの監視の目が届きにくい、あるいはスキャン対象から除外されやすい .txt や .log などのファイル内にそれぞれ保存します。
- メモリー上での結合と実行:システム内に配置したクリーンに見える最小限のプログラム(または正規のスクリプト)から、これらのテキストファイルを呼び出します。プログラムはファイルを開いて中身の文字列を結合し、メモリー(RAM)上で実行可能なコードとして復元・実行します。
なぜ検出を回避できてしまうのか
多くのセキュリティソフトは、ファイル 1つ 1つを個別に調べる「静的解析」を行います。しかし分割型ステルスマルウェアの場合、個々のテキストファイルを開いても不完全なコードの断片しか入っていないため、ファイル単体の検査では「無害なテキストデータ」として認識されてしまいます。
さらに、ユーザーがパフォーマンス維持などの目的で「.txt」や「.log」を一括で除外設定に追加している場合、セキュリティソフトはファイルの中身を解析すること自体をスキップするため、攻撃者にとって格好の隠れ蓑(データの保管庫)を提供することになります。
なぜ広範囲な除外設定を避けるべきなのか
Microsoft Defender の除外機能は、本来ソフトウェアの開発環境や、特定のアプリケーションの動作遅延を防ぐために用意されています。しかし、セキュリティリスクの高い拡張子を一括で除外したり、広範囲なフォルダーを指定したりすると、次のような問題が発生します。
- マルウェアの素通り:ウイルスやランサムウェアがシステム内に侵入しても、 Microsoft Defender がその領域や拡張子を無視するため、警告が出ずに被害が拡大します。
- 脆弱性の増大:除外設定は特定のフォルダーに絞るなど、限定的な対応が基本です。広範な除外は、国内外の多くのセキュリティ専門機関でも避けるべきと警告されています。
まとめ
Microsoft Defender の除外設定は、パソコンの動作を改善する反面、設定を誤ると致命的なセキュリティ低下を招きます。 .exe や .bat などの実行可能ファイル、 .dll といったシステムファイル関連の拡張子は決して除外リストに追加しないようご注意ください。 また、悪意のあるプログラムから読み込まれるリスクがあるため、 .txt などの拡張子全体の一括除外や、ドライブ全体、システム領域の除外も避けるべきです。必要な場合は、信頼できる特定のフォルダーやファイル単体を指定して除外することをおすすめします。
コメント