次の方法で共有

Microsoft がマルウェアと望ましくない可能性のあるアプリケーションを識別する方法

  • [アーティクル]

Microsoft は、デバイスを安全かつ制御できるように取り組むことで、快適で生産性の高い Windows エクスペリエンスを提供することを目指しています。 Microsoft は、ソフトウェアとオンライン コンテンツを特定して分析することで、潜在的な脅威からユーザーを保護するのに役立ちます。 ソフトウェアをダウンロード、インストール、実行すると、ダウンロードしたプログラムの評判がチェックされ、既知の脅威から保護されます。 また、当社に不明なソフトウェアについても警告されます。

分析のために不明なソフトウェアまたは疑わしいソフトウェアを提出することで、Microsoft を支援できます。 申請は、不明または疑わしいソフトウェアがシステムによってスキャンされ、評判の確立を開始するのに役立ちます。 分析のためにファイルを送信する方法の詳細

次のセクションでは、アプリケーションに使用する分類とその分類につながる動作の種類の概要について説明します。

注:

新しい形式のマルウェアと望ましくない可能性のあるアプリケーションが迅速に開発され、配布されています。 次の一覧は包括的ではない場合があり、Microsoft は、事前の通知や発表なしにこれらを調整、拡張、更新する権利を留保します。

不明 – 認識されないソフトウェア

ウイルス対策や保護技術は完璧です。 悪意のあるサイトやアプリケーションを特定してブロックしたり、新しくリリースされたプログラムや証明書を信頼したりするのに時間がかかります。 インターネット上の約20億のウェブサイトとソフトウェアが継続的に更新およびリリースされているため、すべてのサイトとプログラムに関する情報を持つことは不可能です。

不明/一般的にダウンロードされていない警告は、検出されない可能性のあるマルウェアの早期警告システムと考えてください。 一般に、新しいマルウェアがリリースされてから特定されるまでに遅延が発生します。 すべての珍しいプログラムが悪意のあるわけではありませんが、一般的なユーザーにとって不明なカテゴリのリスクがはるかに高くなります。 不明なソフトウェアの警告はブロックされません。 ユーザーは、必要に応じてアプリケーションを通常どおりにダウンロードして実行できます。

十分なデータが収集されると、Microsoft のセキュリティ ソリューションが決定を下すことができます。 脅威が見つからないか、アプリケーションまたはソフトウェアがマルウェアまたは望ましくない可能性のあるソフトウェアとして分類されます。

マルウェア

マルウェアは、アプリケーションやその他のコード (ソフトウェアなど) の包括的な名前であり、Microsoft は 悪意のあるソフトウェア望ましくないソフトウェアまたは改ざんソフトウェアとしてより詳細に分類します。

悪意のあるソフトウェア

悪意のあるソフトウェアは、ユーザーのセキュリティを侵害するアプリケーションまたはコードです。 悪意のあるソフトウェアは、個人情報を盗んだり、身代金を支払うまでデバイスをロックしたり、デバイスを使用してスパムを送信したり、他の悪意のあるソフトウェアをダウンロードしたりする可能性があります。 一般に、悪意のあるソフトウェアは、ユーザーをだましたり、詐欺したり、詐欺したりして、脆弱な状態にしたいと考えています。

Microsoft では、最も悪意のあるソフトウェアを次のいずれかのカテゴリに分類します。

  • 裏口: 悪意のあるハッカーにデバイスへのリモート アクセスと制御を提供するマルウェアの一種。

  • コマンドとコントロール: デバイスに感染し、ハッカーのコマンド アンド コントロール サーバーとの通信を確立して指示を受け取るマルウェアの種類。 通信が確立されると、ハッカーはデータを盗んだり、デバイスをシャットダウンして再起動したり、Web サービスを中断したりできるコマンドを送信できます。

  • ダウンローダー: デバイスに他のマルウェアをダウンロードするマルウェアの種類。 ファイルをダウンロードするには、インターネットに接続する必要があります。

  • 点滴器: デバイスに他のマルウェア ファイルをインストールするマルウェアの種類。 ダウンローダーとは異なり、ドロップパーは悪意のあるファイルを削除するためにインターネットに接続する必要はありません。 ドロップされたファイルは通常、ドロッパー自体に埋め込まれます。

  • 搾り取る: ソフトウェアの脆弱性を使用してデバイスにアクセスし、マルウェアのインストールなどの他のタスクを実行するコードの一部。

  • Hacktool: デバイスへの未承認のアクセスを取得するために使用できるツールの種類。

  • マクロ ウイルス:Microsoft Word や Excel ドキュメントなど、感染したドキュメントを通じて拡散するマルウェアの種類。 ウイルスは、感染したドキュメントを開いたときに実行されます。

  • 難読化器: コードと目的を隠し、セキュリティ ソフトウェアが検出または削除するのが難しくなるマルウェアの一種です。

  • パスワード 盗み取り: ユーザー名やパスワードなど、個人情報を収集するマルウェアの種類。 多くの場合、キー ロガーと共に動作します。これは、押したキーやアクセスする Web サイトに関する情報を収集して送信します。

  • ランサムウェア: ファイルを暗号化したり、デバイスの使用を妨げる可能性のあるその他の変更を行うマルウェアの種類。 そして、デバイスを再び使用する前に金銭を支払うか、その他のアクションを実行しなければならないことを示す身代金メモを表示します。 ランサムウェアの詳細を参照してください

  • 不正なセキュリティ ソフトウェア: セキュリティ ソフトウェアのふりをするが、保護を提供しないマルウェア。 この種類のマルウェアは、通常、デバイス上に存在しない脅威に関するアラートを表示します。 また、サービスの支払いをユーザーに納得させようとします。

  • トロイ: 無害と見せようとするマルウェアの一種。 ウイルスやワームとは異なり、トロイの木馬自体は拡散しません。 代わりに、ユーザーがダウンロードしてインストールするように、正当に見ようとします。 インストールしてしまうと、トロイの木馬は、個人情報の盗み、他のマルウェアのダウンロード、攻撃者によるデバイスへのアクセス権の付与など、さまざまな悪意のある活動を実行します。

  • トロイの木馬クリッカー: Web サイトまたはアプリケーションのボタンまたは同様のコントロールを自動的にクリックするトロイの木馬の種類。 攻撃者は、このトロイの木馬を使用してオンライン広告をクリックできます。 これらのクリックは、オンライン投票やその他の追跡システムを傾斜させ、デバイスにアプリケーションをインストールすることもできます。

  • ワーム: 他のデバイスに拡散するマルウェアの種類。 ワームは、メール、インスタント メッセージング、ファイル共有プラットフォーム、ソーシャル ネットワーク、ネットワーク共有、リムーバブル ドライブを介して拡散される可能性があります。 高度なウォームは、ソフトウェアの脆弱性を利用して伝達します。

望ましくないソフトウェア

Microsoft では、Windows エクスペリエンスを制御する必要があると考えています。 Windows で実行されているソフトウェアは、情報に基づいた選択とアクセス可能なコントロールを通じて、デバイスを制御し続ける必要があります。 Microsoft は、制御を維持するソフトウェア動作を特定します。 これらの動作を完全に示していないソフトウェアを "望ましくないソフトウェア" として分類します。

選択の欠如

ソフトウェアの動作やアクティブかどうかなど、デバイスで何が起こっているかについて通知を受け取る必要があります。

選択の欠如を示すソフトウェアは、次の場合があります。

  • ソフトウェアの動作とその目的と意図に関する目立つ通知を提供しない。

  • ソフトウェアがアクティブなタイミングを明確に示すのに失敗します。 また、その存在を隠したり偽装したりしようとする場合もあります。

  • アクセス許可、操作、または同意なしにソフトウェアをインストール、再インストール、または削除します。

  • プライマリ ソフトウェアとの関係を明確に示すことなく、他のソフトウェアをインストールします。

  • ブラウザーまたはオペレーティング システムからユーザーの同意ダイアログを回避します。

  • Microsoft からのソフトウェアであると誤って主張します。

ソフトウェアは、デバイスに関する意思決定を誤解させたり、強制したりしてはなりません。 これは、選択を制限する動作と見なされます。 前の一覧に加えて、選択の欠如を示すソフトウェアは、次の場合があります。

  • デバイスの正常性に関する誇張された要求を表示します。

  • デバイス上のファイル、レジストリ エントリ、またはその他の項目に関する誤解を招くような、または不正確な要求を行います。

  • デバイスの正常性に関する驚くべき方法で要求を表示し、支払いまたは特定のアクションを要求して問題を解決する必要があります。

アクティビティまたはデータを格納または送信するソフトウェアは、次の必要があります。

  • お客様に通知し、同意を得ます。 ソフトウェアには、データの格納または送信に関連するアクティビティを非表示にするように構成するオプションを含めてはいけません。

コントロールの欠如

デバイスでソフトウェアを制御できる必要があります。 ソフトウェアの承認を開始、停止、またはその他の方法で取り消すことができる必要があります。

制御不足を示すソフトウェアは、次の場合があります。

  • ブラウザーの機能や設定の表示または変更を禁止または制限します。

  • 承認なしでブラウザー ウィンドウを開きます。

  • 通知や同意を得ることなく、Web トラフィックをリダイレクトします。

  • お客様の同意なしに Web ページのコンテンツを変更または操作します。

閲覧エクスペリエンスを変更するソフトウェアでは、インストール、実行、無効化、または削除に、ブラウザーでサポートされている拡張モデルのみを使用する必要があります。 サポートされている拡張モデルを提供しないブラウザーは、非拡張と見なされ、変更しないでください。

インストールと削除

ソフトウェアに与えられた承認を開始、停止、またはその他の方法で取り消すことができる必要があります。 ソフトウェアはインストール前に同意を得る必要があり、インストール、アンインストール、または無効化するための明確で簡単な方法を提供する必要があります。

インストールエクスペリエンスが低いソフトウェアは、Microsoft によって分類された他の "望ましくないソフトウェア" をバンドルまたはダウンロードする可能性があります。

不適切な削除エクスペリエンスを提供するソフトウェアは、次の場合があります。

  • アンインストールしようとすると、混乱や誤解を招くプロンプトやポップアップが表示されます。

  • プログラムの追加と削除などの標準のインストール/アンインストール機能を使用できません。

広告と広告

ソフトウェア自体の外部で製品またはサービスを促進するソフトウェアは、コンピューティング エクスペリエンスに干渉する可能性があります。 広告を表示するソフトウェアをインストールする場合は、明確な選択と制御が必要です。

ソフトウェアによって提示される広告は、次の必要があります。

  • ユーザーが広告を閉じる明確な方法を含めます。 広告を閉じる行為は、別の広告を開かないようにしてください。

  • 広告を表示したソフトウェアの名前を含めます。

これらの広告を表示するソフトウェアは、次の必要があります。

  • 表示される広告と同じ名前を使用して、ソフトウェアの標準的なアンインストール方法を指定します。

表示される広告は、次の必要があります。

  • Web サイトのコンテンツと区別できるようにします。

  • 誤解、欺く、混乱しない。

  • 悪意のあるコードが含まれていません。

  • ファイルダウンロードを呼び出さない。

消費者の意見

Microsoft は、 分析用のソフトウェアを提出できるアナリストとインテリジェンス システムの世界的なネットワークを維持しています。 お客様の参加は、Microsoft が新しいマルウェアを迅速に特定するのに役立ちます。 分析後、Microsoft は、記述された条件を満たすソフトウェアのセキュリティ インテリジェンスを作成します。 このセキュリティ インテリジェンスは、ソフトウェアをマルウェアとして識別し、Microsoft Defenderウイルス対策やその他の Microsoft マルウェア対策ソリューションを通じてすべてのユーザーが利用できます。

改ざんソフトウェア

改ざんソフトウェアには、デバイスの全体的なセキュリティ レベルを直接的または間接的に低下させる広範なツールと脅威が含まれます。 一般的な改ざんアクションの例を次に示します。

  • セキュリティ ソフトウェアの無効化またはアンインストール: ウイルス対策、EDR、ネットワーク保護システムなどのセキュリティ ソフトウェアを無効またはアンインストールすることで、防御メカニズムを回避しようとするツールと脅威。 これらのアクションにより、システムはさらなる攻撃に対して脆弱になります。

  • オペレーティング システムの機能と設定の悪用: オペレーティング システム内の機能と設定を悪用してセキュリティを侵害するツールと脅威。 たとえば、次のような情報が含まれます。

    • ファイアウォールの不正使用: ファイアウォール コンポーネントを使用して、セキュリティ ソフトウェアを間接的に改ざんしたり、正当なネットワーク接続をブロックしたりして、不正アクセスやデータ流出を可能にする可能性があります。

    • DNS 操作: DNS 設定を改ざんしてトラフィックをリダイレクトしたり、セキュリティ更新プログラムをブロックしたりして、システムを悪意のあるアクティビティにさらしたままにします。

    • セーフ モードの悪用: 正当なセーフ モード設定を利用して、セキュリティ ソリューションがバイパスされる可能性がある状態にデバイスを配置し、不正なアクセスやマルウェアの実行を許可します。

  • システム コンポーネントの操作: デバイスの全体的なセキュリティと安定性を損なうために、カーネル ドライバーやシステム サービスなどの重要なシステム コンポーネントを対象とするツールと脅威。

  • 特権のエスカレーション: ユーザー特権を昇格してシステムのリソースを制御し、セキュリティ設定を操作する可能性のある手法。

  • セキュリティ更新プログラムの妨害: セキュリティ更新プログラムのブロックまたは操作を試み、システムは既知の脆弱性に対して脆弱なままにします。

  • 重要なサービスの中断: 重要なシステム サービスまたはプロセスを中断するアクション。システムの不安定性を引き起こし、他の攻撃の扉を開く可能性があります。

  • 承認されていないレジストリの変更: デバイスのセキュリティ体制に影響を与える Windows レジストリまたはシステム設定の変更。

  • ブート プロセスの改ざん: 起動プロセスを操作する作業により、起動時に悪意のあるコードが読み込まれる可能性があります。

望ましくない可能性のあるアプリケーション (PUA)

当社の PUA 保護は、ユーザーの生産性を保護し、楽しい Windows エクスペリエンスを確保することを目的としています。 この保護は、生産性が高く、パフォーマンスが高く、快適な Windows エクスペリエンスを提供するのに役立ちます。 Chromium ベースの Microsoft Edge および Microsoft Defender ウイルス対策で PUA 保護を有効にする方法については、「望ましくない可能性のあるアプリケーションを検出してブロックする」を参照してください。

PUA はマルウェアとは見なされません。

Microsoft では、特定のカテゴリとカテゴリ定義を使用して、ソフトウェアを PUA として分類します。

  • 広告ソフトウェア: 広告やプロモーションを表示するソフトウェア、またはそれ以外のソフトウェアで他の製品やサービスの調査を完了するように求めるソフトウェア。 これには、Web ページに広告を挿入するソフトウェアが含まれます。

  • Torrent ソフトウェア (エンタープライズのみ): ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア。

  • 暗号化ソフトウェア (エンタープライズのみ): デバイス リソースを使用して暗号通貨をマイニングするソフトウェア。

  • バンドル ソフトウェア: 同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア。 また、このドキュメントに記載されている条件に基づいて PUA として適格な他のソフトウェアをインストールすることを提供するソフトウェア。

  • マーケティング ソフトウェア: マーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア。

  • 回避ソフトウェア: セキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア。

  • 業界の評判が低い: 信頼できるセキュリティ プロバイダーがセキュリティ製品で検出するソフトウェア。 セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。 Microsoft とセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。

脆弱なソフトウェア

脆弱なソフトウェアは、さまざまな悪意のある破壊的なアクションを実行するために攻撃者によって悪用される可能性のあるセキュリティ上の欠陥や弱点を持つアプリケーションまたはコードです。 これらの脆弱性は、意図しないコーディング エラーや設計上の欠陥に起因する可能性があり、悪用された場合、不正アクセス、特権エスカレーション、改ざんなどの有害なアクティビティにつながる可能性があります。

脆弱なドライバー

カーネルで実行されているコードに対して厳格な要件とレビューが課されているにもかかわらず、デバイス ドライバーはさまざまな種類の脆弱性やバグの影響を受けやすいままです。 たとえば、メモリの破損や任意の読み取りおよび書き込みのバグが含まれます。攻撃者は、より重大な悪意のある破壊的なアクション (通常はユーザー モードで制限されるアクション) を実行するために悪用される可能性があります。 デバイスで重要なプロセスを終了することは、このような悪意のあるアクションの一例です。