マルウェア対策スキャン インターフェイス (AMSI)
目的
Windows マルウェア対策スキャン インターフェイス (AMSI) は、アプリケーションとサービスがコンピューターに存在するマルウェア対策製品と統合できるようにする、汎用性の高いインターフェイス標準です。 AMSI は、エンド ユーザーとそのデータ、アプリケーション、ワークロードに対して強化されたマルウェア保護を提供します。
AMSI はマルウェア対策ベンダーに依存しません。これは、アプリケーションに統合できる今日のマルウェア対策製品によって提供される最も一般的なマルウェアスキャンと保護手法を可能にするように設計されています。 これは、ファイルとメモリまたはストリームのスキャン、コンテンツ ソース URL/IP 評判チェック、およびその他の手法を可能にする呼び出し構造をサポートしています。
AMSI では、マルウェア対策ベンダーがさまざまなスキャン要求を関連付けることができるように、セッションの概念もサポートされています。 たとえば、悪意のあるペイロードのさまざまなフラグメントを関連付けて、情報に基づいた意思決定を行うことができます。これらのフラグメントを分離して見るだけでは、到達がはるかに困難になります。
AMSI と統合される Windows コンポーネント
AMSI 機能は、Windows 10 のこれらのコンポーネントに統合されています。
- ユーザー アカウント制御または UAC (EXE、COM、MSI、または ActiveX インストールの昇格)
- PowerShell (スクリプト、対話型使用、動的コード評価)
- Windows スクリプト ホスト (wscript.exe と cscript.exe)
- JavaScript と VBScript
- Office VBA マクロ
開発者対象ユーザーとサンプル コード
マルウェア対策スキャン インターフェイスは、2 つの開発者グループが使用するように設計されています。
- アプリ内からマルウェア対策製品を要求するアプリケーション開発者。
- 製品がアプリケーションに最適な機能を提供することを望むマルウェア対策製品のサードパーティの作成者。
詳細については、「開発者対象ユーザー」とサンプル コードのを参照してください。
手記
Windows 10 バージョン 1903 以降では、AMSI プロバイダー DLL が Authenticode 署名されていない場合は、(ホスト マシンの構成方法に応じて) 読み込まれていない可能性があります。 詳細については、IAntimalwareProviderインターフェイスの を参照してください。
このセクションでは、次の操作を行います。
| 話題 | 形容 |
|---|---|
| マルウェア からの防御に AMSI がどのように役立つのか | アプリケーション開発者は、マルウェア対策に積極的に参加できます。 具体的には、動的なスクリプトベースのマルウェアや、従来とは異なるサイバー攻撃から顧客を保護できます。 |
| 開発者の対象ユーザー 、サンプル | このトピックでは、マルウェア対策スキャン インターフェイスを設計する開発者のグループについて説明します。 |
| マルウェア対策スキャン インターフェイス リファレンス | AMSI API の列挙体、COM インターフェイス、およびその他のプログラミング要素。 |