マルウェア対策スキャン インターフェイス (AMSI)
目的
Windows マルウェア対策スキャン インターフェイス (AMSI) は、アプリケーションとサービスがコンピューターに存在するすべてのマルウェア対策製品と統合できるようにする、汎用性の高いインターフェイス標準です。 AMSI は、エンド ユーザーとそのデータ、アプリケーション、ワークロードに対して強化されたマルウェア保護を提供します。
AMSI はマルウェア対策ベンダーに依存しません。これは、アプリケーションに統合できる今日のマルウェア対策製品によって提供される最も一般的なマルウェアスキャンと保護手法を可能にするように設計されています。 これは、ファイルとメモリ、またはストリームのスキャン、コンテンツ ソース URL/IP 評判チェック、そしてその他の手法を可能にする呼び出し構造をサポートしています。
AMSI では、マルウェア対策ベンダーがさまざまなスキャン要求を関連付けることができるように、セッションの概念もサポートされています。 たとえば、悪意のあるペイロードのさまざまなフラグメントを関連付けて、より情報に基づいた決定を行うことができます。これらのフラグメントを分離して見るだけでは、決定への到達がはるかに困難になります。
AMSI と統合される Windows コンポーネント
AMSI 機能は、Windows 10 のこれらのコンポーネントに統合されています。
- ユーザー アカウント制御または UAC (EXE、COM、MSI、または ActiveX インストールの昇格)
- PowerShell (スクリプト、対話型使用、動的コード評価)
- Windows スクリプト ホスト (wscript.exe と cscript.exe)
- JavaScript および VBScript
- Office VBA マクロ
開発者の対象者とサンプル コード
マルウェア対策スキャン インターフェイスは、2 つの開発者グループが使用するように設計されています。
- アプリ内からマルウェア対策製品を要求するアプリケーション開発者。
- 製品がアプリケーションに最適な機能を持つことを望むマルウェア対策製品のサードパーティの作成者。
詳細については、「開発者の対象者とサンプル コード」を参照してください。
Note
Windows 10 バージョン 1903 以降では、AMSI プロバイダー DLL がオーセンティコード署名されていない場合は、(ホスト マシンの構成方法に応じて) 読み込まれていない可能性があります。 詳細については、IAntimalwareProvider インターフェイスを参照してください。
このセクションの内容
| トピック | 説明 |
|---|---|
| AMSI がマルウェアからの防御にどのように役立つのか | アプリケーション開発者は、マルウェア防御に積極的に参加できます。 具体的には、動的なスクリプトベースのマルウェアや、従来とは異なるサイバー攻撃から顧客を保護するのに役立てることができます。 |
| 開発者の対象者、サンプル | このトピックでは、マルウェア対策スキャン インターフェイスを設計する開発者グループについて説明します。 |
| マルウェア対策スキャン インターフェイスのリファレンス | AMSI API のリスト、COM インターフェイス、およびその他のプログラミング要素。 |