Defenderの元々の能力を確かめよう

この記事は、2021/08からWindows Defenderに搭載されている『望ましくない可能性のあるアプリのブロック』機能が、標準【無効】から【有効】に初期設定が変わるということで、今までの機能と、追加された機能の差について検証してみようという主旨に沿って記録されています。

どのような条件で行われているかは、→ 当店サイト内で『Windows Defender PUP』を🔍検索 こちらで検索してご覧頂けます。(0) 準備編をご覧ください。

始めにWindows 10 バージョン 2004以前の機能、『望ましくない可能性のあるアプリのブロック』機能 が無い(無効にした)条件で、PUP/PUAはどの程度検知できるのか？検知できるとしたらどのタイミングでなのか？

実験の内容について

『望ましくない可能性のあるアプリのブロック』機能が【無効】な状態で、どの程度検知できるものなのか？を調べます。
予め、『望ましくない可能性のあるアプリのブロック』機能の中の、
□ アプリをブロック
□ ダウンロードをブロック
のクリックが無い状態で実験しています。

また、インストールが完了したあとで、『望ましくない可能性のあるアプリのブロック』機能を【有効】にしてみた時に、既に入ってしまっているものに対してどのような振る舞いをするのかも実験しています。

実験結果のマークについて

通常の操作ができてしまった場合は、できたという悪い表示で、阻止できた場合には、できなかったという良い表示で記録します。

WinZip Driver Updater

できた ダウンロード
できた インストール
できた プログラム実行
全てにおいて、何も検知されずにプログラムの動作が始まりました。

E-START

できた ダウンロード
できた インストール
できた プログラム実行
ブラウザーに追加される拡張機能『買い物ポケット』も含めて全てインストールされました。

Assentive PC Speedscan pro

できた ダウンロード
できなかった インストール
セットアップ・プログラムで途中で停止し、いつまで待っても完了しませんでした。
Windows Defenderが介入して停止させたようには見えなかったので、このプログラム自身の不具合である可能性があります。インストーラーを停止させて確認しましたが、プログラムは正しくインストールされていませんでした。

ここまでの総括

『望ましくない可能性のあるアプリのブロック』機能が【無効】な状態でどの程度検知できるものかを調べたわけですが、ほぼ全部するっとインストールされてしまいました。今までのWindows Defenderには『ダウンロード時やインストール時に、事前に検知する能力はない』という結論になりました。

二つ目の実験について

すでにWindows 10内に『当店のお客様が駆除やアンインストールを希望することが多いソフトウェア』がインストールされている状況において、それらのソフトウェアを検知できるのか？どのような通知ができるのか？を調べてみました。
調査方法は、『望ましくない可能性のあるアプリのブロック』機能を【有効】に設定したあと、(C)ドライブ全体をスキャンする方法で、どのデータを検知するのか、検知できないのか、記録を取ります。

WinZip Driver Updater

検出 インストールファイル
インストールに使ったファイルだけは【PUA:Win32/Presenoker】という名称で検知しています。
PUA関連であることを検知しましたが、ダウンロード時には(自動的に)検知できなかったのが残念でした。インストールしたあとでsetupがおかしいよ、って言われてもしょうがないですものね。

E-START

検出されず
何も検知されませんでした。

Assentive PC Speedscan pro

そもそもインストールが失敗しているので、この項目では記録なしです。

二つ目の実験結果について

インストールしまっているものについては、検出ができないのは今までのセキュリティー対策ソフトに共通する振る舞いです。市販されているウィルス対策ソフトなども、少し前の情報にはなりますが、インストール用のファイルを検知できることはあっても、インストールされてしまった部分への検知が弱かった記憶があります。

総評

『望ましくない可能性のあるアプリのブロック』機能が【無効】な状態で、かつ、ご自身で用意した別のウィルス対策ソフトなどが導入されていない (= Windows Defenderだけで防御していた)場合は、検出能力が低い状態だったと言わざるを得ません。この『望ましくない可能性のあるアプリのブロック』機能は、バージョン 2004以降で導入されていましたので、初期段階から【有効】にして使っていた場合は、それ以降は検出機能がある程度動作していたと期待できます。
その検出結果については、(2) PUP検出機能編を参照ください。→ 当店サイト内で『Windows Defender PUP』を🔍検索 こちらで検索してご覧頂けます。