Windows DefenderのPUP検出能力を調査

この記事は、2021/08からWindows Defenderに搭載されている『望ましくない可能性のあるアプリのブロック』機能が、標準【無効】から【有効】に初期設定が変わるということで、今までの機能と、追加された機能の差について検証してみようという主旨に沿って記録されています。

どのような条件で行われているかは、→ 当店サイト内で『Windows Defender PUP』を🔍検索 こちらで検索してご覧頂けます。(0) 準備編～(1)今までの機能編をご覧ください。

Windows 10 バージョン 2004以降で追加された機能、『望ましくない可能性のあるアプリのブロック』機能 を【有効】にした場合、PUP/PUAはどの程度検知できるのか？検知できるとしたらどのタイミングでなのか？(1)今までの機能編 と比較しながらご覧いただければと思います。

実験の内容について

『望ましくない可能性のあるアプリのブロック』機能が【有効】な状態で、新しく追加されようとしている各種ソフトウェアを、どの程度検知できるものなのか？を調べます。
予め、『望ましくない可能性のあるアプリのブロック』機能の中の、
✅ アプリをブロック
✅ ダウンロードをブロック
がクリックされ、有効になっている状態で実験しています。

実験結果のマークについて

通常の操作ができてしまった場合は、できたという悪い表示で、阻止できた場合には、できなかった ダウンロード
ダウンロードを開始したタイミングで、『脅威が見つかりました』と通知があり、ダウンロード中断された状態でこちらの判断を仰ぐ状態になります。一般の方でしたらこの表示を無視して先に進むことは考えにくいので、脅威を抑止できたと判断できます。

E-START

できた ダウンロード
できた インストール
できた プログラム実行

Assentive PC Speedscan pro

できた ダウンロード
できた？ インストール　できなかった？
インストーラーは動作してしまい、ほぼ最終処理に近いところまで行われたタイミングで、Windows Defenderが反応し【Misleading:Win32/Lodi】 を検知し報告してきました。少しタイミングが遅れる感じで、インストールに使ったファイル(setup.exe)を、【PUA:Win32/Caypnamer.A!ml】 を報告。先に検出した【Misleading:Win32/Lodi】からのフィードバック評価で検出したのかなという印象でした。
プログラム自体はインストールされてしまっていたので、駆除やアンインストールという作業が必要になるという意味では、インストールできた という判定になります。

総評

『望ましくない可能性のあるアプリのブロック』機能がどの程度役に立つのかという観点で見ますと、検出のタイミングがインストール終了後になってしまうタイミングがあったりと、まだ改善・改良の余地はありますが、Windows Defender だけを使っている方は、ぜひ【有効】にしておくべき機能と思いました。まったく検知できなかったものが、検知できるようになる訳ですので、使っておいて損はないという印象です。

次は、少し趣向を替えて『社外のウィルス対策ソフトを併用した場合のWindows Defenderの振る舞い』について実験した結果を載せます。この記事のシリーズは、→ 当店サイト内で『Windows Defender PUP』を🔍検索 こちらで検索してご覧頂けます。(3) フリーソフトとの相乗効果編もご覧ください。