今回は、Microsoft Defenderの機能の内、望ましくない可能性のあるアプリケーション(PUA)を検出してブロックするPUA保護について調べたことを記載します。また、実際にWindows端末とMac端末で有効化を行い、動作検証を実施していきたいと思います。
PUA保護とは
望ましくない可能性のあるアプリケーション(PUA)とは、マシンの実行速度が低下したり、予期しない広告が表示されたり、予期しないまたは望ましくない可能性のある他のソフトウェアをインストールしようとするソフトウェアのことを指します。
ウィルスやマルウェア、その他の種類の脅威とは見なされませんが、マシンのパフォーマンス等に悪影響を与える可能性があります。以下、PUAとして分類される対象になります。
| 対象 | 説明 |
|---|---|
| 広告ソフトウェア | 広告やプロモーションを表示するソフトウェア、またはそれ以外のソフトウェアで他の製品やサービスの調査を完了するように求めるソフトウェア |
| Torrent ソフトウェア (エンタープライズのみ) | ピアツーピアのファイル共有テクノロジで特に使用される急流やその他のファイルを作成またはダウンロードするために使用されるソフトウェア |
| 暗号化ソフトウェア (エンタープライズのみ) | デバイス リソースを使用して暗号通貨をマイニングするソフトウェア |
| バンドル ソフトウェア | 同じエンティティによって開発されていない、またはソフトウェアを実行するために必要ではない他のソフトウェアをインストールすることを提供するソフトウェア |
| マーケティング ソフトウェア | マーケティング調査のために、ユーザーの活動を監視し、それ以外のアプリケーションまたはサービスに送信するソフトウェア |
| 回避ソフトウェア | セキュリティ製品の存在下で動作が異なるソフトウェアを含め、セキュリティ製品による検出を積極的に回避しようとするソフトウェア |
| 業界の評判が低い | 信頼できるセキュリティ プロバイダーがセキュリティ製品で検出するソフトウェア。 セキュリティ業界は、顧客の保護とエクスペリエンスの向上に専念しています。 Microsoft とセキュリティ業界の他の組織は、分析したファイルに関する知識を継続的に交換して、ユーザーに可能な限り最高の保護を提供します。 |
PUAはマルウェアに感染するリスクを高めたり、マルウェア感染の特定を困難にしたり、IT管理者がそれらをクリーンアップするための時間と労力を費やす原因になる可能性があります。
Microsoft DefenderのPUA保護とは、上記のような望ましくないと見なされるアプリケーションを監査またはブロックするための機能であり、マシンのパフォーマンス向上やユーザーの生産性を保護するのに役立ちます。
PUA保護は、「Chromium ベースのMicrosoft Edge」と「Microsoft Defender ウイルス対策」で提供されています。これらの機能は、以下のような異なる役割があります。
| 機能 | 説明 |
|---|---|
| Microsoft EdgeのPUA保護 | ・Edgeブラウザ上でユーザーが潜在的に不要なアプリケーションのダウンロードリンクをクリックしたとき、またはそのようなアプリケーションをダウンロードしようとしたときに警告を表示もしくはブロックします。 ・Webブラウジングでのダウンロードを防ぐことを目的としています。 ・Microsoftの「SmartScreen」技術を基盤としています。 |
| Microsoft Defender ウイルス対策のPUA保護 | ・システム全体のセキュリティ対策の一部として機能します。 ・システム上のファイルやプロセス、ダウンロードされたファイルなど、多くのエリアで潜在的に不要なアプリケーションを検出します。 ・ユーザーがダウンロードやインストールを試みる前に、または既にインストールされているPUAを検出すると、それを隔離、削除、またはブロックします。 |
簡単に整理しますと、Microsoft EdgeのPUA保護は主にWebブラウジング中のダウンロードに焦点を当てているのに対し、Microsoft Defender ウィルス対策のPUA保護はシステム全体の保護として機能し、より広範囲な対策を提供します。
PUA保護の有効化(Windows)
Windows端末に対してPUA保護を有効化する方法について確認していきます。有効化する方法は様々な選択肢がありますが、今回は以下の方法について記載します。
※Windows端末の場合はMicrosoft Defender for Endpointにオンボードされていない場合でも、PUA保護を利用することができます。ただし、高度なセキュリティ管理や監視、分析などを行うためにはオンボーディングが必要です。
| 機能 | 有効化方法 |
|---|---|
| Microsoft EdgeのPUA保護 | ①Microsoft Edgeのブラウザ設定画面で有効化 ②Intuneの構成プロファイルで有効化 |
| Microsoft Defender ウイルス対策のPUA保護 | ①PowerShellコマンドで有効化 ②Intuneのエンドポイントセキュリティで有効化 |
望ましくない可能性のあるアプリケーションを検出してブロックする
Microsoft EdgeのPUA保護
Microsoft Edge (Chromium ベース、バージョン 80.0.361.50以上) のPUA保護は既定でオフになっています。また、Microsoft Defenderの「SmartScreen」の技術によってPUAに関連付けられたURLから保護を行います。そのため、Microsoft EdgeのPUA保護を正しく利用するためには、SmartScreenも合わせて有効化することが推奨されます。
SmartScreenについては本記事では取り扱いませんので、詳しく知りたい方は以下のMicrosoft 公式ドキュメントをご参照ください。
Microsoft Defender SmartScreen
①Microsoft Edgeのブラウザ設定画面で有効化
1. Microsoft Edgeを起動して設定メニューを開きます。
2. 左メニューで「プライバシー、検索、サービス」を選択し、セキュリティ設定内の「望ましくない可能性のあるアプリをブロックする」をオンにします。
※1つ上の「Microsoft Defender SmartScreen」がオフになっている場合は合わせてオンにしてください。
以上で完了です。
②Intuneの構成プロファイルで有効化
1. Intuneの管理者権限をもつアカウントを使用して、Microsoft Intune 管理センター へアクセスします。
2. [デバイス > 構成プロファイル]へアクセスし、画面上部の「プロファイルの作成」を選択します。
3. プラットフォーム「Windows 10 以降」、プロファイルの種類「テンプレート」を選択し、テンプレート名の中から「管理用テンプレート」を選択して「作成」をクリックします。
4. プロファイル作成の構成設定タブで、「望ましくない可能性のあるアプリをブロックするようにMicrosoft Defender SmartScreenを構成する」の設定値を「有効」に変更します。
以下画像は、SmartScreenも合わせて有効化しているサンプル設定になります。SmartScreenの設定値は、以下のMicrosoft公式ドキュメントの推奨設定を参考にしています。
現在利用可能な Microsoft Defender SmartScreen グループ ポリシーおよびモバイル デバイス管理 (MDM) 設定
以上で完了です。
Microsoft Defender ウイルス対策のPUA保護
Microsoft Defender ウイルス対策はPUA ファイルを検出した場合、それらのダウンロード、移動、実行、またはインストールの試行をブロックすることができます。 ブロックされたPUA ファイルは、検疫に移動されます。こちらの設定値も、私の環境では既定でオフになっていました。
①PowerShellコマンドで有効化
1. PowerShellを起動して、以下のコマンドにて現在の状態を確認します。
> Get-MpPreference | Select-Object PUAProtection出力されるパラメータ値は以下の通りです。
- 0:無効
- 1:ブロック
- 2:監査モード
2. 以下のコマンドで、PUA保護を有効化します。(PowerShellを管理者として起動する必要があります)
> Set-MpPreference -PUAProtection Enabled以下画像はコマンド実行時のイメージになります。
以上で完了です。
②Intuneのエンドポイントセキュリティで有効化
1. Intuneの管理者権限をもつアカウントを使用して、 Microsoft Intune 管理センター へアクセスします。
2. [エンドポイントセキュリティ > ウィルス対策]へアクセスし、「ポリシーの作成」を選択します。
3. プラットフォーム「Windows 10、Windows 11、Windows Server」、プロファイル「Microsoft Defender ウィルス対策」を選択して「作成」をクリックします。
4. 構成設定タブで、PUA保護の設定値を「PUAの保護が有効になります。検出された項目はブロックされます。これらは、他の脅威と共に履歴に表示されます。」を選択します。なお、必要に応じてその他のMicrosoft Defender ウィルス対策の設定も実施してください。
以下画像は、構成設定タブの入力画面の抜粋になります。
以上で完了です。
PUA保護の有効化(Mac)
次に、Mac端末に対してPUA保護を有効化する方法について確認していきます。今回は以下の方法について記載します。
※Windowsとは異なり、Mac OSにはMicrosoft Defender ウィルス対策の機能が組み込まれていないため、Microsoft Defender for Endpointのクライアントを事前にインストールしておく必要があります。詳細は以下のMicrosoft 公式ドキュメントをご参照ください。
Mac 用 Microsoft Defender for Endpoint
| 機能 | 有効化方法 |
|---|---|
| Microsoft EdgeのPUA保護 | ①Microsoft Edgeのブラウザ設定画面で有効化 |
| Microsoft Defender ウイルス対策のPUA保護 | ①ターミナルコマンドで有効化 |
Microsoft EdgeのPUA保護
まずは、Mac端末でMicrosoft EdgeのPUA保護を有効化する方法について記載します。
①Microsoft Edgeのブラウザ設定画面で有効化
こちらの有効化方法はWindows端末の手順と同一になります。
画面イメージも違いはありませんので、本項目は割愛させて頂きます。
Microsoft Defender ウイルス対策のPUA保護
続いて、Microsoft Defender ウィルス対策のPUA保護の有効化について記載します。
①ターミナルコマンドで有効化
1. ターミナルを起動して、以下のコマンドにて現在の状態を確認します。(未設定の場合は出力されません)
> mdatp threat policy list2. 以下のコマンドで、PUA保護を有効化します。
> mdatp threat policy set --type potentially_unwanted_application --action block以下画像はコマンド実行のイメージになります。
以上で完了です。
macOS 上のMicrosoft Defender for Endpointを使用して望ましくない可能性のあるアプリケーションを検出してブロックする
高度な追及によるPUAイベントの確認
ここまでPUA保護の仕様と有効化方法について記載してきました。次は、以下のMicrosoft公式ドキュメントを参考に、実際にPUA保護のデモファイルをダウンロードしてブロックする挙動について確認していきます。今回はWindows端末を使用して検証していきます。
※「高度な追及」を利用するためには、事前にWindows端末をMicrosoft Defender for Endpointにオンボードしておく必要があります。
望ましくない可能性のあるアプリケーション (PUA) のデモンストレーション
1. Microsoft Edgeを起動して、デモサイト にアクセスします。画面中央の「LAUNCH THE TEST」をクリックします。
2. ダウンロードが開始されると、以下画像の通りブロックされたメッセージが出力されました。
3. ダウンロードフォルダを確認します。新規で「未確認 896842.crdownload」というファイルが追加されていました。
4. 次に追加されたファイルをメモ帳アプリで開きます。すると、以下画像のようなメッセージが表示されて起動することをブロックされました。また、少し経過したらダウンロードフォルダから対象ファイルが自動で削除されました。
5. 次に、Microsoft 365 Defender コンソール へアクセスします。「高度な追及」画面を表示してKQLクエリを実行してPUAイベントを確認します。高度な追及について詳しく知りたい方は以下のMicrosoft公式ドキュメントをご参照ください。
Microsoft 365 Defender の高度な捜索により、脅威を積極的に捜索する
6. PUAイベントを確認するKQLクエリは以下の通りです。こちらを入力してクエリを実行します。
DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'7. クエリを実行後、PUAイベントログが出力されることを確認します。以下画像は実際にクエリを実行した際の出力結果になります。今回は検証のため何度か実施しましたので複数のログが出力されましたが、上記の「未確認 896842.crdownload」というファイル名のイベントも登録されていることが確認できました。
(おまけ)Microsoft 365 Defenderのセキュアスコア確認
最後に、PUA保護を有効化したことで、Microsoft 365 Defenderのセキュアスコアが改善するのか確認していきたいと思います。セキュアスコアについては以下のMicrosoft公式ドキュメントをご参照ください。
まず、PUA保護を有効化する前にセキュアスコアの「おすすめの操作」画面にてPUA保護に関する内容が存在するかどうか確認しました。以下画像はその時の画面イメージです。Windows向けとMac向けので各々対策が必要である旨が表示されました。
私の環境では、Windows端末が3台、Mac端末が1台、Microsoft Defender for Endpointに登録されております。それぞれ1台ずつPUA保護が無効になっている状態でした。
有効化を実施した後、改めてセキュアスコアを確認したところ、どちらの項目も状態が「完了」になっておりました。以下画像はその時の画面イメージです。
また、セキュアスコアの履歴より、今回の対応により合計12.00ポイント獲得したことを確認できました。
さいごに
いかがだったでしょうか?今回は、Microsoft DefenderのPUA保護について記載しました。PUA保護の有効化は、ご紹介した方法以外にグループポリシーやConfiguration Managerを使用して実施することもできます。ご自身の環境に最適な方法をご検討ください。また、今回は詳しく記載しなかったMicrosoft Defender SmartScreenについても、改めて調査して記事を書きたいと思います。
参考リンク
- 望ましくない可能性のあるアプリケーションを検出してブロックする
- 望ましくない可能性のあるアプリケーション (PUA)
- Microsoft Defender SmartScreen
- 現在利用可能な Microsoft Defender SmartScreen グループ ポリシーおよびモバイル デバイス管理 (MDM) 設定
- Mac 用 Microsoft Defender for Endpoint
- macOS 上のMicrosoft Defender for Endpointを使用して望ましくない可能性のあるアプリケーションを検出してブロックする
- 望ましくない可能性のあるアプリケーション (PUA) のデモンストレーション
- Microsoft 365 Defender の高度な捜索により、脅威を積極的に捜索する
- 高度な追求を使用して PUA イベントを表示する
- Microsoft セキュア スコア
