Windows Defender がスパイウェアを特定する方法スパイウェアを特定して分析する作業は、複雑な難問です。 新しい形のスパイウェアは次々と開発されています。また、スパイウェアを悪意のある迷惑なものにしているのと同じ技術が、ウイルス対策ソフトウェアなど、ユーザーがコンピュータに保存して使用するソフトウェアにも使用されています。 ソフトウェアを使用しても、ユーザーが保存を望むプログラムと削除を望むプログラムを必ず選別できるとは限りません。 マイクロソフトの戦略では、次の 2 つの方法でこの難問に対処しています。 1. | 業界の他のリーダー的企業と協力して、スパイウェアの特定と分析を行う最善の方法を共有する。 | 2. | マイクロソフトのユーザーが、コンピュータにダウンロードしてインストールできるソフトウェアかどうかを判断するために必要な情報とツールを、いつでも使えるようにする。 |
悪意のあるソフトウェアという用語は、違法な動作、ウイルス性の動作、不正な動作、または有害な動作を示すプログラムのことを指します。 Windows Defender は、既知の悪意のあるスパイウェア プログラムを特定して、ブロックします。 正当なものと特定されたプログラムについては、インストールするかどうかをユーザーに確認し、分析と定義がまだ行われていないプログラムについては、インストールしないことを勧めます。 また、マイクロソフトが設立した世界的なネットワークに参加することもできます。このネットワークでは、ユーザーは新しいスパイウェアまたは迷惑ソフトウェアの疑いのあるプログラムを送信して、マイクロソフトの調査員による分析を求めることができます。 このネットワークは、マイクロソフトが悪意のあるプログラムを特定して Windows Defender の定義リストに追加する作業に役立っています。 分析の結果、有害と判断されたソフトウェアは、マイクロソフトのスパイウェア定義ライブラリに追加されます。 この定義ライブラリには、スパイウェアの恐れがあるファイルや設定の膨大なデータベースが収録されています。 マイクロソフトの調査員は、新しい脅威を特定すると新しい定義を作成して、ライブラリに追加します。 マイクロソフトでは、定義の更新を定期的にリリースして、ユーザーがコンピュータや個人情報を保護する役に立つようにしています。 Windows Defender のスパイウェア対策サイクルの図を参照してください。 マイクロソフトの調査員がソフトウェア プログラムを分析する方法マイクロソフトの調査員は、次のような複数の観点からソフトウェアを検査します。 | • | プログラムのコンテキスト、目的、およびソース。 | | • | プログラムが示す動作。 | | • | ユーザーの意見を始め、そのソフトウェアがコンピュータのパフォーマンス、ユーザーのセキュリティ、プライバシーに及ぼす影響など、幅広い条件に基づく評価。 |
(新しい形のスパイウェアなどの迷惑なソフトウェアの開発と配布は、急速に進んでいます。 そのため、マイクロソフトは、事前の通知や発表なしに分析の条件を調整、拡大、および更新する権利を保有しています。) ソフトウェアのコンテキストと目的
スパイウェアに関連付けられている動作の多くは、正当な目的でも使用されています。 たとえば、スパイウェアは通常自動的に起動しますが、 このことはウイルス対策ソフトウェアやファイアウォール ソフトウェアにも当てはまります。 どちらも、ロードされた時点で自動的に起動するように設定することができ ("自動スタート" と呼ばれている機能)、どちらもユーザーの都合に合わせて自動更新することができます。 ただし、スパイウェアと正当なソフトウェアには 1 つ重要な違いがあり、正当なソフトウェアでは、こうした設定のオフ/オンの切り替え方法や設定の変更方法が明確に示されています。 ソフトウェアのソース
マイクロソフトは、特定のソフトウェア ベンダおよびそのサードパーティ関連会社がインストールしたプログラムの動作も確認します。 調査員は、ベンダとその関連会社自体についても、定義ライブラリに含めるかどうかを判定します。 ソフトウェアの動作
ソフトウェアの動作は、その動作が引き起こす可能性のある危害や中断の程度で評価されます。 たとえば、ワームのような動作は、きわめて危険と評価されます。 ポップアップ動作 ("アドウェア") は、危害を及ぼす可能性は低いものの、ユーザーの作業を妨害する可能性があるとみなされます。 5 つの評価基準マイクロソフトの調査員は次の基準に従って、特定のプログラムを検出対象として定義ライブラリに追加するかどうかを判断し、そのプログラムに付与する分類の種類、リスク レベル、および推奨事項を決定します。 | • | 悪意のある動作。 ユーザーに通知することもユーザーの同意を得ることもせずに、ユーザーのコンピュータでプロセスやプログラムを実行します。 プログラムがコンピュータ上で動作している間、このプログラムが実行するアクションをユーザーは制御できません。 ユーザーは、このプログラムをアンインストールすることも削除することもできません。 | | • | プライバシー。 明確な同意なしに、ユーザーの個人情報および行動履歴 (習慣的な Web ブラウズ動作など) を収集し、使用し、または送信します。 | | • | セキュリティ。 ユーザーのコンピュータのセキュリティ機能を回避または無効化することを試みるか、または別の方法によってコンピュータのセキュリティを侵害します。 | | • | パフォーマンス。 コンピュータの処理速度を遅くしたり、生産性を低下させたり、オペレーティング システムを破壊するため、ユーザーのコンピューティング環境のパフォーマンス、信頼性、および品質が弱体化されます。 | | • | 業界および消費者の意見。 ユーザーのコンピューティング環境にリスクをもたらす可能性のある新しい動作やプログラムを特定するための主要な要因として、ソフトウェア業界や個人ユーザーからの意見を考慮に入れます。 |
悪意のある動作 : 通知もなく同意を得ることもしないプログラムの動作内容やプログラムをアクティブにするかどうかも含めて、コンピュータ上で何が行われているのかは、ユーザーに通知される必要があります。 正しく通知を行わないソフトウェアの特徴は、次のとおりです。 | • | 発行者、発信元 Web サイト、およびその他の類似情報が提供されない。 | | • | ユーザーの通常のコンピューティング環境の中で、エンドユーザー ライセンス契約が表示されない。 | | • | プログラムの動作およびその目的や意図が、明確に通知されない。 | | • | プログラムがアクティブになった時点でそのことが明確に示されない (プログラムの存在を隠そうとしたり偽装しようとする)。 |
正しく同意を得ないソフトウェアの特徴は、次のとおりです。 | • | ユーザーの許可、確認、または同意なしに、ソフトウェアのインストール、再インストール、または削除を行う。 これには、ソフトウェア ベンダのサードパーティ関連会社による対応も含まれます。 | | • | ユーザーの同意なしに、送信接続 (モデム、インターネットなど) を開始する。 | | • | 主要プログラムとの明確な関連性を示さずに他のソフトウェアをインストールする。 | | • | ユーザーが削除したレジストリ キーやファイル エントリを復元する。 | | • | ライセンス契約条項に記載されている以外のユーザー固有の情報を収集することに対して、オプトインを明確に選択できない。 ライセンス契約条項の存在をユーザーに通知するだけでは、プログラムに含まれる機能について同意を得るために講じる手段として十分なものとはみなされません。 |
悪意のある動作 : 制御できないユーザーは、コンピュータ上のプログラムを制御できる必要があります。 プログラムを開始して停止できる必要があり、それができない場合は、プログラムの認証を破棄できる必要があります。 制御ができないソフトウェアの特徴は、次のとおりです。 | • | ユーザーがプログラムを閉じたり削除したりしようとすると拒否される。 | | • | 認証なしにブラウザ ウィンドウを開く。 | | • | ユーザーが手動で終了できないプロセスを開始する。 | | • | 明確な通知もユーザーの同意もなく、検索、クエリ、ユーザーが入力した URL、または他のサイトへのアクセスをリダイレクトまたはブロックする。 | | • | ユーザーの同意なしに、自動スタートおよび自動更新の動作を開始する。 |
自動スタートと自動更新
このような機能があると、ユーザーは制御力を奪われ、プログラム側の制御力が増す可能性があります。 この動作は、本来は悪意のあるものでも誤ったものでもありませんが、問題の原因になる場合があります。 また、このようなプログラムには通常ユーザー インターフェイスがないので、プログラムが実行中であることや、オフにする方法、またはオフにできるかどうかも、ユーザーには不明です。 プログラムのコンテキストや目的を分析する上で、マイクロソフトは、プログラムが動作していることをユーザーがどこまで知っているかという点だけでなく、プログラムの機能をユーザーが適切なレベルで制御できるかという点も考慮しています。 ポップアップと広告表示プログラム
商業目的で製品やサービスを宣伝するポップアップおよびその他の広告プログラムは、ユーザーのコンピューティング環境に干渉するソフトウェアとしては、広く使用されている形態のものです。 ポップアップおよびその他の広告プログラムには、次のようなものがあります。 | • | プログラムのコンテキスト、Web サイト、またはポップアップが宣伝しているその他のソースとは無関係に表示される。 | | • | ソースの属性を明確に提示しない。 | | • | 偽りの内容または不正な内容が含まれている。 | | • | ユーザーは限られた部分しか制御できないか何も制限できないため、簡単にプログラムを閉じたり削除したりできない。 |
Windows Defender では、ポップアップが属性を提供するかどうかに関わらず、使用中のプログラムのコンテキストから外れて表示される自動ポップアップ広告が存在する場合、ユーザーに警告が通知されます。 ポップアップを生成する、ユーザーが明確に制御できないプログラムが存在する場合にも、ユーザーに通知が行われます。 悪意のある動作 : インストールと削除ユーザーは、プログラムを開始して停止できる必要があり、それができない場合はプログラムの認証を破棄できる必要があります。 プログラムは、インストールされる前にユーザーから適切な同意を得るようになっている必要があります。 また、プログラムをインストール、アンインストール、または無効にする方法は、明確で分かりやすいものである必要があります。 インストール操作を正しく実行できないソフトウェアの特徴は、次のとおりです。 | • | 他のソフトウェア プログラムと混同する可能性のある名称、または、そのような誤解を招くかそのように思わせようとしている名称が使用されている。 | | • | 不明なディレクトリにインストールされる。 | | • | ユーザーがほとんどセットアップできない状態で ActiveX コントロールがインストールされる。 | | • | ソフトウェアをダウンロードまたはインストールするように誘導する不正なメッセージが表示される。 | | • | ダウンロード対象のソフトウェアにバンドルされている追加のソフトウェアが隠されているか、特定できないようになっている。 |
削除操作を正しく実行できないソフトウェアには、次のようなものがあります。 | • | プログラムのアンインストールに関するヘルプ情報が提供されない。 | | • |
[プログラムの追加と削除] などの標準的なインストール/アンインストール機能を使用できない。 | | • | Web サイトからアンインストーラを別途ダウンロードする必要があるか、インターネットに接続してアンインストールを実行する必要がある。 | | • | ソフトウェアをアンインストールしようとすると、混乱を招くメッセージや不正なメッセージが多数表示される。 | | • | ユーザーが必要なときにプログラムを削除したり無効にしたりできない。 | | • | システムの復元ユーティリティやコントロール パネル、またはその機能の一部を削除するか、ユーザーに見えないようにする。 | | • | ユーザーに通知することも同意を得ることもせずに、他のソフトウェアを削除したり無効にする。 |
バンドル プログラム 一部のソフトウェアには、追加のソフトウェアが "バンドル" されています。このような追加ソフトウェアには、主要ソフトウェアに関連する特別な機能が含まれている場合もあれば、無関係な機能が含まれている場合もあります。 ライセンス契約では、バンドルに含まれるすべてのソフトウェアに関連した条項が記載されている必要があります。 プログラムでは、ソフトウェアを機能させるときに同時に実行する必要のあるバンドル プログラムと、ライセンス契約の記載内容のその他の実際的な意味がすべて一覧表示される必要があります。 バンドルされたソフトウェアは、バンドル プログラム間の関係がユーザーに明確に示されていない場合、悪意のあるソフトウェアである可能性があります。 次にその例を示します。 | • | ユーザーは、プログラム X、Y、および Z がプログラム A にバンドルされたコンポーネントであるかどうかを知っている必要があります。そうでない場合、これらのプログラムがなぜコンピュータに存在するのか、ユーザーにはわかりません (ユーザーには、プログラム A がインストールされていることしかわかりません)。 | | • | ユーザーがプログラム A を削除するときには、プログラム X、Y、および Z の削除も選択できる必要があります。 | | • | プログラム X、Y、および Z をコンピュータにインストールしないとプログラム A が機能しない場合は、プログラム A をインストールする前にユーザーにそのことが通知される必要があります。 |
プライバシーユーザーは通常、自分の個人情報を自分の管理下に置けることを望みます。 個人情報の収集方法、使用方法、および送信方法 (送信相手が個人か企業か、または商取引上の処理かに関係なく) を自分で決定できることを望んでいます。 プライバシーには、不要な通信をしなくて済むことも含まれます。 プライバシーを正しく扱っていないソフトウェアの特徴は、次のとおりです。 | • | プログラムまたはサイトが使用しているデータ収集およびその他の行為についての説明が記載されたプライバシー ポリシーに簡単にアクセスできない。 | | • | 明確なユーザーの許可なしに、Web ブラウズ動作を追跡する。 | | • | アンインストールを実行すると、処理の前にユーザーの電子メール アドレスや連絡先情報などの追加情報が要求される。 | | • | 通知や同意なしに、ユーザーの通信を監視、リダイレクト、または変更できる。 | | • | データの暗号化、認証、または否認防止を解除するデコーダが、認証なしに採用されている。 |
オペレーティング システムの外部に常駐しながら、ユーザーのプライバシーに影響を与えることができるプログラムも存在します。 このようなプログラムには、たとえば次のものがありますが、これらに限定されません。 | • | 監視プログラム : 入力されたキー操作や表示された画面、またはその他の特定可能な要素を記録するという方法で、ユーザーの動作を監視するソフトウェア。 | | • | リモート アクセス プログラム : 離れた場所からコンピュータを制御できるように設計されたソフトウェア。 |
注 : 監視プログラムもリモート アクセス プログラムも、悪意のあるものとは限りません。 保護者による制限機能ではキー操作を監視できますし、リモート アクセス プログラムは、基本的なコンピュータ構成へのアドオンとしてビジネス用コンピュータの所有者や管理者がインストールすることが珍しくありません。 しかし、こうしたプログラムは、ユーザーがその存在を知らない場合や予期していない場合には、ユーザーのプライバシーを危険にさらす可能性があります。 セキュリティユーザーは、頻度が増し高度化が進む一方のネットワーク攻撃にさらされても抵抗力のある状態が保持されるという期待を、システムに対して持っていられる必要があります。 システムとデータの機密性、完全性、および可用性を維持できる必要があります。 セキュリティを正しく扱っていないソフトウェアの特徴は、次のとおりです。 | • | ファイアウォール、ウイルス対策ソフトウェア、またはその他のセキュリティ ソフトウェアを無効にするか、その動作を妨害する。 | | • | セキュリティの脆弱性を利用する。 | | • | ユーザーの同意なしに、オペレーティング システムやソフトウェアのセキュリティ設定 (Web ブラウザのセキュリティ設定など) を変更する。 | | • | ユーザーの同意なしに、主要な構成を変更する (スタートアップ レジストリ、ホスト ファイルまたはセキュリティ設定の修正など)。 | | • | ユーザーの同意なしに、送信接続 (モデムやインターネット接続など) を開始する。 | | • | プロセスがユーザーに表示されないか、コンピュータのシステム ツールからアクセスできないモードで実行される。 | | • | ユーザーに知らせずに、コンピュータのポートを開く。 | | • | 違法にまたは倫理に反する手段でソフトウェアを配布するように、第三者を誘う。 このようなソフトウェアには、悪意のあるソフトウェアも含まれますが、これだけに限定されません。 |
悪意のあるソフトウェア 上に挙げたセキュリティに関連する動作は、悪意のあるソフトウェアの特徴でもあります。 悪意のあるソフトウェアには次のような種類がありますが、これだけに限定されません。 | • | バックドア : このソフトウェアを使用すると、マニュアルに記載されていない方法で、プログラム、オンライン サービス、またはコンピュータ システム全体にアクセスできます。 | | • | ダイヤラ : このソフトウェアは、コンピュータのダイヤルアップ設定にインストールされ、ユーザーの知らないうちに番号をダイヤルします。 | | • | ワーム : このソフトウェアは、人間が操作しなくても自動的にネットワーク上でコンピュータに感染していきます。 感染すると、ワームはコンピュータのメモリに常駐して、有害なタスクを実行します。 | | • | トロイの木馬 : このソフトウェアは最初、役に立つか害のないソフトウェアのように見えるため、ユーザーは騙されてこれを実行します。 起動すると、ハッカーが "バック ドア" からコンピュータにアクセスできるようになったり、ハード ディスクのファイルが破壊されたり、その他の悪意のあるタスクが実行されます。 | | • | リモート アクセス型トロイの木馬 (RAT) : この型のトロイの木馬を使用すると、ハッカーは、インターネット接続を介して、コンピュータ管理者の権限でコンピュータをリモートで制御できるようになります。 | | • | フィッシング : このソフトウェアは、定評のある正当な企業が作成したように見える詐欺メールや詐欺 Web ページを作成する場合に使用されます。 目的は、ユーザーにプライベートな情報を入力させて、身元情報を盗み出せるようにすることです。 |
スパイウェア ベースの脅威は進化を続けており、ますます複雑化、高度化して、急速に広がっています。 悪意のある動作を示す新しい脅威、既存の脅威、出現しつつある脅威に関して、ユーザーに警告することが重要です。 パフォーマンスコンピュータのパフォーマンスを損なうソフトウェアの動作には、次のようなものがあります。 | • | システム リソースを大量に浪費させて、コンピュータのパフォーマンスを著しく低下させる。 | | • | インターネット接続で、異常に多量の帯域幅を消費する。 | | • | コンピュータの信頼性を低下させる。 | | • | ソフトウェア プログラムとオペレーティング システムに互換性がないように見せかける。 | | • | ユーザーのコンピューティング環境の全体的な品質を低下させる。 |
Windows Defender を使用すると、コンピューティング環境のパフォーマンスを大幅に低下させるソフトウェア プログラムの存在に関して、ユーザーに警告が通知されます。特に、ソフトウェアを原因とする問題のせいで、悪意のある動作、プライバシー、またはセキュリティに関する既存の問題が悪化している場合に便利です。 業界および消費者の意見マイクロソフトの調査員は、新しい形態の迷惑ソフトウェアを特定する上で、ソフトウェア業界および個人ユーザーから寄せられる意見を頼りにしています。 調査員は、迷惑ソフトウェアがユーザーに与える影響を考慮に入れて、ソフトウェアの適切な分類を決定しています。 ユーザーの意見を参照できる機能
Windows Defender のユーザーは、分析対象となったソフトウェアに関して、他のユーザーの意見を参照することができます。 問題になっている新しいソフトウェアのそれぞれで、許可したユーザーとブロックしたユーザーの割合が継続的に表示されるため、各ユーザーは、そのソフトウェアを許可するかブロックするかを決定するための判断材料をより多く手に入れることができます。 Windows Defender ユーザー
マイクロソフトは、ユーザーが新しいスパイウェアまたは迷惑ソフトウェアの疑いがあるプログラムを送信してマイクロソフトの調査員に分析を求めることができる、世界的なネットワークを設立しました。 ネットワークの参加者は、マイクロソフトが新たに登場する疑わしいプログラムを迅速に特定する上で、重要な役割を果たすことになります。 特定したら、マイクロソフトは分析条件を満たすプログラムの定義を作成して、Windows Defender を通じてすべてのユーザーがその定義を使用できるようにします。 新しいデータ ソースと今後出現するデータ ソース
マイクロソフトは、ソフトウェアの分析と分類を行う上で、新しいデータ ソースと今後出現するデータ ソースに関しても広範に調査しています。 マイクロソフトはこの取り組みの一環として、Center for Democracy and Technology や同センターの Consumer Software Working Group などの業界団体および組織と協力し、真に悪意のあるソフトウェアの開発行為を規制および強制執行の対象とすることに取り組んでいます。 マイクロソフトに連絡してスパイウェアの可能性がある問題を報告するスパイウェアの悪影響を受けたと考えられる場合は、Windows Defender をダウンロードしてインストールしてください。 それでもスパイウェアを駆除できない場合は、問題をマイクロソフトにご報告ください。
| 
