「Windows 10ミニTips」は各回の作成時点で最新のWindows 10環境を使用しています。

Windows 10の標準ウイルス対策ツールである「Windows Defender」には、「クイック」「フル」「カスタム」と3つのスキャンオプションが用意されている。この違いは何だろうか? 今回はスキャンオプションの差を確認してみたい。

マルウェア拡散を防ぐため存在しないファイルもスキャン

Windows Defenderは、当初のアドウェア対策やスパイウェア対策に始まり、さらにウイルスまで対策範囲を拡大し、今ではWindowsの標準ウイルス対策ツールとして認知されている。

Windows 10上の「Windows Defender」。2017年早期リリース予定の「Windows 10 Creators Update」ではUWP(ユニバーサルWindowsプラットフォーム)アプリケーション化する可能性が高い

競合ソフトウェアを手がけるセキュリティ系ベンダーとしてはツラい状況だが、「Windows Defenderで十分」と考えるユーザーも少なくない。Windows Defenderを使っているのであれば、スキャンオプションは把握しておいたほうがよいだろう。冒頭で述べたように、Windows Defenderは3つのスキャンオプションを備えているが、違いについて述べた技術資料を見つけることは難しい。

Windows Defenderのログはテキスト形式ではなく、Windowsイベントログとして保存される。だが、詳細は確認できない

そこで「Process Monitor」を使用し、スキャンオプションごとの動作を調べてみた。今回はファイルへのアクセスを表示する「FileSystem Activity」のみ有効にし、5つのドライブを実装したPC上で調査している。

システム系フォルダー

%ProgramData%\*
%ProgramFiles%\*
%ProgramFiles(x86)%\*
%SystemDrive%\*
%SystemRoot%\*
%SystemRoot%\DriverStore\FileRepository\*
%SystemRoot%\System32\*
%SystemRoot%\Tasks\*
%SystemRoot%\Wbem\*
%SystemRoot%\WindowsPowerShell\v1.0\*
%SystemRoot%\SysWOW64\*
%SystemRoot%\SysWOW64\DriverStore\FileRepository\*
%SystemRoot%\SysWOW64\Tasks\*
%SystemRoot%\SysWOW64\Wbem\*
%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\*
D:\OneDrive\bin\*
D:\Program Files (x86)\*
D:\Program Files\*

ユーザー系フォルダー

%SystemDrive%\Users\*
%USERPROFILE%\*
%USERPROFILE%\Desktop\*
%USERPROFILE%\Documents\*
%USERPROFILE%\Favorites\*
%USERPROFILE%\AppData\*
%USERPROFILE%\AppData\LocalLow*
%LOCALAPPDATA%\VirtualStore\*
%APPDATA%\*

上記はクイックスキャンを実行し、Windows Defenderの実体である「MsMpEng.exe」がアクセスしたファイルを格納するフォルダーを列挙したものだ。これらのフォルダー内に存在する実行ファイルやシステムファイルをスキャンしている。筆者の環境では一部のアプリケーションやOneDriveフォルダーをDドライブに設定しているため、それらのフォルダーもスキャン対象に含んでいた。

興味深いのは、存在しないファイルやフォルダーに対してもスキャンを行っている点だ。拡張子「.bat」「.cmd」「.com」「.dll」「.exe」「.lnk」「.pif」「.htm」「.txt(Cookie)」「.LOG1{2}」を持つ「\AMD\lsass\」「\Automation」「\BurnCD」といったファイルが各ドライブに存在しないか、スキャン時にチェックを行っている。

さらに「%USERPROFILE%\Desktop\A360.lnk」や「%USERPROFILE%\Documents\XXXVIDEO.HTA」など特定のファイルもスキャンし、マルウェアの拡散をチェックしていた。また、LAN上の共有フォルダーに対するショートカットファイルをデスクトップに置いておくと、ショートカットファイルのみスキャン対象となる。

「Process Monitor」でWindows Defenderのクイックスキャンを観察中。存在しないファイルのスキャンも実行している

まとめると、「『クイック』は一部のシステムファイルをスキャンすると同時に、マルウェアが一般的に使用するフォルダーやファイルが存在しないかスキャン」し、「『フルスキャン』はすべてのファイルとフォルダーをスキャン対象」。「『カスタム』は指定したドライブ/フォルダーを対象にフルスキャンを実行」しているのだ。

阿久津良和(Cactus)