望ましくない可能性のあるアプリケーションを検出してブロックする

適用対象:

プラットフォーム

  • Windows

Microsoft Defender ウイルス対策は、次のエディション/バージョンの Windows および Windows Server で使用できます。

  • Windows Server 2022
  • Windows Server 2019
  • Windows Server バージョン 1803 以降
  • Windows Server 2016
  • Windows Server 2012 R2 (Microsoft Defender for Endpoint が必要)
  • Windows 11
  • Windows 10
  • Windows 8.1

macOS の場合は、「 macOS 上の Defender for Endpoint を使用して望ましくない可能性のあるアプリケーションを検出してブロックする」を参照してください。

Linux については、「 Defender for Endpoint on Linux を使用して望ましくない可能性のあるアプリケーションを検出してブロックする」を参照してください。

望ましくない可能性のあるアプリケーション (PUA) は、マシンの実行速度が低下したり、予期しない広告が表示されたり、最悪の場合、予期しないまたは望ましくない可能性のある他のソフトウェアをインストールしたりする可能性のあるソフトウェアのカテゴリです。 PUA はウイルス、マルウェア、またはその他の種類の脅威とは見なされませんが、エンドポイントのパフォーマンスや使用に悪影響を与えるエンドポイントに対してアクションを実行する可能性があります。 PUA という用語は、特定の種類の望ましくない動作が原因で、Microsoft Defender for Endpoint によって評価された、評判の悪いアプリケーションを指す場合もあります。

次に、いくつかの例を示します:

  • Web ページに広告を挿入するソフトウェアを含む、広告またはプロモーションを表示する広告ソフトウェア
  • 同じエンティティによってデジタル署名されていない他のソフトウェアをインストールすることを提供するバンドル ソフトウェア。 また、PUA として適格な他のソフトウェアのインストールを提供するソフトウェア。
  • セキュリティ製品の存在下で異なる動作をするソフトウェアを含む、セキュリティ製品による検出を積極的に回避しようとする回避ソフトウェア

ヒント

セキュリティ機能から特別な注意を払うアプリケーションにラベルを付けるために使用するその他の例と基準の説明については、「Microsoft がマルウェアと望ましくない可能性のあるアプリケーションを識別する方法」を参照してください。

望ましくない可能性のあるアプリケーションは、ネットワークが実際のマルウェアに感染するリスクを高めたり、マルウェア感染の特定を困難にしたり、IT チームとセキュリティ チームがそれらをクリーンアップするための時間と労力を費やしたりする可能性があります。 organizationのサブスクリプションにMicrosoft Defender for Endpointが含まれている場合は、Microsoft Defenderウイルス対策 PUA をブロックするように設定して、Windows デバイス上の PUA と見なされるアプリをブロックすることもできます。

Windows Enterprise サブスクリプションの詳細情報

ヒント

この記事のコンパニオンとして、Microsoft Defender for Endpointセットアップ ガイドを参照してベスト プラクティスを確認し、攻撃面の縮小や次世代保護などの重要なツールについて学習します。 環境に基づいてカスタマイズされたエクスペリエンスを実現するには、Microsoft 365 管理センターの Defender for Endpoint 自動セットアップ ガイドにアクセスできます。

Microsoft Edge

Chromium ベースの新しい Microsoft Edge は、望ましくない可能性のあるアプリケーションのダウンロードと関連するリソース URL をブロックします。 この機能は、Microsoft Defender SmartScreen を介して提供されます。

Chromium ベースの Microsoft Edge で PUA 保護を有効にする

Microsoft Edge (Chromium ベース、バージョン 80.0.361.50) の望ましくない可能性のあるアプリケーション保護は既定でオフになっていますが、ブラウザー内から簡単にオンにすることができます。

  1. Microsoft Edge ブラウザーで省略記号を選択し、[ 設定] を選択します。

  2. [プライバシー、検索、およびサービス] を選択します。

  3. [セキュリティ] セクションで、[望ましくない可能性のあるアプリをブロックする] をオンにします。

ヒント

Microsoft Edge (Chromium ベース) を実行している場合は、Microsoft Defender SmartScreen デモ ページの 1 つでテストすることにより、PUA 保護の URL ブロック機能を安全に調べることができます。

Microsoft Defender SmartScreen で URL をブロックする

PUA 保護が有効になっている Chromium ベースの Microsoft Edge では、Microsoft Defender SmartScreen によって PUA に関連付けられた URL から保護されます。

セキュリティ管理者は、Microsoft Edge と Microsoft Defender SmartScreen が連携して PUA に関連付けられた URL からユーザーのグループを保護する方法を構成できます。 PUA をブロックするためのものを含め、Microsoft Defender SmartScreen に対して明示的に使用可能ないくつかのグループ ポリシー設定があります。 さらに、管理者は、グループ ポリシー設定を使用して Microsoft Defender SmartScreen をオンまたはオフにして、Microsoft Defender SmartScreen 全体を構成できます。

Microsoft Defender for Endpoint には、Microsoft が管理するデータ セットに基づく独自のブロックリストがありますが、独自の脅威インテリジェンスに基づいてこのリストをカスタマイズできます。 Microsoft Defender for Endpoint ポータルでインジケーターを作成および管理する場合、Microsoft Defender SmartScreen は新しい設定を尊重します。

Microsoft Defender ウイルス対策および PUA 保護

Microsoft Defender ウイルス対策の望ましくない可能性のあるアプリケーション (PUA) 保護機能は、ネットワーク内のエンドポイント上の PUA を検出してブロックできます。

Windows Defender ウイルス対策は、検出された PUA ファイルと、それらのダウンロード、移動、実行、またはインストールの試行をブロックします。 ブロックされた PUA ファイルは、検疫に移動されます。 エンドポイントで PUA ファイルが検出されると、Microsoft Defender ウイルス対策は、(通知が無効になっていない場合) 他の脅威の検出と同じ形式でユーザーに通知を送信します。 通知の前には、その内容を示す PUA: が付いています。

通知は、Windows セキュリティ アプリ内の通常の検疫リストに表示されます。

Windows Defender ウイルス対策で PUA 保護を構成する

Microsoft Defender for Endpoint セキュリティ設定管理、Microsoft Intune、Microsoft Configuration Managerグループ ポリシー、またはPowerShell コマンドレットを使用して PUA 保護を有効にすることができます。

最初に、監査モードで PUA 保護を使用してみてください。 これは、実際にそれらをブロックすることなく、望ましくない可能性のあるアプリケーションを検出します。 検出は Windows イベント ログにキャプチャされます。 監査モードでの PUA 保護は、会社が内部ソフトウェア セキュリティ コンプライアンス チェックを実施しており、誤検知を回避することが重要な場合に便利です。

Microsoft Defender for Endpointセキュリティ設定管理を使用して PUA 保護を構成する

次の記事をご覧ください。

Intune を使用して PUA 保護を構成する

次の記事をご覧ください。

Configuration Manager を使用して PUA 保護を構成する

PUA 保護は、Microsoft Configuration Manager (Current Branch) で既定で有効になっています。

Microsoft Configuration Manager (Current Branch) の構成の詳細については、「マルウェア対策ポリシーを作成して展開する方法: スケジュールされたスキャン設定」を参照してください。

System Center 2012 Configuration Manager については、「Configuration Manager でエンドポイント保護のために望ましくない可能性のあるアプリケーション保護ポリシーを展開する方法」を参照してください。

注:

Microsoft Defenderウイルス対策によってブロックされた PUA イベントは、Microsoft Configuration Managerではなく Windows イベント ビューアーで報告されます。

グループ ポリシーを使用して PUA 保護を構成する

  1. 2021 年更新 (21H2) Windows 11 用の管理用テンプレート (.admx) をダウンロードしてインストールする

  2. グループ ポリシー管理コンピューターで、グループ ポリシー管理コンソールを開きます。

  3. 構成するグループ ポリシー オブジェクトを選択し、[編集] を選択します。

  4. [グループ ポリシー管理エディター] で、[コンピューターの構成] に移動し、[管理用テンプレート] を選択します。

  5. [Windows コンポーネント]>[Microsoft Defender ウイルス対策] の順にツリーを展開します。

  6. [望ましくない可能性のあるアプリケーションの検出を構成する] をダブルクリックし、[有効] に設定します。

  7. [オプション] で、[ブロック] を選択して望ましくない可能性のあるアプリケーションをブロックするか、[監査モード] を選択して環境で設定がどのように機能するかをテストします。 [OK] を選択します。

  8. 通常どおりにグループ ポリシー オブジェクトを展開します。

PowerShell コマンドレットを使用して PUA 保護を構成する

PUA 保護を有効にするには

Set-MpPreference -PUAProtection Enabled

このコマンドレットの値を Enabled に設定すると、機能が無効になっている場合にオンになります。

PUA 保護を監査モードに設定するには

Set-MpPreference -PUAProtection AuditMode

AuditMode の設定により、PUA をブロックせずに検出します。

PUA 保護を無効にするには

PUA 保護をオンにしておくことをお勧めします。 ただし、次のコマンドレットを使用してオフにすることができます。

Set-MpPreference -PUAProtection Disabled

このコマンドレットの値を Disabled に設定すると、機能が有効になっている場合にオフになります。

詳細については、「PowerShell コマンドレットを使用して Microsoft Defender ウイルス対策を構成および実行する」および「Defender ウイルス対策 コマンドレット 」を参照してください。

PUA ブロックが機能することをテストして確認する

ブロック モードで PUA を有効にしたら、正しく動作していることをテストして確認できます。 詳細については、「 望ましくない可能性のあるアプリケーション (PUA) のデモ」を参照してください。

PowerShell を使用して PUA イベントを表示する

PUA イベントは Windows イベント ビューアーで報告されますが、Microsoft Configuration ManagerやIntuneでは報告されません。 Get-MpThreat コマンドレットを使用して、Microsoft Defender ウイルス対策が処理した脅威を表示することもできます。 次に例を示します:

CategoryID       : 27
DidThreatExecute : False
IsActive         : False
Resources        : {webfile:_q:\Builds\Dalton_Download_Manager_3223905758.exe|http://d18yzm5yb8map8.cloudfront.net/
                    fo4yue@kxqdw/Dalton_Download_Manager.exe|pid:14196,ProcessStart:132378130057195714}
RollupStatus     : 33
SchemaVersion    : 1.0.0.0
SeverityID       : 1
ThreatID         : 213927
ThreatName       : PUA:Win32/InstallCore
TypeID           : 0
PSComputerName   :

PUA 検出に関するメール通知を取得する

メール通知をオンにして、PUA 検出に関するメールを受信できます。 ウイルス対策イベントのMicrosoft Defenderの詳細については、「イベント ID のトラブルシューティング」を参照してください。 PUA イベントは、イベント ID 1160 で記録されます。

高度な追求を使用して PUA イベントを表示する

Microsoft Defender for Endpoint を使用している場合は、高度な追求クエリを使用して PUA イベントを表示できます。 クエリの例を次に示します:

DeviceEvents
| where ActionType == "AntivirusDetection"
| extend x = parse_json(AdditionalFields)
| project Timestamp, DeviceName, FolderPath, FileName, SHA256, ThreatName = tostring(x.ThreatName), WasExecutingWhileDetected = tostring(x.WasExecutingWhileDetected), WasRemediated = tostring(x.WasRemediated)
| where ThreatName startswith_cs 'PUA:'

高度な追求の詳細については、「高度な追求を使用して脅威をプロアクティブにハントする」を参照してください。

PUA 保護からファイルを除外する

ファイルが PUA 保護によって誤ってブロックされたり、タスクを完了するために PUA の機能が必要になったりすることがあります。 このような場合、ファイルを除外リストに追加できます。

詳細については、「ファイル拡張子とフォルダーの場所に基づく除外の構成と検証」を参照してください。

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。