Windows 10の標準ウイルス対策ツールである「Windows Defender」には、「クイック」「フル」「カスタム」と3つのスキャンオプションが用意されている。この違いは何だろうか? 今回はスキャンオプションの差を確認してみたい。

○マルウェア拡散を防ぐため存在しないファイルもスキャン

Windows Defenderは、当初のアドウェア対策やスパイウェア対策に始まり、さらにウイルスまで対策範囲を拡大し、今ではWindowsの標準ウイルス対策ツールとして認知されている。

競合ソフトウェアを手がけるセキュリティ系ベンダーとしてはツラい状況だが、「Windows Defenderで十分」と考えるユーザーも少なくない。Windows Defenderを使っているのであれば、スキャンオプションは把握しておいたほうがよいだろう。冒頭で述べたように、Windows Defenderは3つのスキャンオプションを備えているが、違いについて述べた技術資料を見つけることは難しい。

そこで「Process Monitor」を使用し、スキャンオプションごとの動作を調べてみた。今回はファイルへのアクセスを表示する「FileSystem Activity」のみ有効にし、5つのドライブを実装したPC上で調査している。

○システム系フォルダー

%ProgramData%\*
%ProgramFiles%\*
%ProgramFiles(x86)%\*
%SystemDrive%\*
%SystemRoot%\*
%SystemRoot%\DriverStore\FileRepository\*
%SystemRoot%\System32\*
%SystemRoot%\Tasks\*
%SystemRoot%\Wbem\*
%SystemRoot%\WindowsPowerShell\v1.0\*
%SystemRoot%\SysWOW64\*
%SystemRoot%\SysWOW64\DriverStore\FileRepository\*
%SystemRoot%\SysWOW64\Tasks\*
%SystemRoot%\SysWOW64\Wbem\*
%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\*
D:\OneDrive\bin\*
D:\Program Files (x86)\*
D:\Program Files\*

○ユーザー系フォルダー

%SystemDrive%\Users\*
%USERPROFILE%\*
%USERPROFILE%\Desktop\*
%USERPROFILE%\Documents\*
%USERPROFILE%\Favorites\*
%USERPROFILE%\AppData\*
%USERPROFILE%\AppData\LocalLow*
%LOCALAPPDATA%\VirtualStore\*
%APPDATA%\*

上記はクイックスキャンを実行し、Windows Defenderの実体である「MsMpEng.exe」がアクセスしたファイルを格納するフォルダーを列挙したものだ。これらのフォルダー内に存在する実行ファイルやシステムファイルをスキャンしている。筆者の環境では一部のアプリケーションやOneDriveフォルダーをDドライブに設定しているため、それらのフォルダーもスキャン対象に含んでいた。

興味深いのは、存在しないファイルやフォルダーに対してもスキャンを行っている点だ。拡張子「.bat」「.cmd」「.com」「.dll」「.exe」「.lnk」「.pif」「.htm」「.txt(Cookie)」「.LOG1{2}」を持つ「\AMD\lsass\」「\Automation」「\BurnCD」といったファイルが各ドライブに存在しないか、スキャン時にチェックを行っている。

さらに「%USERPROFILE%\Desktop\A360.lnk」や「%USERPROFILE%\Documents\XXXVIDEO.HTA」など特定のファイルもスキャンし、マルウェアの拡散をチェックしていた。また、LAN上の共有フォルダーに対するショートカットファイルをデスクトップに置いておくと、ショートカットファイルのみスキャン対象となる。

まとめると、「『クイック』は一部のシステムファイルをスキャンすると同時に、マルウェアが一般的に使用するフォルダーやファイルが存在しないかスキャン」し、「『フルスキャン』はすべてのファイルとフォルダーをスキャン対象」。「『カスタム』は指定したドライブ/フォルダーを対象にフルスキャンを実行」しているのだ。

阿久津良和(Cactus)