Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱

Microsoft Defender scares admins with Emotet false positives

2021/11/30 BleepingComputer — Microsoft Defender for Endpoint の現状だが、Emotet マルウェアのペイロードがバンドルされている可能性があるという、誤ったタグをファイルに付けているため、Office ドキュメントがオープンできず、一部の実行ファイルの起動がプロックされるという問題が存在している。

Windows システム管理者からの報告 [12345] によると、この現象は、Microsoftの Enterprise Endpoint Security Platform (旧称:Microsoft Defender ATP) の定義ファイルを、Version 1.353.1874.0 にアップデートしてから発生している。この問題が発生した場合、Defender for Endpoint はファイルを開かないようにブロックし、Win32/PowEmotet.SBまたはWin32/PowEmotet.SC に関連する不審な活動を示すエラーを表示する。

ある管理者は、「今日の午後だが、定義ファイルのアップデート 1.353.1874.0 が、印刷を Win32/PowEmotet.SB として検出する問題が発生している」と述べている。
別の管理者は、「Excel や MSIP.ExecutionHost.exe (AIP Sensitivity Client) や splwow64.exe を使う、あらゆる Office アプリで検出を確認している」と付け加えている。

3人目の管理者は、「今日の定義更新で問題を確認した。我々は、本日リリースされた定義ファイルの v.1.353.1874.0 で同じ動作を確認している。Behavior:Win32/PowEmotet.SB と Behavior:Win32/PowEmotet.SC の定義が含まれている」と述べている。

BleepingComputer でも、最新の Microsoft Defender シグネチャを搭載したWindows 10 仮想マシンで、誤検知を引き起こすことができた。

この原因について、現時点の Microsoft は情報を公開していないが、本日にリリースされたアップデートで、Emotet のような動作を検出する感度を高められたことで、Defender の動作検出エンジンの感度が高くなりすぎ、誤検知が起こりやすくなった可能性が最も高い。

この変更は、Emotet の研究グループである Cryptolaemus/GData/Advanced Intel などが、感染したデバイス上で TrickBot がEmotet ローダーをドロップしていることを確認し、また、2週間前から Emotet ボットネットが復活したことがきっかけとなっているようだ。

Emotet の復活が間違いだとしても、多くの Windows 管理者が神経をとがらしているタイミングの中で、残念な出来事だと言わざるを得ない。中には、Emotet の感染拡大を防ぐために、データセンターをオフラインした後に、誤検知の可能性が高いことに気づいたという報告もある。

2020年10月以降、Windows 管理者は、Cobalt Strike に感染したネットワーク・デバイスを表示するものや、Chrome のアップデートを PHP のバックドアとしてマークするものなど、その他の Defender for Endpoint 問題に対処する必要があった。Microsoft は BleepingComputer に対して、クラウドに接続しているユーザーの問題を修正し、それ以外のユーザーのための修正に取り組んでいると述べている。

Microsoft の広報担当者は、「一部の顧客が誤検出を経験した可能性があるという、問題の解決に取り組んでいる。この問題は、クラウドに接続している顧客に対しては、すれに解決されている」と述べている。

最近の Defender ですが、11月だけでも、「Microsoft のマルチ・クラウド・セキュリティ戦略:Azure Preview に AWS も統合」、「Microsoft Defender for Identity が PrintNightmare 攻撃を検知する」、「Microsoft Defender for Endpoint に AI 駆動型のランサムウェア検知機能が追加」といった記事がポストされるほど、頑張っています。そして、一番最後のAI 駆動型のランサムウェア検知機能というのが、ひょっとすると誤検知の原因かもしれません。今後も、この種の騒ぎが起こりそうですね。

%d bloggers like this: