Microsoft Defender の誤検知:Office アップデートをランサムウェアと取り違える

Microsoft Defender tags Office updates as ransomware activity

2022/03/16 BleepingComputer — 今日、Windows 管理者たちに対して、システム上でランサムウェアの挙動を示すアラートが検出されたという Defender for Endpoint の問題により、Office アップデートに対して悪意のタグが付けられるという事態に見舞われた。Windows システム管理者の報告 [1234] によると、この現象は数時間前から発生しており、ランサムウェアの警告が大量に発生するケースにも発展した。

Microsoft は報告の急増を受け、Defender for Endpoint の誤検知により、Office アップデートがランサムウェアの活動としてマークされたことを確認した。Microsoft は、エンジニアがクラウド・ロジックを更新し、今後はアラートが表示されないよう修正し、これまでの誤検出判定を削除したと付け加えた。

Microsoft は、「3月16日の朝から、ファイル・システムにおけるランサムウェア動作検知に起因する一連の誤検知を、経験した顧客がいるかもしれない。また、誤ったアラートのタイトルが [Ransomware behavior detected in the file system] となっているため、OfficeSvcMgr.exe でアラートがトリガーされたと捉えた管理者がいたかもしれない」と、ユーザーからの報告を受けて述べている。

同社は、「我々の調査では、ランサムウェアのアラートを検出する、サービス・コンポーネント内に導入されたアップデートにより、問題が存在しないときであってもアラートが発動されるという、コードの問題があることが判明した。この問題は修正され、誤ったアラートが送信されないようにする新しいコードがディプロイされ、影響を完全に是正するためにアラートのバックログを修正した」と付け加えている。

この、クラウド・ロジックのアップデートをディプロイした後に、不正なランサムウェア・アクティビティ・アラートは生成されなくなる。また、ログに記録された全ての誤検知情報は、管理者の介入を必要とせずに、ポータルから自動的に消去されることになる。

コード変更に起因する誤検知について

Microsoft によると、Defender for Endpoint でランサムウェアのアラートを参照した管理者に対して、この問題が潜在的な影響を与えた可能性があるという。

この誤検知の根本的な原因は、ランサムウェアのアラートを検出するための、最近になってサービス・コンポーネント内に導入された更新プログラムにある。この更新により、ランサムウェアの活動がシステム上に存在しない状況で、誤った警報が発動されるという、今回のコードの問題が発生した。

2021年11月に Defender for Endpoint は、Emotetマルウェアへのペイロード・タグ付けに関する誤検知により、Office ドキュメントのオープンをブロックし、Office 本体の起動も一部ではブロックした。さらに、12月には、同社が新たに導入した Log4j プロセス用の Microsoft 365 Defender スキャナーに関連する、センサー改ざんアラートも誤って表示していた。

2020年10月以降において管理者たちは、Cobalt Strike に感染したネットワーク・デバイスの警告や、Chrome 更新に対する PHP バックドア・マークなどの、Defender for Endpoint における類似の問題に対処してきた。今日の未明に Microsoft の広報担当者は、BleepingComputer からの質問などに対して、コメントすることができなかった。

2021年11月16日の「Microsoft Defender for Endpoint に AI 駆動型のランサムウェア検知機能が追加」には、「AI によるランサムウェア攻撃検知システムを提供し、境界でリスクを評価して脅威アクターをブロックすることで、既存のクラウド保護を補完する。人間により操作されるランサムウェア攻撃は、特定の手法や行動を特徴としているため、データ駆動型の AI アプローチを用いて、この種の攻撃を検知できる」と述べています。その後、Emotet に関する誤検知などもあり、いろいろと騒ぎを起こしている Defender ですが、ナレッジが溜まって整理されると、このようなトラブルもなくなるはずです。

%d bloggers like this: