Microsoft Defender の誤検出:Chrome/Edge などを Win32/Hive.ZY と間違える

Microsoft Defender falsely detects Win32/Hive.ZY in Google Chrome, Electron apps

2022/09/04 BleepingComputer — Win32/Hive.ZY 誤検知の修正に必要な、Defender の更新バージョンなどの、記事の追加更新も末尾に追記されている— Microsoft Defender におけるシグネチャー更新の失敗により、Google Chrome/Microsoft Edge/Discord に加えて各種の Electron アプリが、Windows 上でオープンされるたびに、Win32/Hive.ZY として誤検出されている。

この問題は、日曜日の朝にプッシュされた Microsoft Defender のシグネチャー更新 1.373.1508.0 に、Behavior:Win32/Hive.ZY などの2新しい脅威の検出が取り込まれたときから始まった。

Microsoft の Win32/Hive.ZY 検出ページには「この不審な動作の検出は、潜在的に悪意のあるファイルをキャッチするために設計されている。このファイルのダウンロードや、電子メールによる受信においては、オープンする前に、信頼できるソースから提供されていることを確認してほしい」と記されている。

BornCity によると、この誤検出は広範囲において確認されており、ブラウザや Electron アプリを開くたびに検出されるとの報告が、BleepingComputer/Twitter/Reddit などに寄せられている。

Microsoft Defender falsely detecting Win32/Hive.ZY
Microsoft Defender falsely detecting Win32/Hive.ZY
Source: Twitter

Microsoft Defender は、それらのアプリがオープンされるたびに、上記の検出を継続的に表示するが、それは誤検出であり、対象デバイスが感染していると、誤って検出されていることに注意する必要がある。

その後に Microsoft は、新たに2つの Microsoft Defender 更新プログラムをリリースしており、最新のものは 1.373.1518.0 となる。

BleepingComputer のテストでは、このシグネチャーの更新により Win32/Hive.ZY の検出を表示しなくなったが、他のユーザーからは、引き続き誤検出が生じているとの報告も寄せられている。

新しいセキュリティ・インテリジェンスの更新を確認するには、Windows ユーザーは、Start Menu で Windows Security を検索して開き、Virus & threat protection をクリックし、Virus & threat protection updates の下の Check for updates をクリックする必要がある。

Currently installed Microsoft Defender security intelligence versions
Currently installed Microsoft Defender security intelligence versions
Source: BleepingComputer

通常は不要な操作であるが、この場合に限っては、新しいセキュリティ・インテリジェンスの更新プログラムをインストールした後に、Windows を再起動し、誤検出の解消について確認することが有効な場合がある。

この問題は、世界中の Windows ユーザーの間で広がっており、パニックを引き起こしているため、早ければ数時間以内に、この問題を修正する新たなアップデートが公開されると思われる。

現時点では、この問題について、Microsoft による正式な確認は行われていない。

Update 6:47 PM EST:

Microsoft Defender セキュリティ・インテリジェンス・アップデート・バージョン 1.373.1537.0 がリリースされた。このアップデートにより、現状の Windows ユーザーが経験している、Win32/Hive.ZY の誤検出が解決されたようがとの報告を受けている。

この記事の最後にある手順に従い、上記のバージョンへのアップデートが可能だ。

Update 9:25 PM EST:

以下の声明を、Microsoft は BleepingComputer と共有した。

Microsoft の広報担当者は、「この問題に対処するための更新プログラムをリリースした。Microsoft Defender の自動更新を使用しているユーザーであれば、追加のアクションを取る必要はない」と述べている。

また、Microsoft は、アップデートを管理している企業ユーザーの担当者に対して、検出ビルド 1.373.1537.0 以降を使用していることを、確認する必要があると述べている。

シグネチャー更新の失敗という、痛恨の失態でしたね。おそらく、世界中の企業で SOC の人たちが大騒動に巻き込まれたのだろうと推測してしまいます。誤検知の対象は Google Chrome/Microsoft Edge/Discord とのことですが、そこに Electron が入っているので、さらに対象が広がる可能性があります。まったくの別件ですが、8月18日の「Electron ベース・アプリ 18種類に深刻な脆弱性: Teams/WhatsApp/Slack などに影響」をみると、Microsoft Teams/Visual Studio Code/Basecamp/Mattermost/Element/Notion/JupyterLab/Rocket.Chat なども誤検知の対象になったのだろうと思えてきます。蛇足ですが、Behavior:Win32/Hive.ZY というからには、Hive と間違えられたのでしょうかね?

%d bloggers like this: