セキュリティ

「Windows Defender」マルウェア定義データベース検索術--「PowerShell」を使う

「Windows 10」では、「Windows Defender」のコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。ここでは、その利用を紹介する。

 PowerShellにDefenderコマンドレットの詳細なヘルプがまだ含まれていない場合は、ヘルプをアップデートする必要がある。具体的には、PowerShellのプロンプトで「Update-Help」と入力して、「Enter」を押す。すると、PowerShellがPowerShellのコマンドの最新ヘルプファイルをダウンロードして、コンピュータにインストールする。このダウンロードとインストールのプロセスは数分で完了する。

いくつかの標準的機能を実行する

 PowerShellプロンプトでStart-MpScanコマンドレットを使用すると、システムのスキャンを実行することができる。例えば、クイックスキャンを実行したいときは、以下のコマンドを使用する。

 Start-MpScan -ScanType QuickScan

 フルスキャンを実行したいときは、以下のコマンドを使用する。

 Start-MpScan -ScanType FullScan

 「Downloads」(ダウンロード)フォルダなど、特定のフォルダをスキャンしたいときは、以下のコマンドを使用する。

 Start-MpScan -ScanPath C:\Users\{yourname}\Downloads

 新しいウイルスシグネチャ定義のアップデートを確認したいときは、以下のコマンドを使用する。

 Update-MpSignature

マルウェアシグネチャ定義データベースにアクセスする

 先述したように、筆者が特にGet-MpThreatCatalogコマンドレットに注目したのは、Windows Defenderで撃退可能なすべてのマルウェア脅威を調べられるからだ。Get-MpThreatCatalogコマンドレットそのものを実行することも可能だが、それでは内容を理解するのが難しい。包括的なマルウェア脅威リストがものすごい速さで画面上にスクロール表示されていき、それが完了するのに数分かかるからだ。それでも、Window Defenderのデータベースに含まれる定義の多さを実感するために、Get-MpThreatCatalogコマンドレットを実行してみることをお勧めする。それを行うには、PowerShellプロンプトで、以下のコマンドを入力する。

 Get-MpThreatCatalog

 記録のリストがスクロール表示されている間、いつでもキーボードの「Pause」キーを押して、出力を一時停止することができる。出力を中止したいときは、「Ctrl」+「C」を押すだけでいい。出力を一時停止、または中止したら、データベース内のそれぞれの脅威の記録が以下のような形式で表示されるはずだ。

 CategoryID: 4
 SeverityID: 5
 ThreatID: 5145
 ThreatName: TrojanDownloader:Win32/Zlob.CH
 TypeID: 0
 PSComputerName: 

 これでは分かりにくいので、この記録の各フィールドについて、簡単に説明する。

CategoryID

 CategoryIDの値はその記録に含まれるマルウェアの種類を示す。それぞれの値の意味は、以下の表で説明されている。

ID マルウェアの種類
0無効
1アドウェア
2スパイウェア
3パスワードスティーラ
4トロイの木馬ダウンローダ
5ワーム
6バックドア
7リモートアクセス型トロイの木馬
8トロイの木馬
9電子メールフラッド攻撃用のマルウェア
10キーロガー
11ダイヤラー
12監視ソフトウェア
13ブラウザモディファイヤ
14クッキー
15ブラウザプラグイン
16AOLエクスプロイト
17ヌーカ
18セキュリティを無効化するマルウェア
19ジョークプログラム
20敵意のある「ActiveX」制御
21ソフトウェアバンドラ
22ステルスモディファイヤ
23設定モディファイヤ
24ツールバー
25リモート制御ソフトウェア
26トロイの木馬(FTP型)
27不要かもしれないソフトウェア
28 ICQエクスプロイト
29トロイの木馬(telnet型)
30ファイル共有プログラム
31マルウェア作成ツール
32リモート制御ソフトウェア
33ツール
34トロイの木馬(サービス拒否攻撃型)
36トロイの木馬(ドロッパー型)
37トロイの木馬(マスメーラ型)
38トロイの木馬(監視ソフトウェア型)
39トロイの木馬(プロキシサーバ型)
40ウイルス
42既知
43未知
44Spp
45挙動
46脆弱性
47ポリシー

「セキュリティ」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. Microsoft 365の「データ」は本当に安全?SaaSユーザーのためのデータ保護アプローチ
  2. マルチクラウドの本格活用から量子コンピューティングへ、その時鍵を握るデータ保護の仕組みとは?
  3. 最先端のデータサイエンティストでいるための5つのヒント—AIによる高度化でデータの達人であり続ける
  4. 中小企業のためのAI活用--予算も人材も不足していた4社の脱Excelそして入AI実現例
  5. 業務改革の推進者が最初につまずく「現場業務ヒアリング」、通信・製造業、自治体の事例に見る回避策

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]