「Windows Defender」マルウェア定義データベース検索術--「PowerShell」を使う

　筆者は「How to get more from Windows Defender by using its command-line tool」（「Windows Defender」のコマンドライン活用術--より高度な機能の実行を可能に）という記事で、Windows Defenderのコマンドラインユーティリティを使えば、基本的なタスクを自動化したり、いくつかの高度な機能を実行したりできることを紹介した。さらに、同ツールの使い方を解説し、便利な活用方法の例をいくつか提示した。

　「Windows 10」では、Windows Defenderのコマンドラインユーティリティだけでなく、「PowerShell」のコマンドレットセットも利用できる。Windows Defenderでは、「Windows」ユーザーインターフェースやコマンドラインユーティリティを使ってさまざまな機能を実行できるが、PowerShellのコマンドレットセットでも、それと同種の機能の多くを実行することが可能だ。しかし、こうしたDefenderのコマンドレット群を詳しく調べていくうちに、筆者はほかのバージョンでは不可能なやり方でWindows Defenderを精査する興味深い方法がいくつかあることを発見した。

　筆者が特に注目したのは、「Get-MpThreatCatalog」と呼ばれるDefenderのコマンドレットだ。Get-MpThreatCatalogを使うと、Windows Defenderのマルウェアシグネチャ定義データベースを調べることができる。もっと具体的に言うと、Windows Defenderで撃退可能なマルウェア脅威をすべて確認できる。Get-MpThreatCatalogコマンドレット自体は、Windows Defenderの全シグネチャ定義の包括的なリストを提供する。これを理解するのは大変だ。しかし、このコマンドレットをPowerShellのほかのツールや機能と組み合わせると、このデータベースを深く探索し、具体的で興味深い情報を見つけることができる。

　この方法でデータベースを探索することで、筆者はWindows Defenderの能力に対する理解を深められた。また、Windows Defenderのマルウェア撃退能力は、もっと成熟したほかのアンチウイルスソフトウェアパッケージに比べると見劣りするという主張について、疑問を抱くようにもなった。

　それでは、PowerShellのDefenderコマンドレットについて、詳しく見ていこう。その後で、Windows Defenderのマルウェアシグネチャ定義データベースの中身を探索する。

PowerShellを起動する

　PowerShellを使ってDefenderコマンドレットにアクセスするには、「Administrator」（管理者）モードでPowerShellを起動する必要がある。最も手っ取り早いのは、「File Explorer」（エクスプローラー）を起動して、どれか1つのフォルダを開いた後、「File」メニューをクリックして、「Open Windows PowerShell As Administrator」（Windows PowerShellを管理者として開く）コマンドを選択する方法だ（図A）。

図A：File Explorer内から「Administrator Windows PowerShell」（管理者：Windows PowerShell）プロンプトを開くことができる。

PowerShellのDefenderコマンドレット

　Windows PowerShellは12種類のDefenderコマンドレットを提供する。そのリストを見るには、PowerShellプロンプトで以下のコマンドを入力する（図B）。

　Get-Command -Module Defender

図B：「Get-Command」を使って、Defenderコマンドレットのリストを表示させることが可能だ。

　これら12種類のDefenderコマンドレットの機能を表にまとめると、以下のようになる。

ヘルプを参照する

　それらのコマンドレットについて、もっと詳しく知りたい場合は、「Get-Help」コマンドレットを使用する。

　詳細なヘルプ

　Get-Help <コマンドレット名> -Detailed

　例

　Get-Help <コマンドレット名> -Examples

　完全なヘルプ

　Get-Help <コマンドレット名> -Full