Microsoft Defender for Endpointが、Officeアプリのアップデートをランサムウェアとして検出する大失態が発生していたことがわかりました(Neowin)。
問題は米国時間16日の未明に、システム管理者がMicrosoft Defender for Endpointを最新版にアップデートし、ランサムウェアのアラートに気づいた事により発見されます。Microsoftはすぐに問題への対処を開始し、アラートが誤検出によって発生していることを確認します。
Microsoftのセキュリティ&コンプライアンス担当プリンシパル・テクニカル・スペシャリストSteve Scholz(Redditのユーザー名Steve_Scholz)氏は、以下のように説明しています。
This was a False/Positive and has now been corrected. Please see the details below:Starting on the morning of March 16th, customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system. Microsoft has investigated this spike of detections and determined they are false positive results. Microsoft has updated cloud logic to suppress the false positives.
• Customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system.
• Microsoft has updated cloud logic to prevent future alerts being generated and to clear the previous false positives.参考までに
- ファイルシステム内のランサムウェアの動作検知に起因する、一連の誤検知を経験されたお客様がいらっしゃるかもしれません。
- Microsoftは、今後アラートが生成されないようにするため、クラウド ロジックを更新し、以前の誤検出を解除しました。
Root cause: A recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present.
根本的な原因 ランサムウェアのアラートを検知するサービスコンポーネントにおいて、最近実施されたアップデートにより、問題が存在しないにもかかわらずアラートが発動されるコード上の問題が発生しました。