Microsoft Defender for Endpointが、ファイルにEmotetマルウェアのペイロードがバンドルされていると誤って認識し、Officeドキュメントが開けなくなったり、一部の実行ファイルが起動できなくなったりする問題が発生していることがわかりました(BleepingComputer)。
Windowsシステム管理者が寄せた報告(1、2、3、4、5)によると、この現象は、Microsoftのエンタープライズエンドポイントセキュリティプラットフォーム(旧称Microsoft Defender ATP)の定義ファイル1.353.1874.0にアップデートした後から発生しているとのことです。
この問題が発生すると、Windows Defender for Endpointは、ファイルが開かないようにブロックし、Win32/PowEmotet.SBまたはWin32/PowEmotet.SCに関連した不審な活動を示すエラーを表示します。
BleepingComputerは、最新のMicrosoft Defenderシグネチャを搭載したWindows 10仮想マシンで、以下のように誤検知を引き起こすことができとスクリーンショットを掲載しています。
Microsoftはこの原因についてまだ情報を公開していませんが、同社がアップデートでEmotetを検出する感度を高めたことで、Defenderの動作検出エンジンの感度が高くなりすぎて誤検出が起こりやすくなったのではないかと考えられています。
