Microsoft DefenderがOffice更新をマルウェアとみなす大失態発生

S 20200417 203438

Microsoft Defender for Endpointが、Officeアプリのアップデートをランサムウェアとして検出する大失態が発生していたことがわかりました(Neowin)。

問題は米国時間16日の未明に、システム管理者がMicrosoft Defender for Endpointを最新版にアップデートし、ランサムウェアのアラートに気づいた事により発見されます。Microsoftはすぐに問題への対処を開始し、アラートが誤検出によって発生していることを確認します。

Microsoftのセキュリティ&コンプライアンス担当プリンシパル・テクニカル・スペシャリストSteve Scholz(Redditのユーザー名Steve_Scholz)氏は、以下のように説明しています。

FYI
This was a False/Positive and has now been corrected. Please see the details below:

Starting on the morning of March 16th, customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system. Microsoft has investigated this spike of detections and determined they are false positive results. Microsoft has updated cloud logic to suppress the false positives.

Description
• Customers may have experienced a series of false-positive detections that are attributed to a Ransomware behavior detection in the file system.
• Microsoft has updated cloud logic to prevent future alerts being generated and to clear the previous false positives.

参考までに
これはFalse/Positiveであり、現在は修正されています。詳細は以下をご覧ください。

3月16日の朝から、ファイルシステム内のランサムウェアの動作検知に起因する一連の偽陽性検知を経験した可能性があります。Microsoftはこの検出の急増を調査し、誤検出であると判断しました。Microsoftは誤検出を抑制するためにクラウドロジックを更新しました。

説明
- ファイルシステム内のランサムウェアの動作検知に起因する、一連の誤検知を経験されたお客様がいらっしゃるかもしれません。
- Microsoftは、今後アラートが生成されないようにするため、クラウド ロジックを更新し、以前の誤検出を解除しました。

同じスレッドの別の回答でScholz氏は、この騒動はコードの問題によって引き起こされ、その後修正されたと説明しています。

Root cause: A recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present.

根本的な原因 ランサムウェアのアラートを検知するサービスコンポーネントにおいて、最近実施されたアップデートにより、問題が存在しないにもかかわらずアラートが発動されるコード上の問題が発生しました。