Microsoft、DefenderがOfficeアップデートをマルウェアと判定する大失態をふまえ偽陽性根絶に本気

S 20200417 203438

先日、Microsoft Defender for Endpointが、Officeアップデートをマルウェアと判定する大失態がありました。Defender for Endpointが、「OfficeSvcMgr.exe」をランサムウェアとして誤認するという問題で、システム管理者がSNS等で問題を報告したあと、Microsoftはすぐに修正を行います。その後、同社のセキュリティ&コンプライアンス担当の主席技術専門家であるSteve Scholz氏によって、この問題が誤検出によって発生したことが明らかとなりました。

Microsoftはこの問題を修正しただけでなく、少なくとも同社のDefender for Endpointで、今後このような誤検出が再び発生しないように、新たな対策に取り組んでいることが分かりました(Neowin)。

Microsoftは、Defender for Endpointを使用しているセキュリティ運用者、セキュリティ管理者向けのガイダンスを公開し、誤検知の多くを排除するための手順を説明しています。以下の図はその手順の概要を示しています。

1647594272 false postive steps source ms story

偽陽性と偽陰性に対処するための手順は以下の通りです。

  • Part 1: アラートの確認と分類
  • Part 2: 改善措置の見直し
  • Part 3: 除外項目を見直す、または定義する
  • Part 4:解析用ファイルを提出する
  • Part 5:脅威防御の設定を確認・調整する

ガイダンスは、偽陽性を排除するのに役立つだけでなく、脅威とそうでないものを区別するために役立つものとなっており、詳細はこちらで確認可能です。