Microsoft DefenderがOfficeのアップデートを「ランサムウェア」と誤検知してしまいアラートの嵐に

Windowsに標準搭載されているセキュリティソフトのMicrosoft Defenderは、Mozillaの元開発者が「これさえあればサードパーティー製のセキュリティ対策ソフトは不要」と太鼓判を押すほど評価が高いものとなっています。しかし、Microsoft Defenderが「身内」であるはずのMicrosoft Officeの更新をランサムウェアだと誤認し、アラートを出していたことが分かりました。

Microsoft Defender tags Office updates as ransomware activity
https://www.bleepingcomputer.com/news/security/microsoft-defender-tags-office-updates-as-ransomware-activity/

2022年3月16日から17日にかけて、Twitterに「Microsoft DefenderがOfficeの更新にランサムウェアとしてタグを付けている」との報告が相次ぎました。また、オンライン掲示板のRedditのスレッドにも、Microsoft DefenderがOfficeをランサムウェアとして誤検知しているとの書き込みが多数寄せられています。

これを受けて、Microsoftは「3月16日から、ファイルシステムにおけるランサムウェアの動作検知に起因する一連の誤検知が発生しています。具体的には、『ファイルシステムでランサムウェアの動作を検出しました』と表示され、『OfficeSvcMgr.exe』へのアラートが発生しています」と発表しました。

Microsoftの調査報告によると、この問題はクラウドを介してセキュリティを分析するMicrosoftのサービスであるMicrosoft Defender for Endpointの更新に、ランサムウェアの動作がないにもかかわらずアラートを発動させる不具合が存在したのが原因とのこと。Microsoftは、同社のエンジニアがクラウドのロジックを更新してアラートが出ないよう修正済みで、ログに残された誤検知の記録も自動的に削除されると案内しています。

Microsoft Defender for Endpointでは、2021年11月にも「OfficeがマルウェアのEmotetに感染した」と誤検知する問題が発生しているほか、12月には自社製のLog4jスキャナを誤検知してアラートが表示される問題が発生しました。

セキュリティ関連のニュースを扱うBleepingComputerは、Microsoftの広報担当に問い合わせを行いましたが、記事作成時点でコメントは得られていないとのことです。