Microsoft Defenderが「このコンテンツは利用できなくなりました」と書かれたテキストファイルを「重大な脅威」と誤検知して削除してしまうと判明

WindowsにはMicrosoftが開発したアンチウイルスソフトウェア「Microsoft Defender」が搭載されており、一般ユーザーであればサードパーティー製のセキュリティスイートを入れずとも強力なウイルス対策が可能とされています。しかし、このMicrosoft Defenderに特定のテキストファイルを重大な脅威と見なしてしまうバグが発見されました。

Microsoft Defender flags text file containing ‘This content is no longer available.’ as a severe threat | Tom's Hardware
https://www.tomshardware.com/software/antivirus/microsoft-defender-flags-text-file-containing-this-content-is-no-longer-available-as-a-severe-threat

エンジニアのyappy氏はX(旧Twitter)で、Microsoft Defenderが「This content is no longer available.(このコンテンツは利用できなくなりました)」と書かれたテキストファイルによって誤作動する現象を報告しています。

yappy氏によれば、「This content is no longer available.」あるいは「This content is no longer available!」というテキスト行を含むテキストファイルを検知すると、Microsoft Defenderはこのテキストファイルをトロイの木馬としてフラグ付けし、システムから削除してしまうとのこと。この処理はファイル名に関係なく速やかに行われてしまうため、表面上は「潜在的な『重大な脅威』から保護された」ように見えます。

yappy氏は当初、この誤検知は暗号化のハッシュ関数であるSHA-256の衝突ではないかと推測しました。

しかし、他のXユーザーから「これはSHA-256のハッシュ衝突ではなく、そのテキスト行を含むテキストファイルがマルウェアデータベースにアップロードされたからではないか」と指摘されました。

実際に他のセキュリティソフトだと、トロイの木馬だとは検出されておらず、誤検出はMicrosoft Defenders特有の問題でした。

IT系ニュースサイトのTom's Hardwareは、「このバグはそれほど深刻ではありません。テキスト自体はWindows 11に脅威を与えるものではありませんし、句読点を変更したり末尾にスペースを追加したり、他のテキストを追加すると誤検出はなくなります」と述べています。

ただし、「This content is no longer available.」あるいは「This content is no longer available!」のテキスト行を含むテキストファイルを保存する必要がある場合は、保存先をMicrosoft Defenderによるスキャンの例外ディレクトリに指定しなければ、ファイルが削除されてしまう可能性があります。

記事作成時点ではこのバグは修正されていない模様。yappy氏はX上で、Windowsの公式Xアカウントに対し「fix yo shit(直せおいクソが)」というリプライを送っています。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください！Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください！

• Discord | "ウイルス対策ソフトの誤検知で大事なファイル消されたことある？" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1254726391585439816