MicrosoftのアンチウイルスソフトWindows Defenderが、特定のMicrosoftサーバーのエントリーが含まれるhostsファイルを重大なセキュリティリスクとして検出するようになったことが分かりました(gHacks)。
hostsファイルはIPアドレスとホスト名の対応を記述したシンプルなテキストファイルで、Windows 10の場合「C:Windows\System32\drivers\etc\hosts」が該当します。7月末以降このファイルに例えば「0.00.0 www.microsoft.com」のようなエントリーを追加すると、これが「SettingsModifier:Win32 / HostsFileHijack」として検出されるようになった模様です。
Windows 10ではテレメトリサーバーへの通信をブロックするため、hostsファイルを編集する方法が知られていました、しかし今回の変更で、以下のようなサイトを含むエントリが脅威として検出されるようになったため、、従来の手法が使えなくなる可能性が考えられます。
www.microsoft.com microsoft.com telemetry.microsoft.com wns.notify.windows.com.akadns.net v10-win.vortex.data.microsoft.com.akadns.net us.vortex-win.data.microsoft.com us-v10.events.data.microsoft.com urs.microsoft.com.nsatc.net watson.telemetry.microsoft.com watson.ppe.telemetry.microsoft.com vsgallery.com watson.live.com watson.microsoft.com telemetry.remoteapp.windowsazure.com telemetry.urs.microsoft.com
なお、hostsファイルの改変を許可することもできますが、その場合マルウェアなどによる悪意のある改変も見逃される可能性がでてきます。
