Windows Defenderがhostsファイルの特定の変更を危険とみなすようになる

S 20200805 103858

MicrosoftのアンチウイルスソフトWindows Defenderが、特定のMicrosoftサーバーのエントリーが含まれるhostsファイルを重大なセキュリティリスクとして検出するようになったことが分かりました(gHacks)。

hostsファイルはIPアドレスとホスト名の対応を記述したシンプルなテキストファイルで、Windows 10の場合「C:Windows\System32\drivers\etc\hosts」が該当します。7月末以降このファイルに例えば「0.00.0 www.microsoft.com」のようなエントリーを追加すると、これが「SettingsModifier:Win32 / HostsFileHijack」として検出されるようになった模様です。

S 20200805 104158

Windows 10ではテレメトリサーバーへの通信をブロックするため、hostsファイルを編集する方法が知られていました、しかし今回の変更で、以下のようなサイトを含むエントリが脅威として検出されるようになったため、、従来の手法が使えなくなる可能性が考えられます。

www.microsoft.com
microsoft.com
telemetry.microsoft.com
wns.notify.windows.com.akadns.net
v10-win.vortex.data.microsoft.com.akadns.net
us.vortex-win.data.microsoft.com
us-v10.events.data.microsoft.com
urs.microsoft.com.nsatc.net
watson.telemetry.microsoft.com
watson.ppe.telemetry.microsoft.com
vsgallery.com
watson.live.com
watson.microsoft.com
telemetry.remoteapp.windowsazure.com
telemetry.urs.microsoft.com

なお、hostsファイルの改変を許可することもできますが、その場合マルウェアなどによる悪意のある改変も見逃される可能性がでてきます。

スポンサーリンク