【Windows Defender】頻繁に win32/hive.zy についての検知・削除通知が表示される

Security

社内で一部 Windows Defender で運用している部分があり、社員から緊急対応の連絡がきました。取り急ぎ現時点での調査結果などについて議事録として残しておきます。

概要

本日9月4日から突然 Windows Defender から「win32/hive.zy」を検知・削除した通知が頻繁に表示されると連絡が来ました。

調べていると、Microsoft Edge Chromium 版と Google Chrome を利用しているときに検知されていましたので、おそらく Chrome 関連や Electron ベースのアプリ関連に対して反応しているようです。

詳細

調査方法は緊急でしたので簡易になりますが、おそらくWindows Defender の不具合によるフォールスポジティブ(偽陽性)のようです。
ただ、何が起こるかわかりませんので慎重になる必要はあると思います。

  • ほぼ同環境の Windows Defender 以外のマルウェア対策ソフトを運用しているパソコンでは発生しませんでした。
  • Windows Defender や 別の対策ソフトで全スキャンを行ってもらいましたが、なにも検知されませんでした。
  • ブラウザで調べことをしていたら頻繁に発生したとのことでしたので、Microsoft Edge を起動して利用していただいたところ、再現されました。Google Chrome についても同様でした。
  • Chrome 関連に反応しているということで、同じパソコンで非Chromium である Firefox を利用していただきましたが検知はされませんでした。

Reddit を確認したところ、日本だけではなく世界で発生しているようです。

原因

マイクロソフトコミュニティにて回答がありました。

Redirecting

内容をまとめると以下になります。

  • この検知や削除はフォールスポジティブ(偽陽性)のようです。
  • 何百人もの人たちから報告されているバグである。
  • Chromium ベースの ウェブブラウザ(Microsoft Edge や Google Chrome など)に関連している。
  • Electron ベースのアプリ(Whatsapp、Discord、Spotify など)にも関連している。
  • Microsoft Defender ウイルス対策のセキュリティ インテリジェンス更新プログラム – KB2267602 (バージョン 1.373.1508.0) が原因のようです。

解決方法

マイクロソフトから公式の回答はまだ内容ですが、Microsoft Defender Antivirus のセキュリティ インテリジェンス更新プログラム – KB2267602 (バージョン 1.373.1537.0)をインストールすることで改善されるようです。

更新方法は以下になります。

スタートボタンをクリックし、Windows Search の入力項目に「Windows セキュリティ」と入力します。検索結果に「Windows セキュリティ」が表示されましたらクリックします。

OS によって Windows Search の入力項目の場所が異なります。
Windows 10 の場合は非表示にしてなければスタートボタンの右側にあります。

Windows 11 の場合はスタートボタンを押した際に表示されるメニュー内の上部にあります。

「ウイルスと脅威の防止」をクリックし「保護の更新」をクリックします。

おわりに

Windows Defender で頻繁に win32/hive.zy についての検知・削除通知がされる件について紹介しました。マイクロソフトコミュニティの回答を見る限りではフォールスポジティブ(偽陽性)である可能性があるため、慎重になりながらもマイクロソフトの対応を様子見するしかなさそうです。

タイトルとURLをコピーしました