AMSI|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. AMSI
             

AMSI

AMSI(Antimalware Scan Interface) は、MicrosoftがWindowsに導入したセキュリティ機能で、Windowsアプリケーションやスクリプトが実行される際にマルウェアスキャンを行うためのインターフェースです。AMSIは、主にマルウェアや不正スクリプトの検出を強化するために設計されており、Windows Defenderや他のアンチウイルスソフトウェアと連携して動作します。

AMSIは、特にPowerShellやJavaScript、VBScriptなどのスクリプト言語を対象とし、これらのスクリプトがシステム上で実行される前にスキャンを行い、悪意のあるコードが含まれていないかを確認します。これにより、サイバー攻撃でよく使われるスクリプト型マルウェアやファイルレスマルウェアからシステムを保護することができます。

AMSIの仕組みと機能

AMSIは、Windowsシステムで動作する各アプリケーションやスクリプトエンジンに組み込まれており、疑わしいコードが実行される前にスキャンを行います。以下が、AMSIの主要な機能と仕組みです。

1. スクリプトのスキャンと検出

AMSIは、スクリプトが実行されるたびに、スクリプトの内容をアンチウイルスソフトウェアに渡し、スキャンを実行します。特に、PowerShellやVBScriptなどの実行内容が動的に生成されるスクリプト型マルウェアに対して有効で、スクリプトコード内の悪意のある命令を検出し、システムの実行を阻止します。

2. アンチウイルスソフトウェアとの連携

AMSIはWindows Defenderだけでなく、システムにインストールされたサードパーティ製のアンチウイルスソフトウェアとも連携可能です。AMSIは、アンチウイルスソフトに疑わしいコードを送信し、スキャン結果に基づいて脅威が存在するかどうかを判断します。これにより、マルウェアの検出率が向上し、リアルタイムでの防御が強化されます。

3. 動的解析によるファイルレスマルウェア対策

AMSIは、ファイルレスマルウェアにも対応しています。ファイルレスマルウェアは、従来のファイルベースの検出技術を回避し、メモリ上で動作するマルウェアです。AMSIは、メモリ内で実行されるスクリプトやコードもスキャン対象に含め、システムに侵入してくる悪意のあるコードの実行を防ぎます。

4. 暗号化されたコードのデコードと検出

サイバー攻撃で使用されるスクリプトの多くは、検出を回避するために暗号化されていますが、AMSIはスクリプトの解読後にスキャンを行うことができます。これにより、暗号化や難読化されたスクリプトも、デコード後に検出可能です。

5. スキャン結果によるブロック機能

AMSIはスキャン結果に基づき、検出したスクリプトの実行を停止させます。スキャンの結果、疑わしいコードが含まれていると判断されると、アンチウイルスソフトウェアによりスクリプトの実行がブロックされ、システムへの感染を防ぎます。

AMSIの活用例と防御対象

AMSIは、特に以下のようなケースで活用されています。

1. PowerShellのスクリプト実行

PowerShellは、Windows管理者がシステム操作に用いる強力なスクリプトツールですが、サイバー攻撃者もこのツールを悪用してシステム侵入や権限昇格を行うことがあります。AMSIは、PowerShellで実行されるスクリプトをスキャンし、悪意のあるコードの実行を阻止します。

2. Microsoft Officeマクロの監視

WordやExcelのマクロは攻撃者によってマルウェア拡散に利用されることがあります。AMSIは、Microsoft Officeで実行されるマクロスクリプトを監視し、マルウェアの実行を防止します。

3. Webベースのスクリプトの監視

JavaScriptやVBScriptなど、ウェブページ上で動作するスクリプトにも対応しています。これにより、Webベースの攻撃(例:ドライブバイダウンロード攻撃)で悪意のあるコードが実行されることを防ぎます。

4. 動的解析でのファイルレスマルウェア防御

AMSIは、ファイルに依存しないファイルレスマルウェアに対しても動的にコードを検出できるため、メモリ内で動作する悪意のあるコードもスキャンします。

AMSIの回避とその対策

AMSIは強力な検出機能を持ちますが、サイバー攻撃者はAMSIの検出を回避する技術を試みることもあります。以下は代表的な回避手法とその対策です。

1. 難読化と暗号化

攻撃者は、スクリプトを難読化(オブスクフィケーション)して、AMSIの検出を回避しようとします。AMSIはスクリプトを実行前にデコードしてスキャンできるため、最新の難読化手法も検出されやすくなっています。Microsoftは定期的なAMSIのアップデートでこのような回避手法に対応しています。

2. AMSIバイパスの試み

一部のマルウェアは、AMSI自体を無効化しようと試みるコードを含みます。例えば、AMSIのプロセスを無効化するPowerShellコマンドが悪用されるケースです。これに対しては、セキュリティソフトのリアルタイム保護と組み合わせて、AMSIバイパスを試みるプロセスを検出してブロックする仕組みが有効です。

3. 特権昇格による無効化

攻撃者が管理者権限を奪取した場合、AMSIを直接無効化しようとする可能性があります。このリスクを減らすためには、管理者権限を厳密に制限し、多要素認証を有効にすることが推奨されます。

AMSIのメリットと限界

メリット

  • リアルタイムでのマルウェア防御:スクリプトが実行されるたびに検出が行われるため、即時にマルウェアの防御が可能です。
  • ファイルレスマルウェア対策:メモリ内で動作するマルウェアに対しても検出が可能で、ファイルに依存しない攻撃からシステムを保護します。
  • 幅広いアプリケーション対応:PowerShellやOfficeマクロ、Webスクリプトなど、さまざまなアプリケーションに対応し、包括的なセキュリティを提供します。

限界

  • 完全な防御は困難:高度な難読化や暗号化手法を使用するマルウェアに対しては、100%の検出は難しい場合もあります。
  • AMSIバイパスのリスク:一部の攻撃者はAMSI自体を無効化するバイパス手法を開発しており、常に最新の脅威に対応する必要があります。

まとめ

AMSI(Antimalware Scan Interface)は、Windowsにおける強力なセキュリティ機能であり、スクリプトやファイルレスマルウェアの実行をリアルタイムで監視することで、システムの安全性を大幅に向上させます。AMSIはWindows Defenderやサードパーティのセキュリティソフトと連携し、PowerShellやOfficeマクロ、Webスクリプトなどのスキャンを行うため、広範なセキュリティ保護を実現します。

ただし、完全な防御を実現するためには、難読化やAMSIバイパスといった回避手法に対応する必要があり、定期的なセキュリティアップデートや多層的なセキュリティ対策が重要です。AMSIは、今日の高度なサイバー攻撃に対する有効な防御策として、Windowsセキュリティの一環を担っています。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。