ハッカー、偽アンチウイルスツールでWindows Defenderを無効化

ハッカーが、Windows Defenderを簡単に無効化する新たなツール「Defendnot」を利用していることが明らかになった。このツールは、セキュリティ研究者のes3n1n氏によって最近公開され、Windowsのセキュリティセンター（WSC）APIを悪用するものだ。

es3n1n氏によると、Defendnotは、第三者のアンチウイルスプログラムがデバイス上で動作していることをオペレーティングシステムに通知するために使用される、従来未公開だったWSC APIを活用する。通常、複数のアンチウイルスプログラムが1つのデバイス上で同時に動作することは、さまざまな競合により不可能である。そのため、Windows Defenderは別のアンチウイルスがインストールされたことを検知すると、自動的に自身を無効化する。

Defendnotは、偽のアンチウイルスプログラムをシステムに登録することで、この仕組みを悪用し、Windows Defenderを無効化する。なお、以前の同様のツールは著作権侵害により削除された経緯がある。今回のツールの登場は、Windowsユーザーのセキュリティリスクを高める可能性があり、Microsoftやセキュリティ専門家による対策が急務となっている。