見え隠れする「Microsoft Defenderオフライン」の影、 Windows Serverでは使えずWindows 8.1には存在しない：その知識、ホントに正しい？ Windowsにまつわる都市伝説（172）

Windows 10の「Microsoft Defender」は、OSが起動していない状態でスキャンを実行できるオフラインスキャン機能を備えています。この機能、Windows Server 2016やWindows Server 2019では使えるようで使えません。Windows 8.1は、Windows 10にMicrosoft Defenderオフラインが追加されたことの影響を間接的に受け、PowerShellモジュールが機能しないという問題が発生します。

Windowsにまつわる都市伝説

ウイルス対策ソフトから隠れて活動するマルウェアもオフラインなら駆除できる可能性大

　「Microsoft Defenderオフライン」は、「Windows 10」に標準で組み込まれている「Microsoft Defender」の“オフラインスキャン機能”です。これはWindows 10 バージョン2004からの名称で、以前は「Windows Defender」でした。

　マルウェアの中には、スキャンエンジンから身を隠して活動するものがありますが、オフラインスキャンを利用すればOSは稼働していないので、活動を停止しているマルウェアの実体を駆除できる可能性があります（画面1〜3）。Microsoft Defenderオフラインは、他社のウイルス対策製品を導入している場合でも、「定期的なスキャン」のオプションの一つとして利用可能です。

画面1　Windows 10 バージョン2004のMicrosoft Defenderでオフラインスキャンを開始する

画面2　Windows回復環境でPCが再起動され、オフラインスキャンが実行される。脅威の検出と駆除状況はリアルタイムに確認できるが、100％完了するとすぐに再起動してしまうので見逃す可能性あり

画面3　Windows 10 バージョン1903以降の「保護の履歴」からは、PCの再起動後にオフラインスキャンの結果を確認できるようになった

　以下の連載記事では、Windows 10 バージョン1903からの新機能である「保護の履歴」を紹介し、以前のバージョンのWindows 10がオフラインスキャンの結果を再起動後に提供しないという問題について触れました。

• Windows 10 バージョン1903のWindows Defender新機能（2）──保護の履歴（連載：企業ユーザーに贈るWindows 10への乗換案内 第58回）

　以下のサポート情報の「スキャン結果はどこで確認できますか？」には、最新のWindows 10の「保護の履歴」、または以前のバージョンの「脅威履歴」でスキャン結果を確認できるように書いてありますが、できるようになったのはWindows 10 バージョン1903以降の「保護の履歴」からです。

• Microsoft Defenderオフラインを使ってPCを保護する（Microsoftサポート）

　Windows 10 バージョン1809以前の「脅威履歴」にオフラインスキャンの結果が表示されることは決してありません。スキャン結果を確認するには、前出の画面2をじっと見ているしかありません。見逃すと自動的に再起動され、結果は消えてしまいます。

　オフラインスキャンは心強いセキュリティ機能ですが、見ていないとちゃんと動いているのかどうか分からない、本当にちゃんと仕事をしているのかと心配にもなるでしょう。Windows 10 バージョン1903以降はちゃんと仕事をしてくれるようになりましたが、履歴を確認できないWindows 10 バージョン1809やWindows 10 Enterprise LTSB 2016をご利用中の場合はこの点にご注意ください。

Windows Server 2016／2019はオフラインスキャンに非対応？