Windows Info 第521回

Windowsでアプリをインストールしたときに警告が表示する「Defender SmartScreen」と「Smart App Control」

　Windows 11マシンを使い始めてしばらくすると、アプリケーションのインストール時に「スマートアプリ制御」に関するメッセージを受け取る。そのほかにもアプリのインストール前に警告表示が出ることがある。こちらはDefenderスマートスクリーン（以下、スマートスクリーン）と呼ばれる機能だ。この2つはよく似ていて、混同されることが多いが、実際には異なる原理で動作するセキュリティ機能だ。

そもそもスマートアプリ制御とは？

　スマートアプリ制御（Smart App Control、SAC）は、2022年のWindows 11 Ver.22H2で導入された機能だ。スマートアプリ制御は「信頼できない」アプリ（安全でないアプリ）を実行させないことでユーザーを保護する。

　スマートアプリ制御では、Microsoft側（クラウド側）のサービス（セキュリティサービス）を使って、アプリの安全性を検証する。セキュリティサービスが、ソフトウェアは安全であると断定できた場合、プログラムの実行が許可される。しかし、危険である（信頼できない）と判断した場合、スマートアプリ制御はアプリを起動させない。

　セキュリティサービスが明確な判断ができなかった場合、スマートアプリ制御は、アプリ自体に有効な署名があるかどうかを調べ、有効な署名があるのなら実行を許可する。署名がない、あるいは有効ではない場合、「信頼できないアプリ」は実行が禁止される。

　Windows 11では、信頼されていないアプリが存在しない環境とは、ゼロからのフルインストールや完全再インストールの直後だけである。スマートアプリ制御が安全に動作するためには、こうした「クリーン」な状態からスタートさせる必要がある。

　クリーンインストール、あるいはメーカーでのプリインストール状態であれば、スマートアプリ制御を有効にすることができる。ただし、原稿執筆時点のWindows 11 Ver.25H2では、ユーザーデータを消去した完全再インストールの直後でなければ、一回オフにしたスマートアプリ制御を有効に戻すことができる。

　スマートアプリ制御には、3つの状態がある。1つは、スマートアプリ制御が完全に無効になった「オフ」状態。もう1つは、スマートアプリ制御が動作しているが、マシン内部のアクティビティを監視する「監視モード（Windows)」である。最後は、スマートアプリ制御が完全に動作している「強制モード」だ。

　スマートアプリ制御は、「Windowsセキュリティ」アプリから設定する。通常はスタートメニューにアイコンが登録してある。しかし、Windowsの検索機能（タスクバーの検索アイコン）から「Windowsセキュリティ」アプリを見つけたほうが早いだろう。

セキュリティ関連の設定は、Windowsセキュリティアプリからする。今回は、「アプリとブラウザーコントロール」を開く

　スマートアプリ制御は、「Windowsセキュリティアプリ」→「アプリとブラウザーコントロール」→「スマートアプリコントロール」→「スマートアプリコントロールの設定」で設定する。

「スマートアプリコントロール」の項目があった場合、該当のハードウェアでは、スマートアプリ制御が利用できる

　なお、アプリとブラウザーコントロールに「スマートアプリコントロール」の項目がない場合、該当のハードウェアでは、スマートアプリコントロールを利用できない。また、1回オフにしてしまうと、完全再インストールをして、Windowsの非標準アプリをすべて消去するなどしてクリーンな環境にしないと「オン」「評価」を選択できなくなる。

Defenderスマートスクリーンとは？

　スマートスクリーンの起源は、Internet Explorer 7（IE7）に搭載された「Phishing Filter」に起源を持つ。当時はブラウザーだけの機能で、怪しいサイトを開くのを防ぐのが目的だった。その後、IE8で「SmartScreenフィルター」と名称を変え、機能が強化された。2012年にWindows 8の機能として統合され、実行ファイルや素性のわからないアプリケーションの起動やインストールなどを警告する機能を持つようになった。

　2015年に登場したWindows 10では、セキュリティブランドである「Defender」に取り込まれ、「Windows Defender SmartScreen」となり、最終的に現在の名称「Microsoft Defender SmartScreen」になった。Windows 11にもそのまま受け継がれ、名称も変わらない。

　スマートスクリーンは、Webとダウンロードしたプログラムに対して、以下のような判断をする。まず、Webページに関しては、JavaScriptなどのプログラムが含まれるため簡易な検査となるが、スマートスクリーン組み込みのアルゴリズムが、Webページに怪しい動作を行うような兆候があるかどうかを判定する。同時に、サイトのURLをMicrosoft側のデータベースで検索し、フィッシング詐欺や悪意のあるページかどうかを判定する。

　もし何らかの兆候やデータベースとの一致を見つけた場合「警告ページ」を表示して、ユーザーに該当ページの操作をしないように警告する。

　ダウンロードしたプログラムの場合、Microsoft側の安全でないプログラムのデータベースを使って、一致があるかどうかを探す。このデータベースに登録があれば、危険の可能性が高いプログラムだと判定される。

　また、ダウンロードしたプログラムが、危険ではなく多数ダウンロードされている著名なプログラムであるかどうかをMicrosoft側のデータベースを検索して決定する。このデータベースに登録がない場合、危険を否定できないプログラムであると判定される。

　「危険の可能性が高い」あるいは「危険を否定できない」という判断に至った場合、スマートスクリーンはユーザーに警告する。 　スマートスクリーンは「Windowsセキュリティ」アプリの「アプリとブラウザコントロール」→「評価ベースの保護」→「評価ベースの保護設定」で設定する。

スマートスクリーンの設定は「評価ベースの保護」から

　安全ではないプログラムの実行を阻止する機能として、スマートアプリ制御とDefenderスマートスクリーンの2つの機能がある。原理は異なるものの、プログラムの起動を警告、阻止するという点で両者は似ている。企業内で、有償アプリケーションを使うだけといった単純な世界ならば、こうした保護でもなんとかなる。

　しかし、無料ソフトウェア、オープンソースソフトウェアの開発者としては、署名コストや大量配布に対してコスト負担が発生し、好ましいできごとではない。署名できないことで、配布本数が減り、評価も下がってしまう。

　スマートアプリ制御の設定はオン／オフのいずれか1つしかなく、特定のアプリを例外的に認めるといったことができない。こうしたことから、使う側は、利便性を優先して、信頼できないアプリの実行を禁止する機能をオフにしてしまうことが多く、結果的にセキュリティを低下させてしまうことがある。

ASCII倶楽部