【訳】

アンチマルウェア スキャン インターフェース(AMSI)

【公開情報】

◆Antimalware Scan Interface (AMSI) (Microsoft, 2019/08/24)
[アンチマルウェア スキャン インターフェース(AMSI)]
https://learn.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal

【関連まとめ記事】

◆全体まとめ
　◆マルウェア / Malware (まとめ)
　　◆EDR回避 (まとめ)

◆AMSI バイパス (まとめ)
https://malware-log.hatenablog.com/entry/AMSI_Bypass

【翻訳】

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
アンチマルウェア・スキャン・インターフェース(AMSI)
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

2019年8月24日

目的

Windows Antimalware Scan Interface (AMSI) は、アプリケーション
やサービスを、そのコンピューターにインストールされているマルウ
ェア対策製品と統合することを可能にする、汎用性の高いインターフ
ェース規格です。 AMSI は、エンドユーザーとそのデータ、アプリケ
ーション、および作業負荷に対して、強化されたマルウェア対策を提
供します。

AMSI はマルウェア対策ベンダーを問わない仕様であり、アプリケー
ションに統合可能な、今日のマルウェア対策製品が提供する最も一般
的なマルウェアのスキャンおよび保護技術に対応するよう設計されて
います。AMSI は、ファイルおよびメモリまたはストリームのスキャ
ン、コンテンツソースの URL/IP レピュテーションチェック、その他
の技術を可能にする呼び出し構造をサポートしています。

また、AMSIはセッションの概念もサポートしており、マルウェア対策
ベンダーは異なるスキャン要求を関連付けることができます。例えば、
悪意のあるペイロードの異なる断片を関連付けることで、より正確な
判断を下すことができます。断片を個別に確認するだけでは、このよ
うな判断を下すのははるかに困難です。

AMSIと統合するWindowsコンポーネント

AMSIの機能は、Windows 10の以下のコンポーネントに統合されていま
す。

■ユーザーアカウント制御(UAC)(EXE、COM、MSI、またはActiveXのイン
ストール権限昇格)
■PowerShell(スクリプト、対話型使用、動的コード評価)
■Windows Script Host (wscript.exe および cscript.exe)
■JavaScriptおよびVBScript
■Office VBA マクロ

開発者向け、およびサンプルコード

マルウェア対策スキャンインターフェースは、2つの開発者グループ
を対象に設計されています。

■アプリケーション開発者:アプリケーションからアンチマルウェア製
品にリクエストを送信したい場合
■また、マルウェア対策製品のサードパーティ開発者で、自社製品がア
プリケーションに最高の機能を提供できるようにしたいと考えている
方々にもご利用いただけます。

詳細は、「開発者向け情報、およびサンプルコード」を参照してくだ
さい。

注

Windows 10 バージョン 1903 以降では、AMSI プロバイダー DLL が
Authenticode 署名されていない場合、ロードされない場合がありま
す(ホストマシンの構成によります)。詳細は、
IAntimalwareProvider インターフェイスを参照してください。