Microsoft Defender オフライン スキャンの結果を実行してレビューする

適用対象:

• Microsoft Defender for Endpoint Plan 1
• Microsoft Defender for Endpoint Plan 2
• Microsoft Defender ウイルス対策
• Microsoft Defender for Business
• 個人向けMicrosoft Defender

適用対象	型
プラットフォーム	Windows
保護の種類	ハードウェア
ファームウェア/ルートキット	オペレーティング システム Driver メモリ (ヒープ) アプリケーション ID クラウド

注:

この機能の保護は、ファームウェア/ルートキットに焦点を当てています。

Microsoft Defenderオフラインは、信頼された環境からスキャンを起動して実行できるマルウェア対策スキャン ツールです。 スキャンは通常の Windows カーネルの外部から実行されるため、マスター ブート レコード (MBR) に感染または上書きするウイルスやルートキットなど、Windows シェルをバイパスしようとするマルウェアを対象にすることができます。

Microsoft Defenderオフライン スキャンは、マルウェア感染が疑われる場合、またはマルウェアの発生後にエンドポイントの完全なクリーンを確認する場合に使用できます。

前提条件と要件

Windows でオフライン スキャンをMicrosoft Defenderするためのハードウェア要件を次に示します。

• x64 Windows 11
• x64/x86 Windows 10
• x64/x86 Windows 8.1
• x64/x86 Windows 7 Service Pack 1

注意

オフライン スキャンMicrosoft Defenderは、次の場合には適用されません。

• ARM Windows 11
• ARM Windows 10
• Windows Server 在庫保管単位 (SKU)

Windows 10要件とWindows 11要件の詳細については、次の記事を参照してください。

• ハードウェアの最小要件
• ハードウェア コンポーネントのガイドライン

オフライン更新プログラムのMicrosoft Defender

オフライン スキャンMicrosoft Defender更新プログラムを受け取るには:

• Microsoft Defenderウイルス対策は、(パッシブ モードではなく) プライマリ ウイルス対策ソフトウェアである必要があります。

• Microsoft Defenderウイルス対策を更新します。通常はエンドポイントに更新プログラムをデプロイする方法です。 サポートされているバージョンの を使用します。

  • プラットフォーム更新プログラム

  • エンジンの更新

  • セキュリティ インテリジェンス Updates

    • Microsoft マルウェア プロテクション センターから最新の保護更新プログラムを手動でダウンロードしてインストールできます
    • 詳細については、「Microsoft Defenderウイルス対策セキュリティ インテリジェンス更新プログラムの管理」の記事を参照してください。

• ユーザーはローカル管理者特権でサインインする必要があります。

• Windows Recovery Environment (WinRE) を有効にする必要があります。

注:

WinRE が無効になっている場合、Windows Defender オフライン スキャンは実行されません。エラー メッセージは表示されません。 マシンを手動で再起動しても何も起こりません。 これを解決するには、WinRE を有効にする必要があります。

• WinRE 状態をチェックするには、次のコマンド ライン: reagentc /infoを実行します。
• 状態が [無効] の場合は、次のコマンド ラインを実行して有効にすることができます: reagentc /enable。

使用シナリオ

オフライン スキャンMicrosoft Defender実行する必要があります。

Microsoft Defenderウイルス対策によって、オフラインMicrosoft Defender実行する必要があると判断された場合は、デバイス上のユーザーにメッセージが表示されます。 プロンプトは、次のような通知を介して発生する可能性があります。

ユーザーには、Microsoft Defender ウイルス対策クライアント内にも通知されます。 Intuneを使用してデバイスを管理している場合は、Intuneに通知を表示できます。

• 組み込みのWindows 10、バージョン 1607 以降、およびWindows 11されているオフライン スキャンを手動で強制的に実行できます。 または、 こちらの説明に従って、以前の Windows OS の起動可能なメディアをスキャンすることもできます。

Configuration Managerで、[監視] > [概要] > [セキュリティ] > [エンドポイント保護の状態] > System Center Endpoint Protection状態] に移動して、エンドポイントの状態を特定できます。

Microsoft Defenderオフライン スキャンは、[マルウェアの修復状態] の下に [オフライン スキャンが必要] として示されます。

通知を構成する

Microsoft Defenderオフライン通知は、他のMicrosoft Defenderウイルス対策通知と同じポリシー設定で構成されます。

Windows Defender での通知の詳細については、「 エンドポイントに表示される通知を構成する」を参照してください。

スキャンを実行する

重要

オフライン スキャンMicrosoft Defender使用する前に、ファイルを保存し、実行中のプログラムをシャットダウンしてください。 Microsoft Defenderオフライン スキャンの実行には約 15 分かかります。 スキャンが完了すると、エンドポイントが再起動されます。 スキャンは、通常の Windows オペレーティング環境の外部で実行されます。 ユーザー インターフェイスは、Windows Defender によって実行される通常のスキャンとは異なって表示されます。 スキャンが完了すると、エンドポイントが再起動され、Windows が正常に読み込まれます。

Microsoft Defenderオフライン スキャンは、次の方法で実行できます。

• Windows セキュリティ アプリ
• PowerShell
• Windows Management Instrumentation (WMI)

Windows Defender セキュリティ アプリを使用してオフライン スキャンを実行する

Windows 10、バージョン 1607 以降、およびWindows 11以降、Microsoft Defenderオフライン スキャンは、Windows セキュリティ アプリから 1 回のクリックで直接実行できます。 以前のバージョンの Windows では、ユーザーは、Microsoft Defenderオフライン スキャンを起動可能なメディアにインストールし、エンドポイントを再起動し、起動可能なメディアを読み込む必要がありました。

注:

バージョン 1607 Windows 10では、オフライン スキャンは、Windows Defender >または Windows Defender クライアントから、Windows Settings > Update & セキュリティから実行できます。

1. Windows デバイスで、Windows セキュリティ アプリを開き、[スキャン オプション] を開きます。

2. [オフライン スキャン] Microsoft Defenderラジオ ボタンを選択し、[今すぐスキャン] を選択します。

   プロセスは C:\ProgramData\Microsoft\Windows Defender\Offline Scannerから開始されます。

3. 次の図のように、作業を続行する前に保存するように求めるメッセージが表示されます。

   

   作業を保存したら、[スキャン] を選択 します。

4. [スキャン] を選択すると、次の図のように、デバイスに変更を加えるアクセス許可を要求する別のプロンプトが表示されます。

   

   [はい] を選択します。

5. 次の図のように、別のプロンプトが表示され、サインアウトされ、Windows が 1 分以内にシャットダウンされることを通知します。

   

6. Microsoft Defenderウイルス対策スキャン (オフライン スキャン) が進行中であることがわかります。

   

   次の画像が表示されます。

   

PowerShell コマンドレットを使用してオフライン スキャンを実行する

次のコマンドレットを使用します。

Start-MpWDOScan

Microsoft Defender ウイルス対策で PowerShell を使用する方法の詳細については、「PowerShell コマンドレットMicrosoft Defender使用してウイルス対策コマンドレットと Defender ウイルス対策 コマンドレットを構成して実行する」を参照してください。

Windows 管理命令 (WMI) を使用してオフライン スキャンを実行する

オフライン スキャンを実行するには 、MSFT_MpWDOScan クラスを使用します。

次の WMI スクリプト スニペットは、Microsoft Defenderオフライン スキャンを直ちに実行します。これにより、エンドポイントが再起動され、オフライン スキャンが実行され、再起動して Windows に起動します。

wmic /namespace:\\root\Microsoft\Windows\Defender path MSFT_MpWDOScan call Start

詳細については、「 Windows Defender WMIv2 API」を参照してください。

Windows 7 Service Pack 1 と Windows 8.1:

1. Windows Defender オフラインをダウンロードし、次のリンクを使用して CD、DVD、または USB フラッシュ ドライブにインストールします。

   • 64 ビット バージョンをダウンロードする (msstool64.exe)
   • 32 ビット バージョンをダウンロードする (msstool32.exe)

   ダウンロードするバージョンがわからない場合は、「 PC で 32 ビット版または 64 ビット 版の Windows を実行していますか?」を参照してください。

2. 開始するには、少なくとも 250 MB の空き領域がある空き CD、DVD、または USB フラッシュ ドライブを見つけて、ツールを実行します。 リムーバブル メディアを作成する手順について説明します。

   ヒント

   Windows Defender オフラインをダウンロードするときは、次の操作を行うことをお勧めします。

   • Windows Defender オフラインをダウンロードし、マルウェアがメディアの作成に干渉する可能性があるので、マルウェアに感染していない PC に CD、DVD、または USB フラッシュ ドライブを作成します。
   • USB ドライブを使用すると、ドライブが再フォーマットされ、そのドライブ上のデータが消去されます。 最初にドライブから重要なデータをバックアップしてください。

   

3. PC でウイルスやその他のマルウェアをスキャンします。

   1. USB ドライブ、CD、または DVD を作成したら、現在のコンピューターから削除し、スキャンするコンピューターに取り込みます。 USB ドライブまたはディスクを他のコンピューターに挿入し、コンピューターを再起動します。

   2. USB ドライブ、CD、または DVD から起動してスキャンを実行します。 コンピューターの設定によっては、再起動後にメディアから自動的に起動する場合や、キーを押して [ブート デバイス] メニューを入力したり、コンピューターの UEFI ファームウェアまたは BIOS で起動順序を変更したりする必要がある場合があります。

   3. デバイスを起動すると、コンピューターを自動的にスキャンしてマルウェアを削除するMicrosoft Defender ツールが表示されます。

   4. スキャンが完了し、ツールが完了したら、コンピューターを再起動し、Microsoft Defenderオフライン メディアを削除して Windows に戻すことができます。

4. お使いの PC から見つかったマルウェアを削除します。

   オフライン スキャンの実行時にブルー スクリーンで Stop エラーが発生した場合は、デバイスを再起動し、Microsoft Defenderオフライン スキャンをもう一度実行してみてください。 ブルー スクリーン エラーが再び発生した場合は、Microsoft サポートにお問い合わせください。

スキャン結果はどこで確認できますか?

Windows 10とWindows 11でMicrosoft Defenderオフライン スキャンの結果を表示するには:

1. [スタート] を選択し、[設定]>& [セキュリティ>Windows セキュリティ>ウイルス & 脅威保護を更新する] を選択します。

2. [ ウイルス & 脅威保護 ] 画面 の [現在の脅威] で、[ スキャン オプション] を選択し、[ 保護の履歴] を選択します。 詳細については、「Windows セキュリティ アプリの脅威検出履歴を確認する」を参照してください。

オフライン スキャンMicrosoft Defender開始されたかどうかを確認するにはどうすればよいですか?

イベント ビューアーで、[アプリケーションとサービス ログ] > [Microsoft > Windows > Windows Defender > Operational] に移動します。 今にわかります：

• ログ名: Microsoft-Windows-Windows Defender/Operational
• ソース: Microsoft-Windows-Windows Defender
• イベント ID: 2030
• レベル: 情報
• 説明: Microsoft Defenderウイルス対策がダウンロードされ、次の再起動時に実行されるようにウイルス対策 (オフライン スキャン) Microsoft Defender構成されました。

2004 年Windows 10より古いバージョンでは、次の情報が表示されます。

Windows Defender ウイルス対策ダウンロードし、次の再起動時に実行するように Windows Defender オフラインを構成しました。

• ログ名: Microsoft-Windows-Windows Defender/Operational
• 源： Microsoft-Windows-Windows Defender
• イベント ID: 5007
• レベル： Information
• 形容： Microsoft Defender Antivirus Configuration has changed. If this is an unexpected event, you should review the settings as this may be the result of malware.
• 古い値: N/A\Scan\OfflineScanRun =
• 新しい値: HKLM\SOFTWARE\Microsoft\Windows Defender\Scan\OfflineScanRun = 0x0

関連記事

• スキャンと修復の結果をカスタマイズ、開始、確認する
• Microsoft Defender ウイルス対策 (Windows 10)

ヒント

他のプラットフォームのウイルス対策関連情報を探している場合は、次を参照してください。

• macOS 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Mac 用 Microsoft Defender for Endpoint
• Intune の Microsoft Defender ウイルス対策の macOS ウイルス対策ポリシー設定
• Linux 上で Microsoft Defender for Endpoint 用の基本設定を設定する
• Linux 用 Microsoft Defender for Endpoint
• Android 機能用 Defender for Endpoint を構成する
• iOS 機能用 Microsoft Defender for Endpoint を構成する

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。