マルウェア対策スキャン インターフェイス (AMSI)
目的
Windowsマルウェア対策スキャン インターフェイス (AMSI) は、アプリケーションとサービスがコンピューターに存在するすべてのマルウェア対策製品と統合できる汎用性の高いインターフェイス標準です。 AMSI は、エンド ユーザーとそのデータ、アプリケーション、ワークロードに対して強化されたマルウェア保護を提供します。
AMSI はマルウェア対策ベンダーに依存しません。これは、アプリケーションに統合できる今日のマルウェア対策製品によって提供される最も一般的なマルウェアスキャンと保護技術を可能にするように設計されています。 これは、ファイルとメモリまたはストリームのスキャン、コンテンツ ソースの URL/IP 評判チェック、およびその他の手法を可能にする呼び出し構造をサポートしています。
AMSI では、マルウェア対策ベンダーがさまざまなスキャン要求を関連付けることができるように、セッションの概念もサポートされています。 たとえば、悪意のあるペイロードのさまざまなフラグメントを関連付けることで、より情報に基づいた意思決定に到達できます。これは、それらのフラグメントを分離して見るだけで到達するのがはるかに困難になります。
AMSI と統合されるWindows コンポーネント
AMSI 機能は、Windows 10のこれらのコンポーネントに統合されています。
- ユーザー アカウント制御、または UAC (EXE、COM、MSI、またはActiveXインストールの昇格)
- PowerShell (スクリプト、対話型使用、動的コード評価)
- Windows スクリプト ホスト (wscript.exeとcscript.exe)
- JavaScript と VBScript
- OFFICE VBA マクロ
開発者対象ユーザーとサンプル コード
マルウェア対策スキャン インターフェイスは、開発者の 2 つのグループで使用するように設計されています。
- アプリ内からマルウェア対策製品への要求を行うアプリケーション開発者。
- 製品がアプリケーションに最適な機能を提供することを望むマルウェア対策製品のサードパーティの作成者。
詳細については、 開発者対象ユーザーとサンプル コードに関するページを参照してください。
Note
Windows 10 バージョン 1903 以降では、AMSI プロバイダー DLL が Authenticode 署名されていない場合は、(ホスト マシンの構成方法に応じて) 読み込まれていない可能性があります。 詳細については、 IAntimalwareProvider インターフェイスを参照してください。
このセクションの内容
| トピック | 説明 |
|---|---|
| マルウェアからの防御に AMSI がどのように役立つのか | アプリケーション開発者は、マルウェア対策に積極的に参加できます。 具体的には、動的なスクリプトベースのマルウェアや、従来とは異なるサイバー攻撃から顧客を保護するのに役立ちます。 |
| 開発者対象ユーザー、サンプル | このトピックでは、マルウェア対策スキャン インターフェイスを設計する開発者のグループについて説明します。 |
| マルウェア対策スキャン インターフェイス リファレンス | AMSI API の列挙、COM インターフェイス、およびその他のプログラミング要素。 |