「Microsoft Defender」がショートカットファイルを破壊・削除 ～Microsoftが対策、復旧策を案内【1月17日追記】

同社のアナウンス

　米Microsoftは1月13日（現地時間）、「Microsoft Defender」のセキュリティインテリジェンス更新プログラムに重大な問題があったことを明らかにした。v1.381.2140.0をインストールすると、［スタート］画面やタスクバーにピン留めされていたり、デスクトップに配置されているアプリケーションのショートカットファイルが壊れたり、削除されることがあるという。具体的には、「Microsoft Office」アプリなどが起動できなくなることがあるようだ。

問題の「Microsoft Defender」のセキュリティインテリジェンス更新プログラム

　同社によると、この問題は「Microsoft Defender」の攻撃面縮小（Attack Surface Reduction：ASR）ルールのうち「OfficeマクロからのWin32 API呼び出しをブロックする」というルールを有効にしている環境で発生する。v1.381.2140.0のセキュリティインテリジェンス更新プログラムをインストールすると、誤った検出パターンに一致するショートカットファイル（.lnk）が削除されることがある。

　この問題が影響するプラットフォームは、以下の通り。

• Windows 11 バージョン 22H2
• Windows 10 バージョン 22H2
• Windows 11 バージョン 21H2
• Windows 10 バージョン 21H2
• Windows 10 バージョン 20H2
• Windows 10 Enterprise LTSC 2019
• Windows 10 Enterprise LTSC 2016
• Windows 10 Enterprise 2015 LTSB

　問題が発生するのはクライアントOSのみで、サーバーOSでは起こらないようだ。また、家庭や小規模オフィスなど、ASRルールを利用していない環境には影響しない。

　回避策としては、まずASRルールを監査モード（Audit Mode）に変更することが挙げられる。これはASRルールの有効化が環境にどのような影響を与えるかを調査するモードで、ルールが実際に適用されることはない。

　次に、「Microsoft Defender」のセキュリティインテリジェンス更新プログラムを対策版にアップデートする必要がある。同社によると、v1.381.2164.0以降であれば問題は解決されているとのこと。

「Windows セキュリティ」アプリで「Microsoft Defender」のバージョンを確認

　加えて、ショートカットファイルが失われた場合はその復旧が必要。同社が提供しているPowerShell スクリプトを管理者またはシステム権限で実行すればよい。手動でショートカットファイルの配置やピン留めをやり直してもよいだろう。

［2023年1月17日編集部追記］ 米Microsoftは現地時間1月16日付で、削除されたショートカットを修復するスクリプトのv2.0をリリースした。英語環境以外への対応やエラー処理も改善されているため、日本語環境では本バージョンを利用するとよいだろう。