Exchange Server、ウイルススキャン時の除外設定変更を――Microsoftが注意喚起

Microsoftは「Microsoft Exchange Server」に対してアンチウイルスソフトウェアを利用する際に求めてきた除外設定の変更をするように呼びかけた。

[後藤大地，有限会社オングス]

　Microsoftはこれまで、「Microsoft Exchange Server」（以下、Exchange Server）にアンチウイルスソフトウェアを利用する場合、特定のリソースをスキャン対象から外す設定を適用するように求めていた。これを適用しなければパフォーマンスや安定性に問題が出るためだ。

　だがMicrosoftは2023年2月23日（現地時間）、パフォーマンスやサイバーセキュリティを取り巻く状況が変化しており、従来の設定のままだと逆に脆弱（ぜいじゃく）になるとし、これまで除外対象としてきたリソースを除外対象から外すように呼びかけた。

MicrosoftはExchange Serverへのアンチウイルスソフトウェア適用時の設定変更について伝えた（出典：MicrosoftのWebサイト）

除外対象として設定すべきではないリソースは？

　Microsoftはサイバーセキュリティ状況の変化によって、これまで設定することが推奨されてきた幾つかの除外対象は、むしろ指定しない方が安全になると指摘し、特に以下のリソースは除外対象として設定すべきではないとしている。

• 一時的なASP.NETファイル（%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\Temporary ASP.NET Files）
• Inetsrvフォルダ（%SystemRoot%\System32\Inetsrv）
• PowerShellプロセス（%SystemRoot%\System32\WindowsPowerShell\v1.0\PowerShell.exe）
• w3wpプロセス（%SystemRoot%\System32\inetsrv\w3wp.exe）

　これらをウイルススキャンの除外対象とし続けた場合、「Microsoft IIS」のWebシェルやバックドアモジュールの検出を阻害することになり、セキュリティ上良くない影響を与える可能性がある。

　もともとはウイルススキャンのパフォーマンスや安定性が低下することを懸念してこれら除外対象が設定されていた。しかしMicrosoftによると、「Exchange Server 2019」において「Microsoft Defender」を使って検証した際、除外設定からこれらのリソースを抜いてもパフォーマンスや安定性で問題は発生しなかったとしている。なおMicrosoftによると、「Exchange Server 2016」や「Exchange Server 2013」においても同様に除外設定を削除してもよい。