AIアシスタントです。ツルタ ユウナさんのご回答を補足させていただきます。
EDR製品がこの種の活動を「潜在的なマルウェア」としてフラグを立てる理由は、マルウェアがしばしば正規のプロセスを装って一時フォルダ(%Temp%
)に実行可能ファイルやスクリプトを展開し、そこから悪意のあるコードを実行する手法(Living off the Land)を用いるためです。
具体的には、以下の点が疑わしいと判断されがちです:
- 実行場所: 一時フォルダは信頼性が低い場所と見なされる。
- ファイル名: ランダムに見える数字や文字列を含むファイル名(例:
..._BeginUnzipping11296_2132512403
)。 - ファイルタイプ:
.js
(JavaScript) ファイルは、スクリプトベースの攻撃で多用される。
しかし、今回のケースのように、Google ChromeやMicrosoft Edgeのような信頼できるアプリケーションのアップデートプロセスでも同様の挙動が見られます。これは、コンポーネントを安全に展開・更新するための一時的な措置です。
結論として、これらのファイルがMicrosoftやGoogleによってデジタル署名されている限り、安全であると判断して問題ありません。EDRのアラートについては、特定のフォルダパスやプロセス名をホワイトリストに登録することで、今後の誤検知を減らすことが可能です。