Windows Defender SmartScreen は、ダウンロードしたファイルの評判を確認してから実行できるようにします。 評判のしくみを理解することは、ユーザーに対する適切な期待を設定し、適切な署名戦略を選択するのに役立ちます。
ヒント
SmartScreen の警告を回避する最も簡単な方法は、Microsoft Storeを介して発行することです。 ストア分散アプリにはMicrosoftの証明書が含まれており、SmartScreen のダウンロード警告の対象になることはありません。 この記事のすべての内容は、ストアの外部に配布されるアプリに適用されます。
SmartScreen の評判のしくみ
SmartScreen は、ユーザーがファイルをダウンロードするときに次の 2 つを評価します。
- 発行者の評判 — それは、既知で信頼されている発行者の署名証明書ですか?
- ファイル ハッシュの評判 — この特定のファイルは、悪意のあるものとして報告されることなく、十分な数のユーザーによってダウンロードされたかどうか?
どちらのシグナルも、クリーン (警告なし) のダウンロード エクスペリエンスに必要です。 信頼された発行元からの新しい署名付きバイナリは、ハッシュが十分なダウンロード履歴を蓄積するまで SmartScreen プロンプトを受け取ります。
SmartScreen の評判は ファイル ハッシュ単位 です。アプリの新しいビルドはどれも、評判がゼロからスタートします。 評判は以前のバージョンから転送されません。
2024 年の変更点: EV 証明書が SmartScreen をバイパスしなくなりました
これまで、拡張検証 (EV) コード署名証明書では 、すぐに SmartScreen の評判 が付与されます。EV 署名バイナリでは、最初のダウンロードでも警告は表示されません。 この動作は、Microsoftが信頼されたルート プログラムの要件を更新した2024年に削除されました。
現在の動作 (2024 年現在):
| 証明書タイプ | SmartScreen の初回ダウンロード動作 |
|---|---|
| 署名なし | ❌ 強力なブロック — 「WindowsがPCを保護しました」; このアプリを実行するには、追加のユーザー確認が必要になる場合があります。 エンタープライズ ポリシーでは、この確認を完全に防ぐことができます。 |
| 自己署名 | ❌ 強力なブロック — 既定では信頼されていない証明書。unsigned と同じ動作 |
| OV 証明書 (組織が検証済み) | ⚠️ 警告 — 評判が蓄積されるまで認識されないというフラグが設定されたアプリ。発行元名が検証済みとして表示される |
| EV 証明書 (拡張検証) | ⚠️ 警告 — 新しいファイルの OV と同じ (インスタント バイパスではなくなりました) |
| Azure成果物署名 (以前の信頼された署名) 証明書 | ⚠️ 新しいファイルに関する警告;評判は通常どおりに蓄積されます |
| Microsoft Store | ✅ 警告なし — Microsoftの証明書の対象 |
EV 証明書は引き続き価値を提供します (より多くの ID 検証が必要であり、企業の調達に重要な場合があります)。ただし、SmartScreen の即時バイパスは提供されなくなりました。 SmartScreen の警告を回避するためだけに EV にプレミアムを支払うことは、もはや正当化されません。
証明書オプションとその SmartScreen への影響
Microsoft Store (推奨)
Microsoft Storeを通じて公開されたアプリは、Microsoftによって再署名され、完全な評判を持ちます。 ストアにインストールされたアプリに対して SmartScreen の警告が表示されることはありません。
Azure Artifact Signing (以前の名称: 信頼された署名)
Azure Artifact Signing (旧称 Trusted Signing) は、ストア以外の配布Microsoft推奨されるコード署名サービスです。
- コスト: 約 $10/月 — 従来の CA 証明書よりも大幅に低い
- ハードウェア トークンは必要ありません — CI/CD パイプライン (GitHub Actions、Azure DevOps) と直接統合されます
- ID 検証が必要 — Microsoft は証明書を発行する前に組織の ID を検証します。
- SmartScreen の動作: OV 証明書と同じです。ダウンロード ボリュームに基づいて時間の経過と同時に評判が蓄積されます
従来の CA からの OV 証明書と EV 証明書
証明機関 (DigiCert、Sectigo など) からの従来のコード署名証明書も受け入れられます。 OV 証明書のコストは通常$150~300/年です。EV 証明書 $400+/年。 両方とも、新しいファイルに対して同等の SmartScreen 動作を持つようになりました。
OV または EV 証明書が既にある場合は、有効で機能したままです。 新しい証明書を購入する場合は、通常、Azure成果物署名 (以前の信頼された署名) Windowsアプリ配布の方が適しています。
新しいアプリを発行する場合の想定される内容
- 最初のダウンロード: アプリが認識されないことを示す SmartScreen プロンプトが表示される場合があります。 署名されたアプリの場合、発行元名が表示されます。警告は、不明な発行元ではなく、ファイルの評判が低いことを示しています。 ユーザーは、ソースを確認した後にのみ続行する必要があります。
- ダウンロードが蓄積された場合: SmartScreen の評判は自動的に構築されます。 ファイル ハッシュに十分なダウンロード履歴が含まれると、プロンプトが表示されなくなります。 開発者レポートに基づくと、これは通常、数週間と数百回のクリーンインストールが必要です。Microsoftが発行している正確なしきい値はありません。
- 新しいバージョン: 各ビルドは新たに開始されます—評価は以前のバージョンのハッシュから引き継がれません。
コンシューマー エンドポイントの SmartScreen 評判レビュー用のファイルを手動で送信する方法はありません。 評判は、ダウンロード ボリュームを通じて有機的に構築されます。
ヒント
エンタープライズ環境の場合、IT 管理者は、Microsoft Security Intelligence ポータルを使用して、レビュー用のファイルを送信できます。 これにより、内部デプロイまたはマネージド デプロイの信頼を高めることができますが、コンシューマー SmartScreen の動作には影響しません。
注
Microsoft Defender for Endpointまたは Windows Defender アプリケーション制御 (WDAC) によって管理されるエンタープライズ環境では、ポリシーの構成に応じて SmartScreen の動作が異なる場合があります。 IT 管理者は、特定の発行元証明書またはファイル ハッシュを許可リストに登録して、管理対象デバイスの SmartScreen チェックをバイパスできます。
SmartScreen の警告を最小限に抑える
- 可能な場合はMicrosoft Storeに発行します。これは、警告を完全に回避するための最も信頼性の高い方法です
- すべてのリリースに署名 する - 署名されていないファイルは署名されたファイルよりも強い SmartScreen 警告を示し、企業は署名されていないバイナリを完全にブロックする可能性があります
- 一貫性のある署名 ID を使用 します。署名証明書を変更すると、発行元の信頼シグナルに影響します。各新しいビルドのハッシュは、証明書の継続性に関係なく、ファイル評判なしで開始されることに注意してください
- 非ストア配布用のAzure成果物署名 (以前の信頼された署名)を使用すると、コスト効率が高く、自動化されたビルド パイプラインと統合されます
- 早期導入者と通信 する — 新しいアプリの場合は、ベータ版ユーザーに最初のダウンロード時に SmartScreen プロンプトが表示される可能性があることを知らせ、発行元を確認し、ダウンロード ソースを信頼していることを確認した後にのみ続行する必要があることを通知します
関連するコンテンツ
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Windows developer