ゆなコンピューターではウイルス・マルウェアの除去や予防的な設定などの有料サポートを行っています。ご不安な方はご連絡ください。
以下は、マルウェアの誤検知と思われる状況にどう対処したかの記録です。
インターネット上では似たような症状は見当たりませんでした。
発生日: 2025年5月20日
環境: Windows 11 / iTunes 12.13.7.1 / iPad Pro 12.9インチ第2世代 iPadOS 17.7.8
1. 事象概要
Windows 11上のiTunesでiPadのバックアップ復元を実行中、Windowsセキュリティが「TrojanDownloader:JS/Swabfex.P」を検出・隔離。ほぼ同時刻にバックアップの復元中iTunesでエラーが発生し、バックアップ復元処理が中断された。
2. 再現手順と挙動
- iTunesで「バックアップを復元」操作を開始
- Windowsセキュリティが以下のファイルをマルウェアと誤検知し、隔離
C:\Users\[ユーザー名]\AppData\Roaming\Apple Computer\MobileSync\Backup\[バックアップID]\[サブフォルダ]\[ファイル名] - 同時にiTunes側でエラーダイアログが表示され、復元処理が中断
- 中断後、iPadは再起動を挟み、復元前の状態に戻る
3. 原因分析
- Windowsセキュリティが、バックアップ復元処理で使用する内部ファイルを誤ってマルウェアと判定し、隔離してしまったことが直接原因と推測。
4. 対処手順
- 隔離ファイルの復元
- Windowsセキュリティの「保護の履歴」から対象ファイルを選択し、復元
- リアルタイム保護の一時無効化
- Windowsセキュリティの設定から「リアルタイム保護」をオフに切り替え
- バックアップ復元の再実行
- iTunesで再度「バックアップを復元」を実行し、正常に復元完了
- リアルタイム保護の再有効化
- 復元後、設定画面でリアルタイム保護をオンに戻し、通常運用状態に復帰
5. 結果と今後の教訓
- セキュリティソフトの誤検知によるバックアップ復元失敗は、想定外のトラブル要因となり得る。
- 今後は以下を徹底推奨:
- 事前に別途バックアップを取得
- 復元処理後にセキュリティログを確認
- 必要時はリアルタイム保護を一時停止し、完了後は必ず再有効化
ファイル/フォルダ命名規則:
- バックアップIDおよびファイル名は16進数40桁で構成される。
- サブフォルダはファイル名の先頭2桁を用いた2桁の16進数で命名される(例:
0bフォルダ)。- ファイル名はサブフォルダ名と同じ先頭2桁から始まる40桁の16進数(例:
0b2f4c7fd2b693b159a5cbb407dcef96994f8a6f)。