Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
日本語
Entry № 045

AMSI バイパス

AMSI バイパス とは何ですか?

AMSI バイパスWindows の AMSI(アンチマルウェアスキャンインターフェイス)を無効化・パッチ・回避し、スクリプトやインメモリ・ペイロードがウイルス対策にスキャンされないようにする一連の手法。

AMSI(Antimalware Scan Interface)は、PowerShell、JavaScript、VBScript、.NET、Office マクロが実行前にバッファを登録済みアンチウイルスへスキャン依頼できる仕組みです。AMSI バイパスはこの制御を無効化します。具体例として、メモリ上の amsi.dll!AmsiScanBuffer に常に「クリーン」を返すパッチを当てる、CLR 関数をフックする、PowerShell の AmsiUtils にある amsiInitFailed フィールドを書き換える、文字列を分割・難読化する、PowerShell v2 にダウングレードする等があります。狙いは Mimikatz、Invoke-Mimikatz、Cobalt Strike ビーコンといった悪意あるスクリプトを Defender 等に検知されずに信頼プロセス内で実行することです。MITRE ATT&CK では T1562.001(Impair Defenses)に対応します。対策には EDR 連動の AMSI プロバイダ、ASR ルール、Constrained Language Mode、AppLocker、未署名のメモリパッチ検出があります。

  1. 01

    AmsiScanBuffer の先頭バイトをメモリ上で書き換え、常に AMSI_RESULT_CLEAN を返させる。

  2. 02

    [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils').GetField('amsiInitFailed','NonPublic,Static').SetValue($null,$true)。

よくある質問

AMSI バイパス とは何ですか?

Windows の AMSI(アンチマルウェアスキャンインターフェイス)を無効化・パッチ・回避し、スクリプトやインメモリ・ペイロードがウイルス対策にスキャンされないようにする一連の手法。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。

AMSI バイパス とはどういう意味ですか?

Windows の AMSI(アンチマルウェアスキャンインターフェイス)を無効化・パッチ・回避し、スクリプトやインメモリ・ペイロードがウイルス対策にスキャンされないようにする一連の手法。

AMSI バイパス はどのように機能しますか?

AMSI(Antimalware Scan Interface)は、PowerShell、JavaScript、VBScript、.NET、Office マクロが実行前にバッファを登録済みアンチウイルスへスキャン依頼できる仕組みです。AMSI バイパスはこの制御を無効化します。具体例として、メモリ上の amsi.dll!AmsiScanBuffer に常に「クリーン」を返すパッチを当てる、CLR 関数をフックする、PowerShell の AmsiUtils にある amsiInitFailed フィールドを書き換える、文字列を分割・難読化する、PowerShell v2 にダウングレードする等があります。狙いは Mimikatz、Invoke-Mimikatz、Cobalt Strike ビーコンといった悪意あるスクリプトを Defender 等に検知されずに信頼プロセス内で実行することです。MITRE ATT&CK では T1562.001(Impair Defenses)に対応します。対策には EDR 連動の AMSI プロバイダ、ASR ルール、Constrained Language Mode、AppLocker、未署名のメモリパッチ検出があります。

AMSI バイパス からどのように防御しますか?

AMSI バイパス に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

AMSI バイパス の別名は何ですか?

一般的な別名: AMSI 回避。

関連用語