Microsoftは、Windows Management Instrumentation Command-line(WMIC)ツールがWindows 11 25H2以降へのアップグレード後に削除されることを発表しました。
WMICは、ユーザーがテキストコマンドを使ってWindows Management Instrumentation(WMI)システムと対話できる、Windowsに組み込まれた従来のコマンドラインツールです。
Microsoft 365メッセージセンターの更新によると、MicrosoftはIT管理者に対し、今後のWindowsリリースではWMICがデフォルトで含まれなくなるため、Windows PowerShell for WMIやスクリプト、その他のツールへの移行を推奨しています。
「Microsoftは、これまでWMICで行っていた作業にはPowerShellやその他の最新ツールの使用を推奨します。WMIのCOM API、.NETライブラリ、またはスクリプト言語などのプログラムによる代替手段も検討できます。今後の方針が決まり次第、社内のITドキュメントやプロセスを更新してください」と同社は述べています。
ただし、この変更は古いWMICコンポーネントのみに適用され、Windows Management Instrumentation(WMI)自体には影響しません。
管理作業でWMICを使用している方向けのさらなるガイダンスは、Microsoftが金曜日に公開した別のサポートドキュメントで確認できます。
Microsoftは、Windows Server 2012(2016年)およびWindows 10 21H1(2021年)でWMICを非推奨としました。Redmondは、Windows 11 22H2(2022年)以降ではこれを「オンデマンド機能(FoD)」に変更し、2024年1月にはデフォルトで無効化した後、完全に削除することを発表しました。
「ここ数年、PowerShellへの投資を大幅に強化してきました。新しいツールは、WMIのクエリをより効率的に行う方法を提供します。非推奨のコンポーネントを削除することで、複雑さを減らしつつ、セキュリティと生産性を維持できます」とMicrosoftは2024年1月に述べています。
WMICの削除はまた、幅広いマルウェアや攻撃手法を阻止することで、全体的なセキュリティを向上させます。
このツールは長年にわたり、LOLBIN(Living-off-the-land binary)、つまり攻撃者が悪用するMicrosoft署名済み実行ファイルと見なされてきました。
例えば、ランサムウェアの暗号化プログラムは、WMICコマンドを使ってシャドウボリュームコピーを削除し、被害者が暗号化されたデータを復元できないようにすることが一般的です。他の攻撃者は、WMICを使ってインストール済みのアンチウイルスソフト一覧を取得したり、アンインストールしたりしています。
また、マルウェアがWMICを利用してMicrosoft Defenderに除外設定を追加し、検出を回避して起動する事例も確認されています。
