minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
「ウイルスじゃないファイルを誤って隔離してしまった」「履歴から復元しようとしたら『アイテムを復元できません』と出た」――Windows Defender(Microsoft Defender)を使っていると、こうした事態に遭遇することがあります。重要なEXEファイル、業務用ツール、ゲームのMODファイルなどが突然消え、復元しようにも復元ボタンが反応しない、エラーが出るといった状況は、多くのユーザーを困らせる典型的なトラブルです。
本記事では、Windows Defenderの隔離フォルダから復元できない原因を8つのパターンに分類し、それぞれの解決手順をPowerShellコマンド付きで完全解説します。グループポリシー、Tamper Protection、リアルタイム保護、除外リスト、Microsoft Defender Application Guardなど、見落としがちな設定までカバー。最後にFAQ・比較表・セキュリティリスクの注意点もまとめているので、初心者から上級者まで安心して参照できる内容です。
- Windows Defenderの隔離フォルダの仕組みと保存場所
- 「アイテムを復元できません」エラーが発生する8つの原因
- GUI(セキュリティセンター)とPowerShellの両方を使った復元手順
- Tamper Protectionやグループポリシーの確認・解除方法
- Get-MpThreatコマンドによる隔離状態の詳細確認
- 復元できないファイルを救出する代替手段
- 復元後に再隔離されないための除外設定
- 復元に伴うセキュリティリスクと回避策
Windows Defenderの隔離(Quarantine)とは
Microsoft Defender(旧称: Windows Defender)は、Windows 10およびWindows 11に標準搭載されているマルウェア対策ソフトです。マルウェアの疑いがあるファイルを検出すると、即座に削除するのではなく、まず隔離(Quarantine)という特殊な領域に移動して無害化します。これにより、誤検知だった場合に元に戻せる仕組みになっています。
隔離フォルダの保存場所
隔離されたファイルは、暗号化された状態で以下の場所に保存されます。
C:\ProgramData\Microsoft\Windows Defender\Quarantine\このフォルダはシステムフォルダのため、エクスプローラーで直接アクセスしても中身は見えません(SYSTEM権限が必要)。さらにファイル自体も暗号化されているため、手作業でコピーしても復元はできません。必ずDefenderの管理機能、もしくはPowerShellコマンドを経由して操作する必要があります。
隔離フォルダの主なサブディレクトリ
- Entries: 隔離されたファイルのメタデータ(検出名・元のパス・日時)
- ResourceData: 暗号化された実ファイル本体
- Resources: ハッシュ情報・関連リソース
隔離されたファイルの保持期間
デフォルトでは隔離アイテムは30日間保持され、その後自動的に削除されます。この期間はグループポリシーやレジストリで0(無期限)~90日の範囲で変更可能です。長期保管したい場合は早めに設定変更しておきましょう。
「アイテムを復元できません」エラーの原因8パターン
Windows Defenderの履歴画面から「復元」をクリックしても操作が完了しない、エラーメッセージが出る、ボタン自体がグレーアウトしている場合、以下の8つの原因のいずれかに該当します。
原因1: 管理者権限不足
Windows Defenderの復元操作には管理者権限が必要です。標準ユーザーアカウントでログインしている場合、ボタン自体は表示されてもクリック後に「アクセスが拒否されました」「復元できません」と出ます。UAC(ユーザーアカウント制御)の昇格プロンプトが正しく表示されているかを確認しましょう。
原因2: グループポリシーで復元が禁止されている
会社や学校のPCで多い原因です。IT管理者がグループポリシーで「ユーザーによる隔離アイテムの管理を禁止」を有効にしていると、復元ボタンが機能しません。家庭用PCでも誤ってローカルグループポリシーで設定してしまった場合に同じ症状が出ます。
原因3: Tamper Protection(改ざん防止)による保護
Microsoft DefenderにはTamper Protectionという機能があり、これがオンの状態ではDefenderの設定変更やPowerShellでの一部操作が制限されます。特にAdd-MpPreferenceでの除外追加と組み合わせた復元は失敗しやすくなります。
原因4: ファイルが既に削除されている
隔離期間(デフォルト30日)を過ぎた、または手動で「履歴をクリア」した場合、メタデータは残っていても実ファイル(ResourceData)が削除されていることがあります。この場合は技術的に復元不可能です。
原因5: リアルタイム保護による再検知ループ
復元してもリアルタイム保護が即座に同じファイルを再検知して隔離するため、「復元→即隔離」のループが発生します。一見復元できていないように見えますが、実際にはミリ秒単位で再隔離されているケースです。
原因6: 復元先のパスが存在しない
元のファイルパスのフォルダ自体が削除・移動されていると、Defenderは元の場所に戻せず復元エラーになります。USBメモリ・外付けHDD内のファイルが隔離された後、デバイスを取り外した場合も同様です。
原因7: Defenderのサービスが停止している
Microsoft Defender Antivirus Service(WinDefend)が停止していると、隔離アイテムの管理操作自体が不可能です。サードパーティのウイルス対策ソフトを導入している場合、自動的にDefenderが無効化されていることがあります。
原因8: Microsoft Defender Application Guard内での隔離
Windows 10/11 Enterpriseで使われるMicrosoft Defender Application Guard(WDAG)は、Edgeブラウザやウィンドウを仮想コンテナ内で実行する機能です。コンテナ内で隔離されたファイルは、ホストPC側のDefender履歴に表示されず復元もできません。
解決手順1: GUIでの基本的な復元方法
まずは標準的なGUIからの復元手順を確認します。多くのケースはこの方法で解決します。
Windows 11での復元手順
- スタートメニューから「Windows セキュリティ」を起動
- 左メニュー「ウイルスと脅威の防止」を選択
- 「現在の脅威」セクションの「保護の履歴」をクリック
- 復元したいアイテムを選択して展開
- 「アクション」プルダウンから「復元」を選択
- UAC昇格プロンプトで「はい」を選択
Windows 10での復元手順
Windows 10では「Windows Defenderセキュリティセンター」という名称ですが、メニュー構造はほぼ同じです。「ウイルスと脅威の防止」→「脅威の履歴」から操作します。
解決手順2: PowerShellでの詳細確認と復元
GUIで復元できない場合、PowerShellの方が詳細なエラー情報を取得でき、復元成功率も高くなります。必ず「管理者として実行」でPowerShellを起動してください。
隔離アイテム一覧の確認(Get-MpThreat)
Get-MpThreatこのコマンドで検出された脅威の一覧と詳細(ThreatID、CategoryID、Severity、ResourceData)が表示されます。出力例は以下のようになります。
CategoryID : 6
DidThreatExecute : False
IsActive : False
Resources : {file:_C:\Users\user\Downloads\sample.exe}
RollupStatus : 3
SchemaVersion : 1.0.0.0
SeverityID : 5
ThreatID : 2147685532
ThreatName : Trojan:Win32/Wacatac.B!ml隔離履歴の確認(Get-MpThreatDetection)
Get-MpThreatDetection過去のすべての検出履歴と隔離タイムスタンプが取得できます。特定のスレッドIDを把握したい場合に便利です。
特定アイテムの復元(Restore-MpThreat)
Restore-MpThreat -ThreatID 2147685532Get-MpThreatで取得したThreatIDを指定して復元を実行します。エラーが返ってきた場合は、後述する原因別の対処法を実施してから再実行します。
MpCmdRun.exeでの復元(古典的手法)
cd "C:\Program Files\Windows Defender"
.\MpCmdRun.exe -Restore -Name "Trojan:Win32/Wacatac.B!ml"MpCmdRun.exeはDefenderの内部実行ファイルで、PowerShellコマンドレットが何らかの理由で動作しない場合の代替手段になります。-Allオプションを付けるとすべての隔離アイテムを一括復元できます(非推奨)。
解決手順3: 原因別の詳細な対処法
Tamper Protectionをオフにする
改ざん防止が復元を阻害している場合、一時的にオフにします。
- 「Windows セキュリティ」→「ウイルスと脅威の防止」
- 「ウイルスと脅威の防止の設定」の「設定の管理」をクリック
- 下部までスクロールし「改ざん防止」をオフに切り替え
- UAC昇格プロンプトで「はい」を選択
- 復元作業を完了させた後、必ずオンに戻す
グループポリシーを確認・解除する
gpedit.mscを起動し、以下のパスを確認します。
コンピューターの構成
→ 管理用テンプレート
→ Windows コンポーネント
→ Microsoft Defender ウイルス対策
→ 隔離「アイテムの削除を構成する」「ユーザーによる隔離アイテムの管理を許可」などの項目を確認し、ポリシーが「無効」または「未構成」になっているかチェックします。「有効」かつ制限的な設定の場合は、「未構成」に変更してgpupdate /forceで反映します。
リアルタイム保護を一時的に無効化する
復元と再隔離のループが発生している場合、リアルタイム保護を一時無効にしてから復元します。
Set-MpPreference -DisableRealtimeMonitoring $true復元完了後は必ずオンに戻します。
Set-MpPreference -DisableRealtimeMonitoring $false除外リストに事前追加する
復元後の再隔離を防ぐため、復元前に除外リストへ登録します。
Add-MpPreference -ExclusionPath "C:\Users\user\Downloads\sample.exe"
Add-MpPreference -ExclusionProcess "sample.exe"フォルダ単位で除外する場合は -ExclusionPath にフォルダパスを指定します。
Defenderサービスを再起動する
サービスが応答しない場合、コマンドプロンプト(管理者)で以下を実行します。
net stop WinDefend
net start WinDefendサードパーティ製アンチウイルスを使っている場合、それを一時的にアンインストールしないとWinDefendが起動しないことがあります。
復元方法の比較表
状況に応じた最適な復元方法を選択するための比較表です。
| 方法 | 難易度 | 権限 | エラー詳細 | 推奨ケース |
|---|---|---|---|---|
| セキュリティセンターGUI | 易 | 管理者 | 少ない | 通常時の単発復元 |
| Restore-MpThreat | 中 | 管理者 | 詳細表示 | GUIで失敗時・自動化 |
| MpCmdRun.exe -Restore | 中 | 管理者 | 中程度 | PowerShell非対応環境 |
| グループポリシー解除後GUI | 中 | 管理者 | 少ない | 企業PC・組織PC |
| Tamper Protection解除後 | 易 | 管理者 | 少ない | 設定変更ブロック時 |
| 除外追加 および 復元 | 中 | 管理者 | 少ない | 再隔離ループ発生時 |
| 再ダウンロード または 再インストール | 易 | 不要 | なし | 全手段失敗時 |
復元に伴うセキュリティリスクと注意点
誤検知でも本物のマルウェアでも、隔離アイテムを復元するという行為はセキュリティリスクを伴います。安易な復元は重大な被害につながる可能性があるため、以下のチェックリストを必ず確認しましょう。
復元前に確認すべき5つのポイント
- ファイルの入手元は信頼できるか: 公式サイト、Microsoft Store、信頼できる開発元か
- 検出名は何か: 「Trojan」「Backdoor」「Spyware」は重大、「PUA」「HackTool」「Riskware」は誤検知の可能性あり
- VirusTotalで複数エンジン確認: virustotal.comに該当ファイルをアップして他社エンジンの判定を確認
- SHA256ハッシュの照合: 開発元が公開しているハッシュ値と一致するか
- デジタル署名の確認: 正規の開発者証明書が付与されているか
誤検知が多いカテゴリ
- ゲームのチート対策ツール・MOD導入ツール
- キーボード・マウスのマクロ系ソフト(AutoHotkeyスクリプト等)
- パスワード復旧ツール(Nirsoft系)
- 古い個人開発フリーウェア(署名なし)
- Pythonスクリプトを実行ファイル化したもの(PyInstaller)
本物のマルウェアだった場合の対処
復元したくなっても、検出名にTrojan/Backdoor/Ransom/Rootkitなどが含まれる場合は絶対に復元しないでください。代わりに以下を実施します。
- フルスキャンを実行(Windows セキュリティ→スキャンのオプション→フルスキャン)
- Microsoft Safety Scannerでセカンドオピニオン
- 必要に応じてMalwarebytesなどサードパーティでもチェック
- 感染源(ダウンロードURL・USB)を特定して遮断
FAQ よくある質問
Q1. 隔離フォルダ内のファイルを直接コピーして別の場所に保存できますか?
A. できません。隔離フォルダ内のファイルはDefender独自の方式で暗号化されており、ResourceDataフォルダから直接コピーしても通常のファイルとしては開けません。必ずDefender経由(GUIまたはPowerShell)で復元する必要があります。
Q2. 復元したファイルはどこに戻りますか?
A. 隔離される前の元のパスに戻ります。元のフォルダが削除されている場合、Defenderが復元先パスを作成しようとしますが失敗するケースもあり、その場合は%TEMP%や別の場所にフォールバックされることがあります。Restore-MpThreat -ThreatID xxx -PathパラメーターでPS5.1以降では復元先指定が可能です。
Q3. PowerShellで「Restore-MpThreatコマンドレットが見つかりません」と出ます
A. ConfigDefenderモジュールが読み込まれていない可能性があります。Import-Module ConfigDefenderを実行してから再度試してください。それでもダメな場合は、PowerShellのバージョン(5.1以降が推奨)とWindowsのエディションを確認しましょう。
Q4. 隔離履歴を全部消したいです
A. MpCmdRun.exe -Removeコマンド、またはC:\ProgramData\Microsoft\Windows Defender\Scans\Historyフォルダの中身を管理者権限で削除すると履歴が消えます。ただし削除後は復元不可能になるため慎重に。
Q5. 復元してもすぐ再隔離される場合の最終手段は?
A. ①Add-MpPreference -ExclusionPathで除外パス登録 ②Add-MpPreference -ExclusionProcessでプロセス除外 ③検出シグネチャを-ThreatIDActionで明示的に許可、の3段階で対応します。それでもダメなら検出ロジックの仕様変更を待つか、誤検知レポートをMicrosoftに送信してください。
Q6. Tamper Protectionをオフにできないのはなぜ?
A. 法人版Microsoft Defender for Business/Endpointが導入されている、またはIntuneでポリシー管理されているPCでは、ユーザー側からは変更できません。IT管理者に依頼してください。家庭用Windowsでオフにできない場合は、レジストリのHKLM\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtectionを確認します。
Q7. Microsoft Defender Application Guard内で隔離されたファイルは復元できますか?
A. WDAGコンテナは破棄型のセッションのため、コンテナを閉じた時点でファイルも消えます。事前にコンテナ→ホスト間のクリップボード/ファイル共有を有効化しておけば、隔離前にホスト側へ救出する余地はあります。隔離後の復元はほぼ不可能です。
Q8. PowerShellでスクリプトを実行できません(実行ポリシーエラー)
A. 一時的に実行ポリシーを変更します。Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process を実行してから操作してください。-Scope Processなのでウィンドウを閉じれば元に戻ります。
Q9. 復元したファイルが破損しているように見えます
A. Defenderの隔離処理で稀に発生する暗号化/復号エラーです。MpCmdRun.exe -Restore -All -Pathで全件復元してみるか、それでもダメなら再ダウンロードが確実です。重要ファイルは隔離前にバックアップを取る運用が安全です。
Q10. Windows 11 24H2にしてから復元できなくなった
A. 24H2以降ではTamper Protectionが強化され、レジストリ直編集での解除が効かなくなりました。標準のGUIまたはMicrosoft管理コンソール経由でオフにしてから操作してください。
復元できないファイルの代替救出手段
あらゆる手段で復元できなかった場合、以下を試してください。
1. 再ダウンロード/再インストール
最も確実です。公式サイトから入手し直し、ダウンロード前に除外リストへフォルダを登録しておけば再隔離を防げます。
2. システムの復元ポイントを使う
Windowsの「システムの復元」機能で、隔離前の時点に巻き戻せる場合があります。コントロールパネル→システム→システムの保護→システムの復元を起動。
3. ファイル履歴/バックアップから復旧
Windowsのファイル履歴やOneDriveの自動バックアップが有効なら、隔離前のバージョンを復元できます。
4. シャドウコピー(VSS)から取り出す
vssadmin list shadowsコマンドで利用可能なシャドウコピーを確認し、必要に応じてマウントしてファイルを取り出します。
復元後に再隔離されないための恒久対策
正規のソフトを使い続けるなら、以下の3点を設定しておくことで快適に運用できます。
1. 除外設定の最適化
Add-MpPreference -ExclusionPath "C:\Tools\MyApp\"
Add-MpPreference -ExclusionExtension ".ahk"
Add-MpPreference -ExclusionProcess "MyApp.exe"除外設定は便利ですが、本物のマルウェアもスキップしてしまうリスクがあります。フォルダ単位で広く除外せず、可能な限り個別ファイルや拡張子で絞り込みましょう。
2. 誤検知レポートの送信
Microsoft Defenderには誤検知をMicrosoftに報告する機能があります。「ウイルスと脅威の防止」→「現在の脅威」→該当アイテムの「Microsoftにサンプルを送信」から実行。次回定義ファイル更新で誤検知が解消されることがあります。
3. ASR(Attack Surface Reduction)ルールの確認
Microsoft Defenderには攻撃面縮小ルールがあり、これが過剰に検知している場合は監査モードへの切替を検討します。Get-MpPreference | Select-Object -ExpandProperty AttackSurfaceReductionRules_Idsで現在のルールを確認できます。
まとめ: 8つの原因を順に切り分けるのが鍵
Windows Defenderの隔離フォルダから復元できない問題は、原因を切り分けて1つずつ対処することで多くのケースで解決可能です。本記事で紹介した8つの原因と対処法を整理すると以下のようになります。
- 管理者権限で操作しているか確認
- グループポリシー(gpedit.msc)で隔離管理の制限がないか確認
- Tamper Protectionを一時オフにする
- 隔離アイテムの保持期間(30日)を超えていないか確認
- 復元前にリアルタイム保護を一時無効化する
- 元のファイルパスが存在するか確認
- WinDefendサービスが起動しているか確認
- WDAGコンテナ内での隔離でないか確認
GUIで失敗した場合はPowerShellのGet-MpThreat/Restore-MpThreat、それでもダメならMpCmdRun.exe -Restoreという3段構えで挑むのが効果的です。ただし、復元する前には必ずファイルの安全性をVirusTotalや検出名で確認し、本物のマルウェアの場合は絶対に復元せず、フルスキャンと感染源遮断を優先してください。
誤検知の多いゲームMODやマクロ系ソフトを常用する場合は、事前に除外リストへ登録しておけば再隔離ループを防げます。ただし除外設定は本物のマルウェアまでスキップしてしまうリスクと表裏一体なので、フォルダ全体ではなく個別ファイル単位での除外を心がけましょう。本記事のチェックリストとPowerShellコマンドを手元に控えておけば、突然の隔離トラブルにも冷静に対処できるはずです。
🛒 関連商品をAmazonでチェック
