MENU

【備忘録】AVGでCodex・Claude Code実行時にPowerShellが検出される場合の確認事項と例外設定

目次

商品の概要と確認できたポイント

  • 使用ソフトはAVG アンチウイルスで、Windows上のCodexやClaude Codeを実行した際に、PowerShellのコマンドラインが脅威として遮断される事象を確認した。
  • 画面に表示された検出名は「IDP.HELU.PSE80 – コマンドライン検出」、対象プロセスはWindows標準の「powershell.exe」、検出機能は「挙動監視シールド」である。
  • 利用状況から誤検知の可能性はあるが、警告画面だけでは安全な処理だったと断定できない。実行元、コマンド内容、ファイルの署名などの確認が必要である。
  • AVGではファイルやフォルダだけでなく、特定のコマンドを例外として登録できる。PowerShell全体を除外するより、CodexやClaude Codeが使う実行ファイル、作業フォルダ、特定コマンドに限定する方が安全性を保ちやすい。
  • 例外を設定するとAVGの検査対象から外れるため、正規のインストール元と実行内容を確認したうえで、必要最小限の範囲に限定する。

画面から確認できる内容

項目確認できた内容
セキュリティソフトAVG
警告内容脅威が解消されました
脅威名IDP.HELU.PSE80 – コマンドライン検出
対象プロセスC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
検出した機能挙動監視シールド
ステータスブロック済み
発生条件ユーザー情報では、CodexやClaude Codeを使用するたびに発生

検出対象として表示されているpowershell.exeはWindowsに標準搭載されている実行ファイルである。ただし、正規のPowerShellが表示されていることだけでは、そのPowerShellを呼び出したプログラムや実行されたコマンドまで安全とは判断できない。

今回の画面では特定のファイルが既知のマルウェアとして検出されたのではなく、コマンドラインの振る舞いを挙動監視シールドが検出したことが読み取れる。CodexやClaude Codeのような開発支援ツールは、シェルを介してコマンドを実行するため、その処理がセキュリティソフトのヒューリスティック検出に触れる可能性がある。

AVGの挙動監視シールドとは

AVGの挙動監視シールドは、パソコン上で動作するプロセスをリアルタイムで監視し、不審な挙動を検出する保護機能である。既知のウイルス定義との完全一致だけではなく、悪意あるプログラムに似た動作も判定対象になる。

この仕組みは未知の脅威に対応するために有効だが、正規の管理ツール、開発ツール、スクリプトなどが警告対象になる場合もある。AVG公式サポートでも、正常なファイルが誤って検出される「誤検知」が起こり得ることと、信頼できる対象に限って例外を設定できることが案内されている。

AVGの例外機能については、AVG公式サポート「項目をスキャンから除外する方法」で確認できる。

誤検知かどうかを判断するための確認項目

CodexやClaude Codeの起動と毎回連動しているため、開発ツールが実行したコマンドをAVGが検出している可能性は高い。ただし、画面だけでは誤検知と確定できない。例外登録の前に、次の内容を確認しておく。

  • CodexまたはClaude Codeを公式の配布元から導入したか
  • 実行しているcodex、claude、node、npmなどの実体が想定した場所にあるか
  • 警告がCodexまたはClaude Codeを起動した直後にだけ発生するか
  • 同時刻に不審なファイルの作成、外部通信、アカウント操作が発生していないか
  • AVGの詳細画面やログから、検出された完全なコマンドラインを確認できるか
  • 対象ファイルのデジタル署名やハッシュ値に不審な点がないか

特に重要なのは、powershell.exeそのものではなく「何がPowerShellを起動し、どのコマンドを渡したか」である。コマンドラインに不明なダウンロード先、難読化された長い文字列、身に覚えのないスクリプトなどが含まれている場合は、安易に除外しない。

AVGで例外を追加する方法

AVG公式の案内では、Windows版AVGで次の順に操作すると例外を追加できる。

  1. AVG アンチウイルスを開く。
  2. 画面右上などにある「メニュー」を開く。
  3. 「設定」を選択する。
  4. 「一般」から「例外」を開く。
  5. 「例外を追加」を選択する。
  6. 警告内容を確認し、「次へ」「リスクを理解しました」の順に進む。
  7. 対象となるファイル、フォルダ、Webサイト、またはコマンドを指定する。

AVGの画面構成はバージョンによって多少異なる可能性がある。項目が見つからない場合は、設定画面内で「例外」または「Exceptions」を探す。

安全性を考慮した例外設定の優先順位

例外の範囲は、できるだけ狭くする。今回の事象では、次の順で検討するのが現実的である。

優先度除外対象考え方
1AVGが検出した特定のコマンド毎回同じ安全なコマンドであることを確認できる場合に、最も限定しやすい。
2CodexまたはClaude Codeの実行ファイル公式配布物であることと、実際のファイルパスを確認してから登録する。
3専用の作業フォルダ信頼できるリポジトリだけを置くフォルダに限定する。ユーザーフォルダ全体は除外しない。
非推奨powershell.exe全体他のプログラムや悪意ある処理もPowerShellを利用できるため、保護範囲が大きく低下する。
非推奨AppDataやユーザーフォルダ全体多数のアプリや一時ファイルが検査対象外になり、除外範囲が広すぎる。

AVG公式の例外設定では、ファイルやフォルダに加えて、コマンドライン上のスクリプトを対象にした「コマンド」の例外も利用できる。検出されたコマンドが毎回同一で、その内容を確認できる場合は、PowerShell全体の除外よりも適している可能性がある。

実行ファイルの場所を確認する方法

CodexやClaude Codeを例外として登録する場合は、推測したフォルダを登録せず、Windows上で実際に使用されている実行ファイルを確認する。

コマンドプロンプトで確認する場合

where codex
where claude
where node
where npm

PowerShellで確認する場合

Get-Command codex | Format-List Source,Path,CommandType
Get-Command claude | Format-List Source,Path,CommandType
Get-Command node | Format-List Source,Path,CommandType

npm経由で導入したCLIでは、codexやclaudeが小さな起動用スクリプトになっており、実際にはnode.exeが処理を実行している場合がある。このため、単に「codex.exe」や「claude.exe」を探すだけでは実体を特定できないことがある。

誤検知としてAVGに報告する方法

安全なファイルまたは処理だと確認できた場合は、ローカルで例外を追加するだけでなく、AVGへ誤検知として提出できる。AVG公式は、誤って検出されたと考えられるファイルやURLを審査へ提出するフォームを提供している。

提出方法は、AVG公式サポートのファイル・URL提出手順およびAVG False Positive Reportで案内されている。

ただし、今回のようなコマンドライン挙動の検出では、powershell.exeだけを提出しても原因の解析に十分でない可能性がある。検出日時、脅威名、AVGのログ、再現手順、CodexまたはClaude Codeのバージョン、実際に実行されたコマンドなどを併せて記録しておくと、問題を説明しやすい。

使用時の注意点

  • 警告を消す目的だけでPowerShell全体を例外にしない。
  • AVGの挙動監視シールド全体を常時無効にしない。
  • CodexやClaude Codeが生成したコマンドを、内容を確認せず常に許可しない。
  • インターネットから取得した未確認のリポジトリを、除外済みフォルダ内で実行しない。
  • 例外登録後も、同じ警告が別のコマンドや別の場所で発生していないか確認する。
  • AVG、Codex、Claude Code、Node.jsを正規の方法で更新する。

AIコーディングツールは、リポジトリ内の指示ファイルやソースコードを読み取り、シェルコマンドを実行することがある。信頼できないプロジェクトには、プロンプトインジェクションや悪意あるスクリプトが含まれる可能性もあるため、「CodexやClaude Codeが実行したコマンドだから安全」とは限らない。

向いている設定

  • 公式配布元から導入したCodexまたはClaude Codeを使用している。
  • 検出されるコマンドの内容と発生条件を確認できている。
  • 特定の実行ファイル、コマンド、専用作業フォルダだけに除外範囲を限定できる。
  • 信頼できる自分のリポジトリを中心に使用している。

向いていない設定・誤解しやすい点

  • powershell.exeがWindows標準ファイルであることだけを根拠に、すべてのPowerShell処理を安全と判断すること。
  • 警告が繰り返されるため、ユーザーフォルダやシステムドライブ全体を除外すること。
  • 「IDP」という名称だけでウイルス感染が確定した、または完全な誤検知が確定したと判断すること。
  • AVGの保護機能を無効化すれば根本的に解決すると考えること。

今回の表示は、AVGが疑わしい挙動を遮断したことを示している。実害のあるマルウェアを確認した証拠でも、完全な誤検知を証明する情報でもない。実際のコマンドと呼び出し元を確認したうえで判断する必要がある。

所有ソフト管理メモ

項目内容
ソフト分類Windows用セキュリティソフト
製品名AVG アンチウイルス
利用環境Windows
関連ツールCodex、Claude Code、PowerShell
検出名IDP.HELU.PSE80 – コマンドライン検出
検出機能挙動監視シールド
対象プロセスC:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
現在の状態AVGが処理をブロック
推奨する対応コマンド内容を確認し、安全と判断できた対象だけを限定的に例外登録する
避ける設定PowerShell全体、ユーザーフォルダ全体、システムドライブ全体の除外
今後確認する内容完全なコマンドライン、Codex・Claude Code・AVGの各バージョン、実行ファイルの配置場所

まとめ

CodexやClaude Codeの利用時にAVGがpowershell.exeを「IDP.HELU.PSE80」として遮断する場合、開発ツールが実行したコマンドを挙動監視シールドが不審と判定している可能性がある。利用状況から誤検知は考えられるものの、警告画面だけでは確定できない。

例外設定は可能だが、powershell.exe全体を除外するのではなく、検出された特定コマンド、正規のCodex・Claude Code実行ファイル、信頼できる専用作業フォルダの順に、必要最小限の範囲で検討する。安全性を確認できた事象はAVGへ誤検知として報告し、保護機能を広範囲に無効化しない運用が適している。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

目次