「ポート」や「購読」とは別の層のトラブル

同じ「Clash が動かない」でも、切り分け先は層で分かれます。7890 番や mixed-port の競合で起動ログに address already in use が出るのは、待受の奪い合いです。一方、購読を更新してもノード名が変わらないのは、キャッシュと取得経路の話です。本稿の対象はそのどちらでもなく、実行ファイルが Windows セキュリティ(従来の Windows Defender を含む)にマルウェア相当として扱われ、削除・隔離されてしまうパターンです。アイコンを押しても何も出ない、zip を解凍した直後だけ exe が消える、更新直後にだけ消える、といった挙動は、まず「セキュリティの疑わしい動作カテゴリ」に乗ることが多く、必ずしも悪性であるとは限りません。Mihomo系コアを同梱するクライアントは、他プロセスの通信を中継する性質上、従来型の定義ファイル名だけでなく、挙動ベースの検出に掛かることがあります。

ポート系の手順は7890 番の競合と netstatの稿、購読はWindows での手動再取得の稿と棲み分けて参照してください。初回導入の大枠はClash Verge Rev の Windows 向け手順に沿うと、インストール先のパス意識を揃えやすいです。

なぜ「誤検知」に見えることがあるのか

Clash 系の公式・準公式ビルドであっても、第三者が改竄したバイナリを掴まない限り、ウイルス定義上の「既知の悪性ファミリ」に一致するとは限りません。代わりに多いのは、発見的/機械学習/クラウドのいずれか、または併用によるスコア付けです。プロキシがシステムのプロキシ設定を触る、仮想ネットワークに相当する TUN デバイスを扱う、他アプリのトラフィックに介入する、といった行為は、マルウェアの典型パターンと重なり得る挙動だからです。したがって「公式だから絶対に弾かれない」は期待しない方が安全で、正規の入手元とハッシュ照合を身につけたうえで、自分の使うフォルダーは除外に載せる、が現場では現実的な落とし所になります。企業端末で Intune や別製品の EDR が上に乗っている場合、Defender 側の除外だけでは足りないこともあるため、そのときは IT ポリシーに従い、ローカル管理員権限の範囲内でできる操作に限定してください。

まず隔離(検疫)の履歴を開く

Windows 11/10 では、スタートメニューから 「Windows セキュリティ」を開き、左列または上段から 「ウイルスと脅威の防止」へ進みます。中ほどの 「保護の履歴」(表示はビルドで「脅威の履歴」などに近い語になることがあります)を押すと、直近に隔離・削除された項目が時系列で見えます。Clash 本体、同梱の mihomoclash-meta 等のコア、インストーラー、が同じ日時帯に並んでいることがあります。ここで分かるのは、少なくとも「消え方」は OS が何かを判断した結果だという点です。記録が無いのに exe だけ消えた場合は、別のセキュリティ製品や、OneDrive やバックアップ系が同期で上書き/削除した可能性も一応の眼界に入れてください。本稿は Defender 管轄の話を主軸にします。

隔離から復元する手順(許可の判断はご自身で)

保護の履歴で該当行を開くと、「許可(リストア)」「この脅威を許可」のような表現(ビルド依存)のボタンがあります。これを押すと、デフォルトの隔離庫から元の場所、または近い階層に戻るか、戻る先の選択を促されるかが環境差です。復元直後、いま入っているリアルタイム保護が同じファイルを再スキャンして、また即座に隔離する、という同じ一週のループに入ることが多いのが現実的な落とし穴です。だからこそ、復元と同じセッションで、後述の除外を先に用意するか、あるいは一時的に保護のオフ(受け入れ可能な方だけ)のうえで、除外を通してから保護を戻す、どちらかの順序を取る必要が出ます。自宅 PC と会社 PC で許容度が違う点は、ここでしっかり分けてください。オフにする前に、今触っているのが公式ビルドかを改めて確認し、怪しい圧縮物や不審なメール添付でないことだけは押さえてからにしてください。

除外:フォルダー優先、極力プロセス名だけにしない

同じ「Windows セキュリティ」内の 「ウイルスと脅威の防止」→「脅威に対する除外の設定(ウイルスと脅威の防止の設定内)」 から、除外の追加へ進みます。種類は「フォルダー」「ファイル」「拡張子」などに分かれます。Clash 向けの実務的なおすすめは次の通りです。

1)アプリのインストール先フォルダー全体—例として Program Files\Clash Verge や、ポータブル展開先の一つのルート。GUI とコア、実行時に展開する作業用ディレクトリが同じ木の下に収まっている構成が多いです。

2)ユーザープロファイル配下の設定・ランチャ用フォルダー—クライアントが AppData\Roaming 等に mihomo バイナリをコピーして動かす実装の場合、隔離の対象が毎回そこに付くなら、そのサブパスを追加で除外に入れる、という積み上げが必要になることがあります。パスはクライアントの「作業ディレクトリ表示」やログの先頭行から拾えることが多いです。

Microsoft の立場からは、除外範囲を広く取るほど穴が広がるため、ドキュメント全体を丸ごと除外する、などの雑な設定は避け、アプリ専用の枝だけに寄せるのが無難です。第三者製ウイルス対策を併用している場合、Defender だけ除外しても別製品に消されることがあるので、そちらのダッシュボードも同じ思想で確認してください。

コントロールパネルから辿る別ルート

UI の文言が違う旧来の行き方として、コントロールパネルの「Windows Defender ファイアウォール」ではなく、「セキュリティとメンテナンス」「セキュリティ センター」系から同じ内容に入れる古い導線も残ることがあります。名称はバージョンで多少変わりますが、到達点は 「排除/除外」「隔離の復元」 という同じ二軸です。本稿執筆時点(2026 年 4 月)の Windows 11 系の表記に合わせたが、自機の言語とビルド番号に合わせて語を読み替えてください。

復元のあと、クリーン再配置も選択肢

隔離庫の経路を経たあと、自己整合性が気になる場合は、一度アンインストール手順に沿って空けてから、同じ正規パッケージを入れ直し、除外を先に入れてから展開、という流れの方が気持ちよく戻ることがあります。特に、更新中に一時フォルダーに落ちたコアだけが消えて、GUI は残るが裏のコア起動に失敗する、という中間状態は、再インストールの方が早いです。大前提として、プロファイル(YAML やサブスクリプション URL)の退避は、いつどの作業の前でも避けて通れない習慣にしてください。退避先はクラウド直置きにせず、暗号化 ZIP かローカル暗号庫へ、のように URL を含むファイルの取り扱いには一貫した姿勢を持つと安心です。

スマートスクリーン(未確認アプリ)が別枠で止める場合

Defender 本体の隔離と別に、青い「Windows によって PC が保護されました」 ダイアログが先に出ることもあります。こちらは「未知の発行者の実行」を抑止する層で、「詳細情報」→「実行」 の順で一時的に通す、あるいは 発行者の分かる正規配布物であることを確認したうえで進める、のが一般的です。ここを混同すると、「除外したのにまだ出る」という誤解が生まれるため、ブロック元が Defender のリアルタイムなのか、スマートスクリーンなのかをトーストやダイアログの文言で区別してください。

WSL2 利用時の「ファイアウォール」はまた別

本稿の主題はウイルス対策の層ですが、念のため触れておくと、WSL2 から Windows 上の Clash へ疎通する話では、Defender ファイアウォールの着信許可が届かないと別の症状が出ます。こちらは「隔離」ではなく接続の拒否の領域なので、用語とログを分けて考えると、サポート掲示板の検索もしやすくなります。

正規の入手先と、インストール後の確認

配布物の出所を揃えない限り、除外は自己責任の範囲が広がります。多くの読者にとっては、プロジェクトのリリースノートと、信頼できる配布面を同じ週同じ版で突き合わせる、が最低限です。本サイトでは、クライアント導入の導線を ダウンロードのページ に揃えており、GitHub の利用は開示・ソースの確認用に切り分けるスタンスを推奨しています(規約上の扱いは同ページ周辺の注記に従ってください)。インストールが通ったら、タスクトレイに常駐し、想定のコア起動がログに出るところまで一気に見届けると、同じ週の別トラブルと重ならずに切り分けができます。

まとめ:消え方を「隔離の記録」で実名化してから、狭い枝だけ除外する

本稿の流れを一文に要約すると、「消えた」「動かない」の正体を、保護の履歴でまず可視化し、隔離の復元と直後の再スキャンに負けないよう、Clash 専用のフォルダーだけを除外に加え、必要ならワンクリックで止まる層(スマートスクリーン)を別に扱う、という順序です。7890 番口や購読の話と層を取り違えなければ、同じ週の別の不具合に時間を溶かしにくくなります。Mihomo 系を載せるクライアントの世代差は、まだ起動導線と隔離のされやすさの両方で大きいです。環境に合うパッケージを、まずは 使い方のドキュメント と併せて揃え、→ 無料で Clash を入手し、隔離の記録のあと再実行する流れをおすすめします。