<なぜ>承認されていない変更がブロックされました解決法 Windows 10

Windows 10のセキュリティ対策ソフトMicrosoft Defenderの履歴「保護されたフォルダーへのアクセスがブロックされました」「保護されたメモリへのアクセスがブロックされました」「承認されていない変更がブロックされました」はランサムウェア防止でコントロールされたフォルダーアクセス機能が原因

Windows 10 には ランサムウェア (身代金型ウイルス) に感染した場合の被害を少しでも軽減する目的で 「コントロールされたフォルダー アクセス」 というセキュリティ機能が標準で実装されています。

■ ランサムウェア とは?
マルウェア、トロイの木馬の一種。
PC 内のストレージ、外付けドライブ、USB フラッシュメモリ、ネットワークドライブに保存されている大事なファイル (文書、画像/写真、動画、音楽、圧縮アーカイブなど) を感染したランサムウェアが暗号化して破壊する症状が一般的。開けなくなったファイルを元に戻す 「ファイル復号化ツール」 の購入を名目に、仮想通貨ビットコインで身代金を支払うよう脅迫することで、ランサムウェアの攻撃者が収益を上げるドス黒いビジネスが背景にある。

オンにしている Windows ユーザーさんはいますか?

  • Windows 10 で無料で利用できるセキュリティ機能
    「Microsoft Defender ウイルス対策」 のリアルタイム保護がオンになっている必要あり
    → 他のセキュリティソフト (ウイルスバスター、ノートンなど) がインストールされてあるなら利用不可

  • 初期状態ではセキュリティ機能はオフ
    → ユーザーさんがオフからオンに設定を変更して機能を有効化する必要あり

  • 初期状態で保護されているフォルダーはCドライブの一部
    → 保護する対象として、ユーザーさんがフォルダーを新規追加できる

はいっ! (’ー’)ノ

「コントロールされたフォルダーアクセス」 の仕組み

Windows 10 の 「コントロールされたフォルダー アクセス」 は、どんな仕組みでランサムウェアを防止するのでしょうか?

指定されたフォルダー内に存在するファイルの変更は、ユーザーが手動で許可したアプリ (拡張子 .exe) に限定される ”ホワイトリスト型” のセキュリティ機能です。 <ランサムウェアに限らず全ブロックが基本!

windows10-ransomware
Windows 10 ランサムウェアの防止で無料対策

  • ブロックの履歴
    「保護されたフォルダー or メモリへのアクセスがブロックされました」 の詳細を見る

  • 保護されているフォルダー
    ブロックする対象として、新たに任意のフォルダーを追加する

  • アプリを 「コントロールされたフォルダー アクセス」 で許可する
    ブロックしないよう実行ファイル .exe を選択して承認して許可する


ランサムウェアの感染を防がないセキュリティ機能

Windows 10 「コントロールされたフォルダー アクセス」 機能の注意すべきポイントです。

  • ランサムウェアの侵入自体を防ぐセキュリティ機能ではない
    大事なファイルが呆気なく破壊されて焦土と化す地獄を回避する効果だけ
    (Windows 10 がランサムウェアに感染する最悪の事態の発生が大前提としてある)

  • ランサムウェアの性能次第でバイパスできる抜け道あり
    正規プロセスのメモリ内に暗号化する処理を注入してファイルを破壊する
    管理者権限を持った実行ファイルでファイルを破壊する

そして、この 「コントロールされたフォルダー アクセス」 をオンにしてあっても、指定されたフォルダーへのアクセスが完全に遮断されてしまうワケではありません。 <ここ大事

  • ファイルを新規作成する
    既存のファイルを上書き保存する
    既存のファイルを削除する
    ブロックされる

  • 既存のファイルを開く
    既存のファイルをコピーする
    ブロックされない

つまり、ファイルを読み込む処理はブロックされないため、スパイウェア的に ファイルを盗む攻撃には無力 です。

たとえば、㊙情報が記載されたファイルがあり、「コントロールされたフォルダー アクセス」 機能で保護してあるフォルダーに置かれてあっても、攻撃者がファイルを破壊することは難しい一方、㊙情報の流出は必ずしも防げないことになります。

「コントロールされたフォルダーアクセス」 の対象フォルダー

デフォルト状態で 「コントロールされたフォルダー アクセス」 機能で保護されるフォルダーは次の通りです。

  • ドキュメント フォルダー

  • ピクチャ フォルダー

  • ミュージック フォルダー
    ビデオ フォルダー

  • お気に入りフォルダー

この既定のフォルダーは、保護対象から外すことができない仕様です。

そのため、これらフォルダー内に置かれたファイルを扱うアプリに対して [アプリを 「コントロールされたフォルダー アクセス」 で許可する] の作業を行う必要があります。

文書の編集や画像の加工をして保存する?
→ エディタやペイントソフトのアプリを許可しておかないとブロックされる

動画や音楽を再生する?
→ ファイルを読み込むだけならば再生プレーヤーの許可は不要


デスクトップや保護や外付けストレージは対象外

コントロールされたフォルダー アクセス」 は Windows の デスクトップ などが保護の対象に含まれていません。

  • Windows デスクトップ
  • ダウンロード フォルダー
  • ストレージ領域 (外付け HDD / SDD、USB フラッシュメモリ)

デスクトップをどうでもいいファイルから大事なファイルまで雑然とした物置のごとく使っているならば、ランサムウェアの攻撃をモロに喰らわないよう ファイルの置き場所を見直す必要 があるかもしれません。

ファイルの保管目的で外付けドライブや USB フラッシュメモリを使用していて、接続されているタイミングでランサムウェアの侵入を許せば、保護の対象になっていないストレージ (Dドライブ、Eドライブ…) のファイルは破壊されてしまう運命です。

「コントロールされたフォルダーアクセス」 の通知

手元の Windwos 10 環境で Windows セキュリティ の [保護の履歴] を確認してみると、「コントロールされたフォルダー アクセス」 機能でブロックされた際のメッセージが表示されます。

この操作は管理者によってブロックされています 保護されたフォルダーへのアクセスをアプリに許可できますが、信頼するアプリのみを許可するようにしてください Your administrator has blocked thsi action. You can allow apps to access your protected folders, but you should only allow apps that you trust
保護されたフォルダーへのアクセスがブロックされました
(Protected folder access blocked)

この操作は管理者によってブロックされています 保護されたメモリへのアクセスをアプリに許可できますが、信頼するアプリのみを許可するようにしてください Your administrator has blocked thsi action. You can allow apps to access your protected memory, but you should only allow apps that you trust
保護されたメモリへのアクセスがブロックされました
(Protected memory access blocked)

そして、メッセージが蓄積されていく直前には、Windows 10 の通知機能で 「承認されていない変更がブロックされました」 が PC 画面右下にポップアップ表示されます。

承認されていない変更がブロックされました .exe による変更がフォルダーアクセスの制御でブロックされました
承認されていない変更がブロックされました

【アプリまたはアクセスがブロックされています実行ファイル例】
DataExchangeHost.exe
explorer.exe
IAStorDataMgrSvc.exe
msiexec.exe Firefly
PickerHost.exe
RuntimeBroker.exe … Runtime Broker
SrTasks.exe Firefly
svchost.exe … Windows サービスのホスト プロセス
taskhostw.exe … Windows タスクのホスト プロセス
TiWorker.exe Firefly
usocoreworker.exe … USO Core Worker Process
WinSAT.exe
WmiPrvSE.exe … WMI Provider Host

なお、[保護の履歴] の通知2つ 「保護されたフォルダーへのアクセスがブロックされました」 「保護されたメモリへのアクセスがブロックされました」 は、履歴の一覧にずっと残存してサッパリ消えず、削除方法が分からん。。。

関連するブログ記事