<なぜ>承認されていない変更がブロックされました解決法 Windows 10
Windows 10 には ランサムウェア (身代金型ウイルス) に感染した場合の被害を少しでも軽減する目的で 「コントロールされたフォルダー アクセス」 というセキュリティ機能が標準で実装されています。
■ ランサムウェア とは?マルウェア、トロイの木馬の一種。
PC 内のストレージ、外付けドライブ、USB フラッシュメモリ、ネットワークドライブに保存されている大事なファイル (文書、画像/写真、動画、音楽、圧縮アーカイブなど) を感染したランサムウェアが暗号化して破壊する症状が一般的。開けなくなったファイルを元に戻す 「ファイル復号化ツール」 の購入を名目に、仮想通貨ビットコインで身代金を支払うよう脅迫することで、ランサムウェアの攻撃者が収益を上げるドス黒いビジネスが背景にある。
オンにしている Windows ユーザーさんはいますか?
- Windows 10 で無料で利用できるセキュリティ機能
「Microsoft Defender ウイルス対策」 のリアルタイム保護がオンになっている必要あり
→ 他のセキュリティソフト (ウイルスバスター、ノートンなど) がインストールされてあるなら利用不可 - 初期状態ではセキュリティ機能はオフ
→ ユーザーさんがオフからオンに設定を変更して機能を有効化する必要あり - 初期状態で保護されているフォルダーはCドライブの一部
→ 保護する対象として、ユーザーさんがフォルダーを新規追加できる
はいっ! (’ー’)ノ
「コントロールされたフォルダーアクセス」 の仕組み
Windows 10 の 「コントロールされたフォルダー アクセス」 は、どんな仕組みでランサムウェアを防止するのでしょうか?
指定されたフォルダー内に存在するファイルの変更は、ユーザーが手動で許可したアプリ (拡張子 .exe) に限定される ”ホワイトリスト型” のセキュリティ機能です。
<ランサムウェアに限らず全ブロックが基本!

- ブロックの履歴
「保護されたフォルダー or メモリへのアクセスがブロックされました」 の詳細を見る - 保護されているフォルダー
ブロックする対象として、新たに任意のフォルダーを追加する - アプリを 「コントロールされたフォルダー アクセス」 で許可する
ブロックしないよう実行ファイル .exe を選択して承認して許可する
■ ランサムウェアの感染を防がないセキュリティ機能
Windows 10 「コントロールされたフォルダー アクセス」 機能の注意すべきポイントです。
- ランサムウェアの侵入自体を防ぐセキュリティ機能ではない
大事なファイルが呆気なく破壊されて焦土と化す地獄を回避する効果だけ
(Windows 10 がランサムウェアに感染する最悪の事態の発生が大前提としてある) - ランサムウェアの性能次第でバイパスできる抜け道あり
正規プロセスのメモリ内に暗号化する処理を注入してファイルを破壊する
管理者権限を持った実行ファイルでファイルを破壊する
そして、この 「コントロールされたフォルダー アクセス」 をオンにしてあっても、指定されたフォルダーへのアクセスが完全に遮断されてしまうワケではありません。
<ここ大事

- ファイルを新規作成する
既存のファイルを上書き保存する
既存のファイルを削除する
→ ブロックされる - 既存のファイルを開く
既存のファイルをコピーする
→ ブロックされない
つまり、ファイルを読み込む処理はブロックされないため、スパイウェア的に ファイルを盗む攻撃には無力 です。
たとえば、㊙情報が記載されたファイルがあり、「コントロールされたフォルダー アクセス」 機能で保護してあるフォルダーに置かれてあっても、攻撃者がファイルを破壊することは難しい一方、㊙情報の流出は必ずしも防げないことになります。 

「コントロールされたフォルダーアクセス」 の対象フォルダー
デフォルト状態で 「コントロールされたフォルダー アクセス」 機能で保護されるフォルダーは次の通りです。
- ドキュメント フォルダー
- ピクチャ フォルダー
- ミュージック フォルダー
ビデオ フォルダー - お気に入りフォルダー
この既定のフォルダーは、保護対象から外すことができない仕様です。
そのため、これらフォルダー内に置かれたファイルを扱うアプリに対して [アプリを 「コントロールされたフォルダー アクセス」 で許可する] の作業を行う必要があります。
文書の編集や画像の加工をして保存する?
→ エディタやペイントソフトのアプリを許可しておかないとブロックされる
動画や音楽を再生する?
→ ファイルを読み込むだけならば再生プレーヤーの許可は不要
■ デスクトップや保護や外付けストレージは対象外
「コントロールされたフォルダー アクセス」 は Windows の デスクトップ などが保護の対象に含まれていません。
- Windows デスクトップ
- ダウンロード フォルダー
- ストレージ領域 (外付け HDD / SDD、USB フラッシュメモリ)
デスクトップをどうでもいいファイルから大事なファイルまで雑然とした物置のごとく使っているならば、ランサムウェアの攻撃をモロに喰らわないよう ファイルの置き場所を見直す必要 があるかもしれません。 

ファイルの保管目的で外付けドライブや USB フラッシュメモリを使用していて、接続されているタイミングでランサムウェアの侵入を許せば、保護の対象になっていないストレージ (Dドライブ、Eドライブ…) のファイルは破壊されてしまう運命です。 

「コントロールされたフォルダーアクセス」 の通知
手元の Windwos 10 環境で Windows セキュリティ の [保護の履歴] を確認してみると、「コントロールされたフォルダー アクセス」 機能でブロックされた際のメッセージが表示されます。 



(Protected folder access blocked)

(Protected memory access blocked)
そして、メッセージが蓄積されていく直前には、Windows 10 の通知機能で 「承認されていない変更がブロックされました」 が PC 画面右下にポップアップ表示されます。

承認されていない変更がブロックされました

承認されていない変更がブロックされました
【アプリまたはアクセスがブロックされています実行ファイル例】DataExchangeHost.exeexplorer.exe
IAStorDataMgrSvc.exemsiexec.exe FireflySrTasks.exe Firefly
PickerHost.exe
RuntimeBroker.exe … Runtime Brokersvchost.exe … Windows サービスのホスト プロセスtaskhostw.exe … Windows タスクのホスト プロセスTiWorker.exe Firefly
usocoreworker.exe … USO Core Worker Process
WinSAT.exe
WmiPrvSE.exe … WMI Provider Host
なお、[保護の履歴] の通知2つ 「保護されたフォルダーへのアクセスがブロックされました」 「保護されたメモリへのアクセスがブロックされました」 は、履歴の一覧にずっと残存してサッパリ消えず、削除方法が分からん。。。 



コメント