<対策>ランサムウェア感染防止機能ポイント3つMicrosoft Defender : 無題なログ

<対策>ランサムウェア感染防止機能ポイント3つMicrosoft Defender

Windows 10/11のセキュリティ対策ソフトMicrosoft Defenderの履歴「保護されたフォルダー・メモリへのアクセスがブロックされました」「承認されていない変更がブロックされました」はランサムウェア防止でコントロールされたフォルダーアクセス機能が原因

Windows 10/11 には、マルウェアやトロイの木馬である ランサムウェア （身代金型ウイルス）に感染した時の深刻な被害を軽減できる「コントロールされたフォルダーアクセス」機能が実装されています。

■ ランサムウェアとは？（ransomware）
日本語では「身代金型ウイルス」と呼ばれている深刻な脅威。
感染したランサムウェアの典型的な症状は、パソコン内の HDD/SSD ストレージ、外付けドライブ、USB フラッシュメモリ、ネットワークドライブに保存されているファイルの破壊行為（暗号化）。文書や写真などの開けなくなったファイルを元に戻すとする「ファイル復号化ツール」を購入する名目で、ランサムウェアの攻撃者は身代金の支払いとして仮想通貨ビットコインを要求してくる。

Microsoft Defender の一機能として実装されている「コントロールされたフォルダーアクセス」を活用するメリットは、大事な文書ファイル、画像ファイル（写真）、動画/音楽ファイルなどがランサムウェアによって破壊される惨劇を回避する効果です。

無料のセキュリティ機能
ランサムウェアに対抗する目的で Windows に実装されている
ランサムウェア防止の動作要件
「Microsoft Defender ウイルス対策」のリアルタイム保護がオンになっていること
他のセキュリティソフトが稼働しているとランサムウェア防止機能を利用できない
└ ウイルスバスター、ノートン、マカフィー、ESET、アバストなど
初期状態で機能がオフ
Microsoft Defender の設定「コントロールされたフォルダーアクセス」をオンに変更する必要あり
ランサムウェア保護対象のフォルダー
初期状態で C ドライブの一部

1. 「コントロールされたフォルダーアクセス」の仕組み

Windows の「コントロールされたフォルダーアクセス」は、どんな仕組みでランサムウェアを防止する？

ランサムウェアの防止機能は、指定のフォルダーに存在するファイルの内容を書き換える時に、あらかじめ許可したアプリ（拡張子 .exe）だけに限定する「ホワイトリスト型」です。

＜ランサムウェアに限らず全ブロックが基本！

Windows ランサムウェアの防止で無料対策

[ブロックの履歴]
「保護されたフォルダー or メモリへのアクセスがブロックされました」の詳細を確認する
[保護されているフォルダー]
保護対象のフォルダーを新規追加する
[アプリを「コントロールされたフォルダーアクセス」で許可する]
誤ブロックの対処用で問題のない実行ファイル .exe に許可を与える

■ ランサムウェアの感染そのものは防がない！

Windows の「コントロールされたフォルダーアクセス」機能で注意すべきポイントです。

ランサムウェアの侵入そのものを防ぐセキュリティ機能ではない
大事なファイルが破壊される地獄を回避する効果だけ
ランサムウェアの性能次第でバイパスされる抜け道あり
→ 正規プロセスのメモリ内に暗号化を行う処理を注入してファイルを破壊する
→ UAC の許可で管理者権限を持った実行ファイルを介してファイルを破壊する

そして、「コントロールされたフォルダーアクセス」機能がオンであっても、指定のフォルダーにアクセスする処理を完全に遮断されることはありません。

＜ここ大事！

ファイルを新規作成する
既存のファイルを上書き保存する
既存のファイルを削除する
→ Microsoft Defender にブロックされる
既存のファイルを開く
既存のファイルをコピーする
→ Microsoft Defender はブロックしない

つまり、ファイルを読み込む処理がブロックされないので、ファイルを盗む攻撃には無力です。

たとえば、大事な情報が記載されてある文書ファイルがあったとして、「コントロールされたフォルダーアクセス」機能で保護されたフォルダーの所に文書ファイルが置かれてあっても…

○ 文書の破壊

→ ランサムウェア防止機能によって困難になる

○ 文書の流出・漏洩
→ ランサムウェア防止機能で防げない（盗む手口を防ぐ仕組みではないため）

2. 「コントロールされたフォルダーアクセス」の対象フォルダー

初期状態で「コントロールされたフォルダーアクセス」機能による保護対象のフォルダーがコチラ！

ドキュメント … 文書ファイル
C:\Users\[ユーザー名]\Documents\
ピクチャ … 画像ファイル
C:\Users\[ユーザー名]\Pictures\
ビデオ … 動画ファイル
C:\Users\[ユーザー名]\Videos\
ミュージック … 音楽ファイル
C:\Users\[ユーザー名]\Music\
お気に入り
C:\Users\[ユーザー名]\Favorites\

既定のフォルダーは、保護の対象からいっさい外せません。

これらフォルダー内に置かれたファイルを滞りなく扱いたいならば、ブロックされないように [アプリを「コントロールされたフォルダーアクセス」で許可する] を設定しましょう。

・文書を編集したり、画像を加工して保存する場合
→ ブロックされないようにテキストエディタ、Microsoft Office、ペイントソフトを許可しましょう

・動画や音楽を再生して視聴する場合
→ メディアファイルを単に読み込むだけなので、再生プレーヤーの許可は必要なし

■ デスクトップや外付けストレージは保護の対象外

「コントロールされたフォルダーアクセス」は Windows の デスクトップ などが保護の対象ではありません。

デスクトップ
ダウンロードフォルダー
外部のストレージ領域
（外付け HDD、外付け SDD、USB フラッシュメモリ）

どうでもいいファイルから大事なファイルまで Windows の デスクトップ を物置のように使っているならば、ランサムウェアの攻撃をモロに喰らわないよう ファイルの置き場所を見直す 必要があります。

また、バックアップ目的で外付けのドライブや USB フラッシュメモリを使っているならば、パソコンと接続しているタイミングでランサムウェアの侵入を許した場合に、保護対象ではないストレージ（D ドライブ、E ドライブ、F ドライブ…）のファイルは破壊されるリスクがあります。

3. 「コントロールされたフォルダーアクセス」の通知

手元の Windows 環境で Windows セキュリティ の [保護の履歴] を確認してみると、「コントロールされたフォルダーアクセス」機能でブロックされた際のメッセージが表示されます。

この操作は管理者によってブロックされています保護されたフォルダーへのアクセスをアプリに許可できますが、信頼するアプリのみを許可するようにしてください Your administrator has blocked thsi action. You can allow apps to access your protected folders, but you should only allow apps that you trust

保護されたフォルダーへのアクセスがブロックされました

（Protected folder access blocked）

この操作は管理者によってブロックされています保護されたメモリへのアクセスをアプリに許可できますが、信頼するアプリのみを許可するようにしてください Your administrator has blocked thsi action. You can allow apps to access your protected memory, but you should only allow apps that you trust

保護されたメモリへのアクセスがブロックされました
（Protected memory access blocked）

そして、メッセージが蓄積されていく直前には、Windows の通知機能で「承認されていない変更がブロックされました」が PC 画面右下にポップアップ表示されます。

承認されていない変更がブロックされました

【アプリまたはアクセスがブロックされています実行ファイル例】
DataExchangeHost.exe
explorer.exe
IAStorDataMgrSvc.exe
msiexec.exe Firefly
PickerHost.exe
RuntimeBroker.exe … Runtime Broker
SrTasks.exe Firefly
svchost.exe … Windows サービスのホストプロセス
taskhostw.exe … Windows タスクのホストプロセス
TiWorker.exe Firefly
usocoreworker.exe … USO Core Worker Process
WinSAT.exe
WmiPrvSE.exe … WMI Provider Host