ノートパソコン dynabook が 
5万円台から♪<対策>ランサムウェア感染防止機能ポイント3つMicrosoft Defender
Windows 10/11 には、マルウェアやトロイの木馬である ランサムウェア (身代金型ウイルス) に感染した時の深刻な被害を軽減できる 「コントロールされたフォルダー アクセス」 機能が実装されています。 
■ ランサムウェア とは? (ransomware)日本語では 「身代金型ウイルス」 と呼ばれている深刻な脅威。
感染したランサムウェアの典型的な症状は、パソコン内の HDD/SSD ストレージ、外付けドライブ、USB フラッシュメモリ、ネットワークドライブに保存されているファイルの破壊行為 (暗号化)。文書や写真などの開けなくなったファイルを元に戻すとする 「ファイル復号化ツール」 を購入する名目で、ランサムウェアの攻撃者は身代金の支払いとして仮想通貨ビットコインを要求してくる。
Microsoft Defender の一機能として実装されている 「コントロールされたフォルダー アクセス」 を活用するメリットは、大事な文書ファイル、画像ファイル (写真)、動画/音楽ファイルなどがランサムウェアによって破壊される惨劇を回避する効果です。
- 無料のセキュリティ機能
ランサムウェアに対抗する目的で Windows に実装されている - ランサムウェア防止の動作要件
「Microsoft Defender ウイルス対策」 のリアルタイム保護がオンになっていること
他のセキュリティソフトが稼働しているとランサムウェア防止機能を利用できない
└ ウイルスバスター、ノートン、マカフィー、ESET、アバストなど - 初期状態で機能がオフ
Microsoft Defender の設定 「コントロールされたフォルダー アクセス」 をオンに変更する必要あり - ランサムウェア保護対象のフォルダー
初期状態で C ドライブの一部
1. 「コントロールされたフォルダーアクセス」 の仕組み
Windows の 「コントロールされたフォルダー アクセス」 は、どんな仕組みでランサムウェアを防止する?
ランサムウェアの防止機能は、指定のフォルダーに存在するファイルの内容を書き換える時に、あらかじめ許可したアプリ (拡張子 .exe) だけに限定する 「ホワイトリスト型」 です。 
<ランサムウェアに限らず全ブロックが基本!
<ランサムウェアに限らず全ブロックが基本!
Windows ランサムウェアの防止で無料対策
- [ブロックの履歴]
「保護されたフォルダー or メモリへのアクセスがブロックされました」 の詳細を確認する - [保護されているフォルダー]
保護対象のフォルダーを新規追加する - [アプリを 「コントロールされたフォルダー アクセス」 で許可する]
誤ブロックの対処用で問題のない実行ファイル .exe に許可を与える
■ ランサムウェアの感染そのものは防がない!
Windows の 「コントロールされたフォルダー アクセス」 機能で注意すべきポイントです。
- ランサムウェアの侵入そのものを防ぐセキュリティ機能ではない
大事なファイルが破壊される地獄を回避する効果だけ - ランサムウェアの性能次第でバイパスされる抜け道あり
→ 正規プロセスのメモリ内に暗号化を行う処理を注入してファイルを破壊する
→ UAC の許可で管理者権限を持った実行ファイルを介してファイルを破壊する
そして、「コントロールされたフォルダー アクセス」 機能がオンであっても、指定のフォルダーにアクセスする処理を完全に遮断されることはありません。 
<ここ大事!
<ここ大事!- ファイルを新規作成する
既存のファイルを上書き保存する
既存のファイルを削除する
→ Microsoft Defender にブロックされる - 既存のファイルを開く
既存のファイルをコピーする
→ Microsoft Defender はブロックしない
つまり、ファイルを読み込む処理がブロックされないので、ファイルを盗む攻撃には無力 です。
たとえば、大事な情報が記載されてある文書ファイルがあったとして、「コントロールされたフォルダー アクセス」 機能で保護されたフォルダーの所に文書ファイルが置かれてあっても…
○ 文書の破壊
→ ランサムウェア防止機能によって困難になる
○ 文書の流出・漏洩
→ ランサムウェア防止機能で防げない (盗む手口を防ぐ仕組みではないため)
→ ランサムウェア防止機能で防げない (盗む手口を防ぐ仕組みではないため)
2. 「コントロールされたフォルダーアクセス」 の対象フォルダー
初期状態で 「コントロールされたフォルダー アクセス」 機能による保護対象のフォルダーがコチラ!
- ドキュメント … 文書ファイル
C:\Users\[ユーザー名]\Documents\ - ピクチャ … 画像ファイル
C:\Users\[ユーザー名]\Pictures\ - ビデオ … 動画ファイル
C:\Users\[ユーザー名]\Videos\ - ミュージック … 音楽ファイル
C:\Users\[ユーザー名]\Music\ - お気に入り
C:\Users\[ユーザー名]\Favorites\
既定のフォルダーは、保護の対象からいっさい外せません。
これらフォルダー内に置かれたファイルを滞りなく扱いたいならば、ブロックされないように [アプリを 「コントロールされたフォルダー アクセス」 で許可する] を設定しましょう。
・ 文書を編集したり、画像を加工して保存する場合→ ブロックされないようにテキストエディタ、Microsoft Office、ペイントソフトを許可しましょう・ 動画や音楽を再生して視聴する場合
→ メディアファイルを単に読み込むだけなので、再生プレーヤーの許可は必要なし
■ デスクトップや外付けストレージは保護の対象外
「コントロールされたフォルダー アクセス」 は Windows の デスクトップ などが保護の対象ではありません。
- デスクトップ
- ダウンロード フォルダー
- 外部のストレージ領域
(外付け HDD、外付け SDD、USB フラッシュメモリ)
どうでもいいファイルから大事なファイルまで Windows の デスクトップ を物置のように使っているならば、ランサムウェアの攻撃をモロに喰らわないよう ファイルの置き場所を見直す 必要があります。
また、バックアップ目的で外付けのドライブや USB フラッシュメモリを使っているならば、パソコンと接続しているタイミングでランサムウェアの侵入を許した場合に、保護対象ではないストレージ (D ドライブ、E ドライブ、F ドライブ…) のファイルは破壊されるリスクがあります。
3. 「コントロールされたフォルダーアクセス」 の通知
(Protected folder access blocked)
(Protected memory access blocked)
そして、メッセージが蓄積されていく直前には、Windows の通知機能で 「承認されていない変更がブロックされました」 が PC 画面右下にポップアップ表示されます。
承認されていない変更がブロックされました
承認されていない変更がブロックされました
【アプリまたはアクセスがブロックされています実行ファイル例】DataExchangeHost.exeexplorer.exe
IAStorDataMgrSvc.exemsiexec.exe FireflySrTasks.exe Firefly
PickerHost.exe
RuntimeBroker.exe … Runtime Brokersvchost.exe … Windows サービスのホスト プロセスtaskhostw.exe … Windows タスクのホスト プロセスTiWorker.exe Firefly
usocoreworker.exe … USO Core Worker Process
WinSAT.exe
WmiPrvSE.exe … WMI Provider Host
コメント