treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

気になったWindows Defender機能

最近Windows10 Proを再インストール用事があったのですが、そのときにDefenderについて気づいたことがあったのでご報告です。
いつの間にかDefenderが機能向上、ランサムウェア対策機能が備わっていたという話題です。

ランサムウェア

ランサムウェアとは、ファイルを暗号化して何らかの要求をする動きをするマルウェアの一種とされています。何らかの要求の代表として身代金の支払を要求をすることから身代金=ランサム(ransom)ウェアと呼ばれています。

IPA:ランサムウェア対策特設ページ
https://www.ipa.go.jp/security/anshin/ransom_tokusetsu.html

流行して歴史の浅いマルウェアですが、より実効的な攻撃であることから、今後も一定数世の中に発生し続けるマルウェアといえそうです。

ランサムウェア対策機能

ランサムウェア対策には、サードパーティー製のセキュリティスイートが必要とされてきました。
例えば、BitDefenderのOEMであるスーパーセキュリティでも、


このようなランサムウェア対策機能が用意されています。ファイルの暗号化がランサムウェアにて実行されそうになった際、その挙動をブロックする機能が備わっています。
※実際には、信頼できるアプリケーションをホワイトリスト化しておき、信頼できるアプリケーション以外の動作を制限(具体的にはファイル書き込みなどをブロック)することで、ランサムウェアがファイルを暗号化し上書きしてしまうことを防ぐ、という動作で保護を実現しています。

Defenderのランサムウェア対策機能有効化

Defenderにもランサムウェア防止機能が備わっていると思える画面があることに気づきました。
その画面は、以下のように開いていきます。

Windowsセキュリティの画面を開きます。(タスクバーやスタートメニュー、あるいは設定画面などから開くことができます。)


開いた画面で「ウイルスと脅威の防止」をクリックして開きます。


次の画面が開いて、下の方にスクロールしていくと、この画面


「ランサムウェアの防止」という項目が表示されます。
この「ランサムウェア防止の管理」という箇所をクリックすると、


この画面(ランサムウェアの防止画面)が開きます。
ここで、Defender内蔵のランサムウェア対策機能を有効化できるようです。


さっそく有効化してみました。(UACが動作しますので、管理者権限が要求されます。ここの有効化はユーザに依存しません。全ユーザ共通となります。)

有効化すると、いくつかの設定ができるようになります。

設定を確認:保護されているフォルダ

さっそく、画面中の「保護されているフォルダ」の表示をクリックして、確認してみます。

保護されているフォルダの一覧が表示されます。


ランサムウェア保護対象となっているフォルダが一覧で表示されています。
標準では、ドキュメントフォルダ(ユーザのドキュメントフォルダとパブリックのドキュメントフォルダの両方)やピクチャ、ビデオ、ミュージック、お気に入り(ブックマーク)などが対象のフォルダとなっていました。

ちょうどユーザプロファイルの


この部分が対象のようです。ダウンロードフォルダとかリンクとかは入っていませんでした。

設定を確認:アプリをコントロールされたフォルダアクセスで許可する

次の設定は「アプリをコントロールされたフォルダアクセスで許可する」をクリックした時の画面です。


説明の箇所に「ここに追加しなくても、ほとんどのアプリはコントロールされたフォルダアクセスで許可されています。」と表記があるのですが、おそらくフリーソフト(オンラインソフト)のようなソフトウェアが許可されていないケースは多いと思います。
一方でWindows標準だったり、Microsoft謹製のソフトウェアやアプリストア提供のソフトであれば特別追加することなくすんなり利用可能だと考えられます。

ただ、「許可されたアプリを追加する」ボタンをクリックすると、


「最近ブロックされたアプリ」という選択肢が出てきますので、恐らく、使用するソフトがブロックされたらここで解除する、という操作を実施することで、動作がブロックされたアプリをホワイトリストに追加できる、と考えられます。

さっそくいくつかソフトを試して、Defender保護対象としているフォルダにデータの書き込みをしてみることにしました。

例えば、フラグメント化しないファイルコピーを実現してくれるFireFileCopyで、保護対象のドキュメントフォルダに書き込んでみると、


特にエラーもなく正常終了。
他にもCassavaというCSVエディタでファイルを保存してみましたが、

正常に終了したので、結構拍子抜け。

スーパーセキュリティだと、この保護機能を有効化すると、ほぼ確実に


こういったエラーが発生して、アプリケーションをホワイトリストに追加しないとまともに動作させることができないのですが、Defenderのランサムウェア対策機能はそれほど厳格ではないのかなと思いました。(あるいは信頼の判定・判別が優秀なのかも)