重要なポイントでランサムウェアを阻止: コントロールされたフォルダー アクセス機能でデータを保護する

本記事は、Windows Security のブログ “Stopping ransomware where it counts: Protecting your data with Controlled folder access” (2017 年 10 月 23 日 米国時間公開) を翻訳したものです。

Windows Defender Exploit Guard は、Windows 10 Fall Creators Update に搭載された新しい侵入防止機能です。そのうちの 1 つであるコントロールされたフォルダー アクセス機能は、重要なファイルへの承認されていないアクセスを防止することで、その場でランサムウェアを阻止します。

暗号化は本来、皆さんのデータとファイルを保護するものです。ランサムウェアによって暗号化の効果がねじ曲げられて、ファイルを人質に取るために使われてしまいます。これは、ドキュメント、大事な写真や動画、その他の重要なファイルなどの、データのコントロールを失うことを意味します。

エンタープライズおよび中小企業にとって、ファイルへのアクセスを失うことは事業の中断を招く可能性があります。ランサムウェア感染が基幹インフラストラクチャに及んだ場合、サービス提供ができなくなるという深刻な状況になることも考えられます。まさに今年、一連のランサムウェア キャンペーンと、少なくとも 2 回の世界的なランサムウェアの大流行 (英語情報) により、医療機関、輸送システム、および IT 関連施設が機能停止に陥りました。

ランサムウェアは進化を続け、引き続き異なる環境のさまざまなデバイスに影響を与えています。マイクロソフトでは、ランサムウェアおよびその他の脅威に対して Windows 10 の機能を常に強化しています。私たちが提供するエンド ツー エンドのセキュリティ スイートは複数の次世代型の防御テクノロジを統合して、お客様のランサムウェア攻撃に対する防止、検出、および対応を支援します。

コントロールされたフォルダー アクセス機能によって、ランサムウェアに対するリアルタイム保護の層が強化されます。

ランサムウェア キャンペーンはサイバー犯罪者にとって収益性の高いビジネスであるため、増大し発展を続けています。ランサムウェアは被害者のデバイスに侵入し、ファイルとデータを暗号化します。これらのファイルが人質に取られるため、サイバー犯罪者は被害者に身代金を強要することができるのです。

コントロールされたフォルダー によって、データへのアクセスを許可するプログラムの決定権を皆さんの下に戻すことができます。この機能は、フォルダーをロックしてランサムウェアやその他の承認されていないアプリがアクセスできないようにすることで、リアルタイムにファイルを改ざんから保護します。自分だけが鍵を持っている金庫に、宝石を保管することと同じです。

ファイルを暗号化できなければ、サイバー犯罪者は身代金を要求することができません。コントロールされたフォルダー アクセス機能は、ランサムウェアによる攻撃を無用にできる強力なツールです。

コントロールされたフォルダー アクセスはフォルダーをロック ダウンし、承認されたアプリからのみアクセスを許可します。悪意のある実行可能ファイル、DLL、およびスクリプトなどを含む承認されていないアプリは、フォルダーへのアクセスを拒否されます。

この機能は、Windows 10 の Windows Defender セキュリティ センター アプリから有効化することができます。

コントロールされたフォルダー アクセスは、既定でドキュメントやその他の重要なデータが保存されている共通フォルダーを保護しますが、カスタマイズすることもできます。他のドライブ上にあるものも含め、保護するフォルダーを追加することも可能です。信頼するアプリによる保護されているフォルダーへのアクセスを許可することもできるので、固有あるいはカスタム アプリを使用している場合でも、日常の生産性が影響を受けることはありません。

コントロールされたフォルダー アクセスを有効にすると、不正アプリによるアクセスを防止し、保護されているフォルダー内のファイルへのアクセスや変更の試みについてユーザーに通知します。この保護をリアルタイムで提供します。

エンタープライズの環境では、コントロールされたフォルダー アクセスはグループ ポリシー、PowerShell、またはモバイル デバイス管理用の構成サービス プロバイダーを使用して有効化し、管理することができます。

コントロールされたフォルダー アクセス機能は、Windows Defender Advanced Threat Protection (英語情報) とシームレスに統合されています。この機能が保護されたフォルダーに対する変更の試みをブロックするたびに、Windows Defender ATP でアラートが生成されます。この通知を受けてセキュリティ運用要員は影響を受けたマシンを検疫したり、他のマシンで承認されていないアプリが実行されるのをブロックするなど、迅速な対応を取ることができます。

Windows Defender Exploit Guard の他の機能と同様に、管理者は、侵入が試みられた際にエンドポイントに表示される通知をカスタマイズ (英語情報) することができます。カスタマイズされた通知を見た従業員は、企業のヘルプ デスクに電話をしたり、電子メールやインスタント メッセージを送ることが可能になります。

コントロールされたフォルダー アクセスを含む Windows Defender Exploit Guard の機能では監査モードが提供されており、管理者はそれを使ってエンタープライズ ネットワークでこれらのセキュリティ機能を評価することができます。監査モードでは、保護されたフォルダー内のファイルに対する変更の試みはブロックされませんが、すべてのイベントが記録され、管理者は運用環境に影響を与えることなく Windows Defender Exploit Guard の機能を評価することが可能です。

ランサムウェア攻撃は、日々ますます複雑化しています。お客様の安全を保つことを目的として、マイクロソフトではランサムウェアやその他の脅威から保護するために Windows を継続的に改善しています。Windows 10 は、今までの Windows の中で最も安全なバージョンです。コントロールされたフォルダー アクセスは、ランサムウェア攻撃のリスクを減らし、お使いの環境でユーザーおよびビジネス データの保護に役立つよう設計されています。

Tanmay Ganacharya (@tanmayg)

Principal Group Manager、Windows Defender Research

Windows 10 S は、セキュリティとパフォーマンスに特化して合理化された Windows 10 の構成です。Windows ストアのアプリだけを使用し、Microsoft Edge を既定のブラウザーとすることで、マイクロソフトによって十分に精査されたセキュリティを提供します。

Windows 10 をお使いのお客様はさらに、Windows Defender ウイルス対策 (英語情報) によってランサムウェアから保護されています。高度な機械学習モデル、および汎用的でヒューリスティックなテクノロジを使って、Windows Defender ウイルス対策は新しいランサムウェアだけでなく未知のランサムウェア (英語情報) もリアルタイムに検出します。

Microsoft Edge (英語情報) は、権限の低いアプリ コンテナー内でページを開いたり、評価ベースで悪意のあるダウンロードをブロックしたりすることで、Web からのランサムウェア感染をブロックします。Microsoft Edge はリリースされて以来、Windows 10 のお客様に対して業界をリードするオンライン保護を提供しています。今年から Microsoft Edge は iOS および Android 上で利用可能 (英語情報) になったため、これらのプラットフォームのユーザーはサンドボックスよりさらに進んだブラウザー セキュリティ (英語情報) を享受することができるようになりました。

エンタープライズの環境では、追加の保護層が存在します。Device Guard は仮想化ベースのロックダウン セキュリティを提供します。あらゆる種類の未承認コンテンツをブロックし、ランサムウェアやその他の脅威がマシンに到達するのを阻止します。

Microsoft Edge に加えてエンタープライズでは、電子メールを足がかりとするランサムウェア攻撃をブロックすることでオンライン セーフティを確保することができます。マイクロソフトの Exchange Online Protection (EOP) は、組み込まれたスパム対策フィルタリング機能を使用して Office 365 ユーザーの保護を支援します。Office 365 Advanced Threat Protection ではクリック時の保護を活用して、危険な添付ファイルやリンクを含むファイル、および悪意のあるリンクが含まれている電子メールをブロックすることで、メールボックスを電子メール攻撃から保護します。

セキュリティ運用要員は、組織でマルウェアが流行した場合に Windows Defender ATP を使ってそれを検知し、対応することができます。Windows Defender ATP の強化された動作検知および機械学習検知ライブラリは、ランサムウェアの感染プロセスにおける悪意のある動作にフラグを付けます。新しく導入されたプロセス ツリーの視覚化と、マシン分離機能の改善は、セキュリティ運用要員によるランサムウェアやその他の悪意のある攻撃に関する調査と対応に役立ちます。

コントロールされたフォルダー アクセスは、発展を続ける次世代型のソリューション スタックに追加された新機能で、お客様のランサムウェアおよび最新の攻撃に対する防止、検出、および対応を支援します。

コントロールされたフォルダー アクセス、Exploit Protection、攻撃表面の縮小、およびネットワーク保護が、Windows Defender Exploit Guard のホスト侵入防止機能を構成しています。Fall Creators Update に搭載されているこれらの機能およびその他のすべての次世代型セキュリティ テクノロジによって、Windows 10 はこれまでで最も安全でセキュアな Windows であり続けることができるのです。