Windows 10の標準機能でガチガチに守りを固めるワザ

2018年05月19日 10時00分更新

文● 柳谷智宣

　撮り貯めたデジカメ写真やダウンロードした動画、書きかけの小説、プライベートのメールなどのデータがすべて消失したり、漏洩したときのことを想像したことがあるだろうか。被害に遭ってから嘆いても、ネット経由の不正アクセスでは犯人を捕まえようがない。やはり、まだ無事な状況で、守りをガチガチに固めておいた方が安心だ。そこで今回は、Windows 10の標準機能をきちんと運用するワザを紹介する。

ウイルスに感染するとすべてのデータを失うことも。Windows 10には多数のセキュリティー機能が搭載されているが、きちんと運用できているだろうか？

何はともあれ要となる「Windows Defender」

　コンピューターウイルスやマルウェアを防止するなら、アンチウイルスソフトが活躍する。Windows 10に標準で搭載されている「Windows Defender」でも、悪意のあるプログラムをシャットアウトできる。無料機能だから性能もそこそこ、というわけでもなく定番のウイルスにはきちんと対応してくれる。とはいえ、きちんと運用できていなければ、穴＝セキュリティーホールができ、そこから不正アクセスされてしまう。

　普通の企業や個人で使っているPCをクラッカーが狙うわけがないとか、万一被害に遭っても特に問題はない、と思うのは早計だ。総務省のレポートによれば、ひとつのIPアドレスには年間約56万回ものパケットが届いている。必ずしもすべてがサイバー攻撃というわけでもないのだが、それでも恐るべき数字だ。多くは、IoT機器を乗っ取ろうとしているのだが、もちろんWindowsに侵入しようとするパケットもある。

　ウイルスはメールでも送られてくるし、ウェブサイトに仕込まれていることもある。同僚からもらったUSBメモリーに感染しているかもしれない。便利だと思ってダウンロードしたフリーソフトが、ウイルス本体の可能性だってある。

　その手の輩が狙っているのは、おもに3つ。ひとつはお金になる情報を盗んだり、PCを人質にして身代金を得ること。もうひとつはPCを遠隔操作して特定のウェブサイトを攻撃するのに利用すること。そして、愉快犯として情報を盗んで晒し上げたり、PCを壊したりする輩がいる。くれぐれも被害に遭わないようにしていただきたいところ。

　そこで役に立つのがWindows Defenderだ。設定を確認するには、「設定」から「更新とセキュリティー」→「Windowsセキュリティー」→「Windows Defenderセキュリティーセンターを開きます」をクリックし、「ウイルスと脅威の防止」→「ウイルスと脅威の防止の設定」を開く。ここで、「リアルタイム保護」と「クラウド提供の保護」が「オン」になっていればOK。Windows 10に不正アクセスしようとする悪意のあるプログラムを監視してくれている。

　ただし、この機能がオンになっていても、Windows 10が最新の状態になっていなければ意味がない。Windows Updateがきちんと適用されていることが基本。Windows 10の更新機能は基本的に自動で動作するのだが、勝手に再起動されたくないからといって強制的に無効にするテクニックがネットに公開されている。クラッカーはそんなWindows Updateを適用していないPCを探し出して攻撃するので、わざわざ隙を作らないようにしたいところだ。

Windows Updateがオンになっていることが重要

ウイルスと脅威の防止の設定で、「リアルタイム保護」と「クラウド提供の保護」が「オン」になっていることを確認する

Windows Defenderが正常に動作していればウイルスの侵入を防いでくれる

Edgeブラウザーで怪しいサイトにアクセスしたときも警告してくれる

　ランサムウェアというマルウェアがある。数年前に何度もニュースに取り上げられたので耳にした人も多いだろう。これは、感染するとPCのHDD/SSDにあるデータを暗号化して使えなくしてしまうもの。元に戻したければ、身代金（ランサム）を支払うように脅されるのだ。現在は、下火になっているが、まだ出回っている。

　有名なランサムウェアはWindows Defenderで排除できるが、頻繁に亜種が作成されているので、万に一つ対応が追いつかない可能性もある。そんな時のために、Windows 10にはランサムウェアを防止するための「コントロールされたフォルダーアクセス」機能が搭載されている。万一の際にも、絶対守りたい個人データがあるなら、有効にしておくといいだろう。ランサムウェアに感染してWindowsが使えなくなったとしても、他のPCに接続するなどしてデータを取り出すことができる。

　ただし「コントロールされたフォルダーアクセス」機能がオンになっていると、許可されたアプリ以外は書き込みできなくなる。もし、普段使っているアプリがはじかれるようであれば、「アプリをコントロールされたフォルダーアクセスで許可する」に追加しておこう。

ウイルスと脅威の防止の設定から「フォルダーアクセスの制御を管理する」を開き、オンにする

初期設定ではユーザーフォルダを守るようになっているが、追加することも可能

アクセス制御中のフォルダーを利用できるアプリを追加できる

　「リアルタイム保護」が有効になっていると、マルウェアは自動的に除去される。今回、テストということであえて機能をオフにして、ランサムウェアをダウンロードしてみた。すると、「リアルタイム保護」がオフになっているのにも関わらず、マルウェアであると警告が出た。これは心強いところ。そして、あえて「実行」をクリックしたところ、全データの暗号化がスタート。UAC（ユーザーアカウントコントロール）の確認ダイアログが出たので、「いいえ」をクリックしたのだが、それでもデータが暗号化され、身代金を催促された。こうなると復旧はほぼ無理だ。

　ちなみに、「リアルタイム保護」をオフにしても、「コントロールされたフォルダーアクセス」機能はオンにできるのだが、実際は動作しておらず、すべてのデータが失われた。当然と言えば当然ではあるのだが、「コントロールされたフォルダーアクセス」機能は「リアルタイム保護」と一緒に使う必要があるので覚えておこう。