やじうまの杜

ランサムウェア対策が「Windows 10 Fall Creators Update」に追加！　さっそくトライ

許可リストに加えなくても保護フォルダーにアクセスできる“フレンドリ”なアプリって？

樽井秀人

2017年7月5日 13:54

　“やじうまの杜”では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

新しいランサムウェア対策機能“コントロールされたフォルダーアクセス（Controlled Folder Access）”

　ランサムウェアの猛威が連日報道される中、「Windows 10」の次期バージョンである「Windows 10 Fall Creators Update」に新しいランサムウェア対策機能“コントロールされたフォルダーアクセス（Controlled Folder Access）”が追加されました。

ランサムウェア対策を追加した「Windows 10 Insider Preview」Build 16232が公開 - 窓の杜

　というわけで、さっそく試してみました。なお、本機能はプレビュー版であり、製品版では仕様が変更される可能性も十分あるので悪しからず。

基本的な使い方

「Windows Defender セキュリティセンター」

　“コントロールされたフォルダーアクセス”は、指定したフォルダーを監視して、不審なアプリがファイルへアクセスするのをブロックする機能です。初期状態では無効化されているため、利用するには「Windows Defender セキュリティセンター」から有効化する必要があります。

　まず、「Windows Defender セキュリティセンター」の［ウイルスと脅威の防止］セクションを開き、［ウイルスと脅威の防止の設定］画面へアクセスしましょう。下の方にスクロールすると、“コントロールされたフォルダーアクセス”が見つかるはずです（Build 16232の場合）。

［ウイルスと脅威の防止］セクション

［ウイルスと脅威の防止の設定］画面を下の方にスクロールすると、“コントロールされたフォルダーアクセス”が見つかる

　ここには“保護されているフォルダー”と“アプリをコントロールされたフォルダーアクセスで許可する”というリンクが用意されています。ランサムウェアから守りたいフォルダーがある場合は、前者のリンクをクリックして［保護されているフォルダー］画面へアクセスし、フォルダーを追加しましょう。今回は“C:¥Temp”というフォルダーを作成して登録してみました。

［保護されているフォルダー］画面へアクセス

“C:¥Temp”というフォルダーを作成して登録

　試しに「Firefox」で適当なファイルをダウンロードして、この“C:¥Temp”フォルダーに保存すると、トースト通知が現れ、ファイルの保存がブロックされます（「Microsoft Edge」の場合はファイルを保存できますが、それについては後述します）。

［保護されているフォルダー］画面へアクセス

“C:¥Temp”というフォルダーを作成して登録

［アプリをコントロールされたフォルダーアクセスで許可する］画面

　「Firefox」でも“C:¥Temp”フォルダーへアクセスしたい場合は、［アプリをコントロールされたフォルダーアクセスで許可する］画面で「Firefox」を登録します。このように許可リストにアプリを登録しておけば、“C:¥Temp”フォルダーにファイルを保存できるようになります。

　“コントロールされたフォルダーアクセス”に登録したフォルダーは一見、一般のフォルダーと区別がつきません。プロパティ画面でアクセス権限を確認してみましたが、特に変わったところはないようです。

　しかし、レジストリ（HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows Defender¥Exploit Guard¥Controlled Folder Access）にはしっかり記録されており、OSによるフォルダー監視の対象になっているらしいことがうかがえます。

プロパティ画面でコントロールされた保護フォルダーと一般のフォルダーを比較。違いはないようだ

レジストリに記録された“コントロールされたフォルダーアクセス”の設定

フレンドリなアプリとは何か

　さて、［アプリをコントロールされたフォルダーアクセスで許可する］画面を開くとお気付きかと思いますが、わざわざ許可リストにアプリを登録しなくても、“ほとんどのアプリ”は“保護されているフォルダー”にアクセスすることが可能です。

［アプリをコントロールされたフォルダーアクセスで許可する］画面の記述

ここに追加しなくても、ほとんどのアプリはコントロールされたフォルダーアクセスで許可されています。マイクロソフトがフレンドリと特定したアプリは常に許可されています。

　たとえば、「Microsoft Edge」は許可リストになくても“C:¥Temp”フォルダーへファイルを保存できます。つまり、「Microsoft Edge」は“フレンドリと特定”されているアプリのようです。

　では、この“フレンドリと特定”されるための基準とは、いったい何なのでしょうか。

　「Microsoft Edge」は、①OSにビルトインされた、②Microsoft製の、③ストアアプリです。そこで、①と②の条件を満たす「メモ帳」にお出まし願い、“C:¥Temp”フォルダーへファイルを保存してみました。

「メモ帳」では“C:¥Temp”フォルダーへファイルを書き込めない

　結果は、このように失敗。どうやら、ストアアプリ（UWP）かどうかがカギになっているようです。これを検証するため、今度はデスクトップ版とストアアプリ版の両方がラインナップされている「秀丸エディタ」を用意しました（参考記事）。

デスクトップ版「秀丸エディタ」でも“C:¥Temp”フォルダーへファイルを書き込めない

　まず、デスクトップ版「秀丸エディタ」で試したところ、「Firefox」（や「メモ帳」）と同様、“C:¥Temp”フォルダーへのアクセスがブロックされました。

　次に、ストアアプリ版「秀丸エディタ」で“C:¥Temp”フォルダーへファイルを保存してみたところ……ブロックされずにファイルを保存できました！　どうやらストアアプリであるかどうかが、“フレンドリ”であるかどうかに関わっているようです（もしかしたらアプリの動作権限や署名を見ているのかもしれませんが……）。原則的に“ストア”には審査済みの“信頼できる”アプリしか存在しないはずなので、保護フォルダーにアクセスしても大丈夫だろうというわけですね。

　翻訳がこなれていない、ブロックの履歴を手軽に見る方法がない（通知はタップすると消えてしまう）などの問題点も目につきましたが、使い方次第ではなかなか役に立つのではないかと思います。