Windows 10の2018年10月のアップデートでは、新たに「不審な行動をブロックする」セキュリティ機能が追加されました。デフォルトでは、この保護機能はオフになっていますが、有効にすることで様々な脅威からPCを守ることができます。

不審な行動を阻止する」役割とは？

この機能の名称は曖昧です。しかし、マイクロソフトのドキュメントでは、「Block Suspicious Behavior」は「Windows Defender Vulnerability Protection Attack Surface Reduction Technology」のフレンドリーな名称に過ぎないことが明らかにされています。このセキュリティ機能は、Fall Creators Updateで導入されましたが、Windows 10 Enterpriseでのみ利用可能です。2018年10月のアップデートでは、Windowsセキュリティのオプションで誰でも利用できるようになりました。

この機能を有効にすると、Windows 10はさまざまなセキュリティルールを有効にします。これらのルールは、通常マルウェアによってのみ使用される機能を無効化し、コンピュータを攻撃から保護するのに役立ちます。

攻撃対象領域削減のルールとして、以下のようなものがある。

• メールクライアントやウェブメールから実行可能なコンテンツをブロックする
• Office アプリケーションが子プロセスを作成するのをブロック
• Office アプリケーションが実行可能なコンテンツを作成するのをブロック
• Officeアプリケーションから他のプロセスへのコード注入を停止する。
• JavaScriptまたはVBScriptがダウンロード可能な実行可能コンテンツを起動しないようにする
• 難読化された可能性のあるスクリプトの実行をブロックします。
• OfficeマクロからのWin32 API呼び出しをブロックする
• Windowsローカルセキュリティ認証サブシステム（lsass.exeファイル）からの認証情報の盗難をブロックする。
• PSExecおよびWMIコマンドからのプロセス作成をブロックする。
• USBから実行される信頼されていないプロセスや署名されていないプロセスをブロックする
• Office 通信アプリケーションが子プロセスを作成するのをブロック

これらは、悪意のあるアプリケーションに利用される可能性のある不審な動作です。例えば、電子メールで届く実行ファイルをブロックしたり、Officeアプリケーションで特定のアクションを実行できないようにしたり、危険なマクロの動作をブロックしたりするルールです。これらのルールを有効にすると、Windowsは認証情報が盗まれないように保護し、USBドライブ上で実行される疑わしい実行ファイルをブロックし、アンチウイルスソフトウェアに見せかけたスクリプトの実行を拒否することができます。

攻撃対象領域削減ルールの全リストは、マイクロソフトのサポートサイトでご覧いただけます。組織では、グループポリシーで使用するルールをカスタマイズできますが、一般消費者のPCには、一律のルールが適用されます。Windowsセキュリティでこのオプションを有効にすると、どのルールが使用されるかは、正確には不明です。

関連記事：Windows 10 October 2018 Updateの新機能について

これは、ウィンドウズ・ディフェンダーの脆弱性対策の一部です。

アタックサーフェスの削減は、Windows Defenderの脆弱性保護機能の一部であり、脆弱性保護、ネットワーク保護、フォルダアクセス制御も含まれます。

不審な行動のブロックは、エクスプロイトプロテクションとは異なり、一般的なエクスプロイト技術からコンピューターを保護することを明確にすることが重要です。例えば、Exploit Protectionは、ゼロデイ攻撃で使用される一般的なメモリ悪用技術から保護し、これらの技術を使用するプロセスをすべて終了させます。Exploit Protectionは、マイクロソフト社のEnhanced Mitigation Experience Toolkit（EMET）ソフトウェアに類似しています。攻撃対象範囲の縮小は、潜在的に危険な機能をより高いレベルで無効化することになります。

脆弱性攻撃対策はデフォルトで有効になっており、Windowsセキュリティアプリケーションの他の場所で調整することができます。デフォルトでは、攻撃表面の減少または「不審な行動のブロック」はまだ有効になっていません。

関連：Windows Defenderの新しい脆弱性保護機能の仕組み（と設定方法）

"不審な行動をブロックする "を有効にする方法

この機能は、以前はWindows Defender Security Centerとして知られていたWindowsセキュリティアプリケーションから有効にすることができます。

設定」→「更新とセキュリティ」→「Windows セキュリティ」→「Windows セキュリティをオンにする」で検索できます。"または、スタートメニューからWindowsセキュリティのショートカットを起動します。

ウイルスと脅威の防御」オプションをクリックし、「ウイルスと脅威の防御設定」セクションの下にある「設定の管理」リンクをクリックします。

不審な行動をブロックする」の下にあるスイッチをクリックして、この機能のオン／オフを切り替えます。

不審な動作をブロックすることで、定期的に行う必要がある動作が妨げられる場合は、ここに戻って無効にすることができます。しかし、ブロックされた動作は、通常のPC使用では一般的ではありません。