Windows Defenderに標準で搭載されている、『ランサムウェアの防止』でブロックされたアプリの履歴を確認する方法についてご紹介。
先日コンピューターウイルスのトロイの木馬に感染してしまい、改めてパソコンのセキュリティ環境を見直していたところ、Windows Defenderに『ランサムウェアの防止』なる機能を発見。
fa-angle-double-right関連記事:【TrojanDownloader:JS/Vdehu.A】パソコンがトロイの木馬タイプのコンピューターウイルスに感染した話【Windows Defender】
ランサムウェアの脅威からファイルを防御してくれる機能らしく、早速設定をオンに変更。
(※ランサムウェアについて詳しく知りたい方はこちらのサイトをご参照ください⇒ランサムウェア、あなたの会社も標的に? 被害を防ぐためにやるべきこと | 暮らしに役立つ情報 | 政府広報オンライン)
それから数時間後。
右下の通知欄に『Windowsセキュリティ』からお知らせがあり、「承認されていない変更がブロックされました」とのこと。
「これは早速『ランサムウェアの防止』機能が働いてるな!」と思い、詳細を確認すべく通知をクリック。
そして開いた画面がこちら。
なんと「履歴がねーーーーーーーーーーーーーーーっ」
「保護の履歴」では、『ランサムウェアの防止』機能でブロックした履歴を確認できるはずなのですが、なぜか何も記録が残っていません。
これではブロックしたアプリが分からずに困ってしまいます。
通知欄にはアプリのファイル名が書いてありましたが、てっきりこの履歴画面で、もう一度見られると思っていたので当然覚えてなんていません。
いやいやこれは不便。
それでも最初は何かのエラーかなと思い、次にブロックされたときにもう一度試してみることにしました。
結果、やっぱり履歴は表示されません。
その後も数回アプリがブロックされていますが、何度通知欄から詳細を確認しても履歴画面は真っ白のまま、、、、、、
どうやら履歴に何も表示されないのが仕様のようです。
この履歴画面。
一体何のためにあるのでしょう?
全く役に立っていません(笑)
それにしてもこの仕様、本当に不便。
『Windowsセキュリティ』の通知を一度クリックしてしまうと、通知欄からは消えてしまうし、履歴にも残らない。
それじゃあ、通知を消してしまったら、ブロックされたアプリ名はもう二度と確認できないの?
というわけで、「対応策が絶対にあるはず」と思い探してみたらありました。
その名も『イベントビューアー』
まさに救世主!
目次からジャンプ
Windows10でイベントビューアーを起動する方法
イベントビューアーはWindows10付属のアプリです。
コンピューターで発生したイベントを表示する機能があり、これを利用することで、『ランサムウェアの防止』機能でブロックした履歴を確認することができます。
イベントビューアーの詳細については、下記のサイトで詳しく解説されていますので、興味のある方は合わせてご参照ください。
fa-angle-double-right参考:Windows のイベントビューアーを使って、何がいつ起きたか調べる | ラボラジアン
イベントビューアーの起動方法はとても簡単。
イベントビューアーでブロックされた履歴を確認する方法
次に起動したイベントビューアーを使って、『ランサムウェアの防止』機能でブロックされた履歴を確認します。
左のメニュー内に「アプリケーションとサービスログ」のフォルダがあります。
そのフォルダをダブルクリック、または左にある「>」の部分をクリックすると下層フォルダが開きます。
イベントビューアーの起動直後は、下記画面のように「データの読み取り中です。しばらくお待ちください」となり、フォルダをクリックしても下層フォルダが開かないことがあります。
その場合は、少し待つことでフォルダが開きます。
1番で開いたフォルダ内にある「Microsoft」のフォルダを、同じ要領でダブルクリック、または左にある「>」の部分をクリックし下層フォルダを開きます。
さらに、「Windows」⇒「Windows Defender」で同じようにフォルダを開いていきましょう。
※上記の画像は、分かりやすいよう該当のフォルダ以外を削除し編集した状態です。本来はアルファベット順に多数のフォルダが並んでいます。特に「Windows Defender」のフォルダはかなり下の方にあるためご注意ください。
「Windows Defender」のフォルダ内に「Operational」という名前のファイルがあります。
そのファイルを選択すると、Windows Defenderに関連するイベントが表示され、詳細が確認できます。
『ランサムウェアの防止』でブロックされたアプリの履歴を実際に確認してみる
ログを選択すると、下の全般タブに詳しい内容が表示されます。
探し方としては、通知された時間が分かる場合は、日付と時刻から探せばすぐに見つかるはずです。
ある程度時間が絞れたら、レベルが「警告」のログの中から探してみてください。
また参考までに、イベントIDは僕のケースでは「1123」や「1127」になっていました。
イベントログは毎日かなり更新されていて、時間が経ってから探そうとすると大変なので、ブロックされた履歴を確認したい場合は早めに見た方がよさそうです。
ログの内容が「フォルダー アクセスの制御により、●●●●●●●●●を改変できません。」と記載されているのがブロックされたアプリの履歴になります。
※画像ではセキュリティ上の理由により、フォルダやアプリ名を削除しております。
ランサムウェアの防止で、特定のアプリだけ許可したい場合は、プロセス名に記載されているアプリを許可すればブロックされなくなります。
※画像ではセキュリティ上の理由により、フォルダやアプリ名を削除しております。
ちなみにこのイベントログは、保存できるログのサイズが決まっています。
約1か月分のログが保存されていて、それ以前のものは削除されてしまいます。
1か月分も保存されていれば十分だと思いますが、長期間のログを保存したい場合は、保存容量を変更すれば可能です。
変更方法については、下記のサイトで詳しく解説されていますので、興味のある方は合わせてご参照ください。
fa-angle-double-right参考:ASCII.jp:Windowsで発生したことを確認できるWindowsイベントログを解説する (2/2)
おわりに
Windows Defenderに標準で搭載されている、『ランサムウェアの防止』でブロックされたアプリの履歴を確認する方法についてご紹介させていただきました。
イベントビューアーで無事問題は解決できたものの、設定画面にある「ブロックの履歴」とは一体何のためにあるのか?(笑)
恐らく少し前までは履歴として表示されていたものの、その機能が廃止され、この履歴画面だけが残っている状態なのではないでしょうか。
詳細は不明ですが、何か不具合やセキュリティ上の問題でも発生したのかもしれないですね。
わざわざイベントビューアーを起動させるのも面倒ですし、どのフォルダを開けばたどり着くのか忘れてしまうので、次にブロックされたときは、自分でこの記事を見ながら参照することになりそうです。
その内ブロックの履歴画面から、直接ログが見られるようアップデートされることを祈りつつ、この記事を終わりにしたいと思います。
